Checklist Completo Para Cctv y Biometricos

VIII. ANEXOS ANEXO 1 “CONTROLES ISO 27001” 1. POLITICA DE SEGURIDAD La política documentada ayuda a planear las metas de seguridad de la organización. Debe estar redactada claramente y debe ser comprensible para sus lectores. La política ayuda a la administración con el manejo de la seguridad de la información a través de la organización. 1.1 Política de seguridad de la información 1.1.1 Documento de política de seguridad de la información 1.1.2 Revisión de la política de seguridad de la información

2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Este control de seguridad define cómo la alta gerencia puede dirigir la implementación de seguridad de la información dentro de una organización. 2.1 Organización Interna 2.1.1 Compromiso de la alta dirección con la seguridad de la información i nformación 2.1.2 Coordinación de la seguridad de la información 2.1.3 Asignación de responsabilidades para la seguridad de la información i nformación 2.1.4 Procesos de autorización de recursos para tratamiento de la información 2.1.5 Acuerdos de Confidencialidad 2.1.6 Contacto con las autoridades 2.1.7 Contactos con grupos de interés especial 2.1.8 Revisión independiente de la seguridad de la información

155

2.2 Terceras partes 2.2.1 Identificación de riesgos por el acceso de terceros 2.2.2 Consideración de la seguridad en los tratos con clientes 2.2.3 Consideración de la seguridad en contratos con terceros

3. GESTION DE ACTIVOS Este control trata de la administración de los activos físicos e intelectuales de gran importancia en la organización. Determina la responsabilidad de quién está a cargo de los activos de la organización. 3.1 Responsabilidad sobre los activos 3.1.1 Inventario de activos 3.1.2 Propiedad de los activos 3.1.3 Uso adecuado de los activos 3.2 Clasificación de la Información 3.2.1 Directrices de clasificación clasificación 3.2.2 Marcado y tratamiento de la información

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS La evaluación y asignación de las responsabilidades de seguridad de los empleados permite una correcta administración de recursos humanos. Las responsabilida r esponsabilidades des de la seguridad deben ser determinadas durante la incorporación del personal, en el periodo laboral y durante toda t oda la permanencia del empleado en la compañía, hasta el final. 4.1 Previo a la contratación 4.1.1 Funciones y responsabilidad responsabilidades es 4.1.2 Selección y verificación de candidatos 4.1.3 Términos y condiciones de la relación laboral

156

2.2 Terceras partes 2.2.1 Identificación de riesgos por el acceso de terceros 2.2.2 Consideración de la seguridad en los tratos con clientes 2.2.3 Consideración de la seguridad en contratos con terceros

3. GESTION DE ACTIVOS Este control trata de la administración de los activos físicos e intelectuales de gran importancia en la organización. Determina la responsabilidad de quién está a cargo de los activos de la organización. 3.1 Responsabilidad sobre los activos 3.1.1 Inventario de activos 3.1.2 Propiedad de los activos 3.1.3 Uso adecuado de los activos 3.2 Clasificación de la Información 3.2.1 Directrices de clasificación clasificación 3.2.2 Marcado y tratamiento de la información

4. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS La evaluación y asignación de las responsabilidades de seguridad de los empleados permite una correcta administración de recursos humanos. Las responsabilida r esponsabilidades des de la seguridad deben ser determinadas durante la incorporación del personal, en el periodo laboral y durante toda t oda la permanencia del empleado en la compañía, hasta el final. 4.1 Previo a la contratación 4.1.1 Funciones y responsabilidad responsabilidades es 4.1.2 Selección y verificación de candidatos 4.1.3 Términos y condiciones de la relación laboral

156

4.2 Durante el desempeño de las funciones 4.2.1 Responsabilidades de la dirección 4.2.2 Concienciación y formación en seguridad informática 4.2.3 Proceso disciplinario 4.3 Fin del contrato o cambio de funciones 4.3.1 Responsabilidades de fin de contrato 4.3.2 Restitución de activos 4.3.3 Eliminación de los derechos de acceso

5. SEGURIDAD FISICA Y DEL ENTORNO Este control trata sobre el aseguramiento de las áreas físicas y los ambientes de trabajo dentro de la organización, esto contribuye significativamente a la administración de la seguridad. Esto incluye a cualquier persona que se relaciona con el establecimiento físico de la organización, sean estos empleados, proveedores o clientes, ya que todos ellos tienen un papel importante para determinar la protección de seguridad organizacional. 5.1 Áreas seguras 5.1.1 Perímetro de seguridad física 5.1.2 Controles físicos de entrada 5.1.3 Seguridad de oficinas, despachos y recursos 5.1.4 Protección contra amenazas externas y ambientales 5.1.5 El trabajo en áreas seguras 5.1.6 Áreas de acceso público, carga y descarga 5.2 Seguridad de los Equipos 5.2.1 Instalación y protección de equipos 5.2.2 Suministros 5.2.3 Seguridad de cableado 5.2.4 Mantenimiento de equipos 5.2.5 Seguridad de equipos fuera de los locales de la organización 5.2.6 Seguridad en la reutilización o eliminación de equipos 157

5.2.7 Traslado de activos fuera de la organización

6. GESTIÓN DE COMUNICACIONES Y OPERACIONES Este control trata de la transmisión clara de instrucciones de seguridad a los empleados, esto facilita la administración de las operaciones diarias de los recursos de procesamiento de información, esto implica el intercambio de información, la protección contra código código malicioso o móvil, móvil, etc. 6.1 Procedimientos y responsabilidad responsabilidades es de operación 6.1.1 Documentación de procedimientos operativos 6.1.2 Gestión de cambios 6.1.3 Segregación de tareas 6.1.4 Separación de los recursos para desarrollo, pruebas y producción 6.2 Gestión de la provisión de servicios contratados a terceros 6.2.1 Provisión de servicios 6.2.2 Seguimiento y revisión de servicios de terceros t erceros 6.2.3 Gestión de cambios en servicios de terceros 6.3 Planificación y aceptación del sistema 6.3.1 Planificación de capacidade capacidadess 6.3.2 Aceptación del sistema 6.4 Protección contra software malicioso y código móvil 6.4.1 Medidas y controles contra software malicioso 6.4.2 Medidas y controles contra código móvil 6.5 Copia de Seguridad 6.5.1 Copia de Seguridad de la información 6.6 Gestión de la seguridad de red 6.6.1 Controles de red 6.6.2 Seguridad en los servicios de red

158

6.7 Utilización de los soportes de información 6.7.1 Gestión de los soportes extraíbles 6.7.2 Eliminación de soportes 6.7.3 Procedimientos de utilización de la información 6.7.4 Seguridad de la documentación de sistemas 6.8 Intercambio de información 6.8.1 Políticas y procedimientos para el intercambio de información 6.8.2 Acuerdos de intercambio de información 6.8.3 Soportes físicos en tránsito 6.8.4 Mensajería electrónica 6.8.5 Sistemas de información corporativos 6.9 Servicios de comercio electrónico 6.9.1 Comercio Electrónico 6.9.2 Transacciones en línea 6.9.3 Información de difusión pública 6.10 Seguimiento 6.10.1 Registros de auditoria 6.10.2 Seguimiento del uso de los sistemas 6.10.3 Protección de la información de registro 6.10.4 Registro de actividades de administradores y operadores 6.10.5 Registro de errores 6.10.6 Sincronización de relojes

7. CONTROL DE ACCESOS Trata sobre la administración de los niveles de acceso de todos los empleados, ayuda a controlar la seguridad de la información en una organización. Controlar los niveles de acceso a la red puede llegar a ser un factor crítico de éxito cuando se protegen los sistemas de documentación o información en la red.

159

7.1 Requisitos de negocio 7.1.1 Política de control de accesos 7.2 Gestión de acceso de usuario 7.2.1 Registro de usuario 7.2.2 Gestión de privilegios 7.2.3 Gestión de contraseñas de usuario 7.2.4 Revisión de los derechos de acceso de los usuarios 7.3 Responsabilidades del usuario 7.3.1 Uso de contraseña 7.3.2 Equipo informático de usuario desatendido 7.3.3 Política de puesto de trabajo despejado y bloqueo de pantalla 7.4 Control de acceso en red 7.4.1 Política de uso de servicios de red 7.4.2 Autenticación de usuario para conexiones externas 7.4.3 Identificación de equipos en la red 7.4.4 Protección de puertos de configuración y diagnóstico remotos 7.4.5 Segregación en las redes 7.4.6 Control de conexión a las redes 7.4.7 Control de encaminamiento en la red 7.5 Control de acceso al sistema operativo 7.5.1 Procedimientos de conexión segura 7.5.2 Identificación y autenticación de usuario 7.5.3 Sistema de gestión de contraseñas 7.5.4 Uso de los servicios del sistema 7.5.5 Desconexión automática de sesiones 7.5.6 Limitación del tiempo de conexión 7.6 Control de acceso a información y aplicaciones 7.6.1 Restricción de acceso a la información 7.6.2 Aislamiento de sistemas sensibles 160

7.7 informática móvil y teletrabajo 7.7.1 Informática y comunicaciones móviles 7.7.2 Teletrabajo

8. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION La administración de la seguridad es imprescindible en el desarrollo, mantenimiento y operación exitosa de un sistema de información. 8.1 Requisitos de seguridad de los sistemas de información 8.1.1 Análisis y especificación de los requisitos de seguridad 8.2 Procesamiento correcto en aplicaciones 8.2.1 Validación de los datos de entrada 8.2.2 Control de procesamiento interno 8.2.3 Integridad de mensajes 8.2.4 Validación de los datos de salida 8.3 Controles criptográficos 8.3.1 Política de uso de los controles criptográficos 8.3.2 Gestión de claves 8.4 Seguridad de los ficheros del sistema 8.4.1 Control del software de explotación 8.4.2 Protección de los datos de prueba del sistema 8.4.3 Control de acceso al código fuente de los programas 8.5 Seguridad en los procesos de desarrollo y soporte 8.5.1 Procedimientos de control de cambios 8.5.2 Revisión técnica de aplicaciones por cambios a los paquetes de software 8.5.3 Restricciones en los cambios a los paquetes de software 8.5.4 Fuga de información 8.5.5 Desarrollo externalizado del software 161

8.6 Gestión de vulnerabilidades técnicas 8.6.1 Control de vulnerabilidades técnicas

9. GESTION DE INSIDENTES DE SEGURIDAD DE LA INFORMACION Este control trata sobre la administración de los incidentes o mejoras en seguridad, reportando eventos y debilidades de la seguridad. 9.1 Comunicación de eventos de seguridad de la información 9.1.1 Comunicación de eventos de seguridad de la información 9.1.2 Comunicación de debilidades de seguridad 9.2 Gestión de incidencias y mejoras de la seguridad de la información 9.2.1 Responsabilidad y procedimientos 9.2.2 Aprendiendo de las incidencias de seguridad de la información 9.2.3 Recogida de pruebas

10 GESTION DE CONTINUIDAD DEL NEGOCIO Se trata de utilizar los controles de seguridad contra desastres naturales, interrupciones operacionales y fallas potenciales de seguridad, esto ayuda a fomentar la continuidad de funciones del negocio. 10.1 Aspectos de seguridad de la información en la gestión de continuidad del negocio 10.1.1 Inclusión de la seguridad de la información en el proceso de la gestión de continuidad de negocio 10.1.2 Continuidad del negocio y evaluación de riesgos 10.1.3 Redacción e implantación de planes de continuidad que incluyan la seguridad de la información 10.1.4 Marco de planificación para la continuidad del negocio 10.1.5 Prueba, mantenimiento y reevaluación de planes de continuidad

162

11 CONFORMIDAD El uso de asesores legales se está volviendo más importante para asegurar el cumplimiento de una organización con las obligaciones contractuales, la ley y requisitos de seguridad. 11.1 Conformidad de los requisitos legales 11.1.1 Identificación de la legislación laborable 11.1.2 Derechos de propiedad intelectual 11.1.3 Protección de los registros de la organización 11.1.4 Protección de datos de carácter personal y de la intimidad de las personas 11.1.5 Evitar mal uso de los dispositivos de tratamiento de la información 11.1.6 Reglamentación de los controles de cifrados 11.2 Conformidad con políticas y normas de seguridad y conformidad técnica 11.2.1 Conformidad con políticas y normas de seguridad 11.2.2 Comprobación de la conformidad técnica 11.3 Consideraciones sobre la auditoria de sistemas de información 11.3.1 Controles de auditoria de sistemas 11.3.2 Protección de las herramientas de auditoria

163

ANEXO 2 “INFORMACIÓN OBTENIDA SOBRE LOS ACTIVOS DE LA EMPRESA”

164

5 6 1

6 6 1

7 6 1

8 6 1

a s e r p m e a l e d s o v i t c a e d a t s i L 3 1 a l b a T

ANEXO 3 “INFORMACIÓN OBTENIDA MEDIANTE CUESTIONARIOS” A continuación presentamos los checklist que hemos elaborado para recolectar infamación sobre las vulnerabilidades de los activos de la empresa, el nombre de los responsables no será para mantener la confidencialidad.

CHECKLIST REDES Y TELECOMUNICACIONES Preguntas

SI

¿Existe un inventario sobre los dispositivos de redes y telecomunicaciones, así

x

NO

también como del personal a cargo de estos?

Activo: Router Datos, Router Internet Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Se siguió algún estándar para la ubicación del dispositivo? (medidas)

x

¿Este dispositivo esta en un lugar adecuado?

x

(gabinete, cuarto de

NO

telecomunicaciones, etc.) ¿Tienen acceso a este dispositivo únicamente personal autorizado?

x

¿Es segura la ubicación del dispositivo frente a desastres naturales u otras

x

eventualidades? (fugas de agua) ¿El dispositivo tiene una alimentación de energía auxiliar?

x

¿Existe documentación acerca de la configuración actual del router?

x

¿Posee un dispositivo similar a este almacenado como respaldo? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x

tiempo, existencia) ¿Se han borrado los usuarios y contraseñas que vienen por defecto en el router? ¿Los banners que se muestran en el router no muestran información propia de la

x x

169

empresa? ¿Existe alguna política para la administración de contraseñas de este dispositivo? ¿La persona que realiza las configuraciones del router posee alguna certificación?

x x

¿La persona que realiza las configuraciones del router tiene trabajo fijo en la

x

empresa? ¿Se han realizan pruebas de hackeo ético para identificar las vulnerabilidades de este

x

dispositivo? ¿En caso de fallo o falta de este dispositivo el negocio puede continuar?

x

Activo: Firewall Responsable: _____Ing. Fabián Bustamante____ Checklist Preguntas

SI


x


x

¿Tienen acceso a este dispositivo únicamente personal autorizado?

x


x

NO

eventualidades? (fugas de agua) ¿El dispositivo tiene una alimentación de energía auxiliar?

x

¿Existe documentación acerca de la configuración actual del dispositivo?

x

¿Posee un dispositivo similar a este almacenado como respaldo?

x

¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x

tiempo, existencia) ¿Se han borrado los usuarios y contraseñas que vienen por defecto en el dispositivo?

x

¿Existe alguna política para la administración de contraseñas de este dispositivo? ¿La persona que realiza las configuraciones del

firewall tiene conocimientos

x x

especializados sobre el tema? ¿Poseen soporte técnico de este dispositivo?

x

¿Se realizan actualizaciones periódicas de este dispositivo?

x

¿Se realizan pruebas periódicas sobre el funcionamiento de este dispositivo?

x

¿Se han deshabilitado los protocolos que no están siendo usados?

x

¿En caso de fallo o falta de este dispositivo el negocio puede continuar?

x

¿Si el firewall es únicamente software se tiene copias de respaldo de este?

x

¿Existe algún manual de instalación del software?

x

170

Activo: Switches Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x

(gabinete, cuarto de

NO

telecomunicaciones, etc.) ¿Tienen acceso a este dispositivo únicamente personal autorizado?

x


x

eventualidades? (fugas de agua) ¿El dispositivo tiene una alimentación de energía auxiliar? No todos los switches

x

¿Existe documentación acerca de la configuración actual del switch?

x


x


x

tiempo, existencia) ¿Se han borrado los usuarios y contraseñas que vienen por defecto en el switch?

x

¿Los banners que se muestran en el switch no muestran información propia de la

x

empresa? ¿Existe alguna política para la administración de contraseñas de este dispositivo?

x

¿La persona que realiza las configuraciones del switch posee alguna certificación?

x

¿La persona que realiza las configuraciones del switch tiene trabajo fijo en la

x

empresa? ¿Se han realizan pruebas de hackeo ético para identificar las vulnerabilidades de este

x

dispositivo? ¿En caso de fallo o falta de este dispositivo el negocio puede continuar?

x

¿Los puertos que no están siendo usados están correctamente bloqueados?

x

Activo: Wireless Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿La conexión inalámbrica es óptima sin interrupciones?

NO x

¿Este dispositivo esta en un lugar adecuado? ( protección física)

x


x


x

eventualidades? (fugas de agua) ¿El dispositivo tiene una alimentación de energía auxiliar? ¿Existe documentación acerca de la configuración actual del accesspoint?

x x

171

(contraseñas) ¿Posee un dispositivo similar a este almacenado como respaldo?

x


x

tiempo, existencia) ¿Está habilitada algún tipo de autenticación para este dispositivo?

x

¿Existe alguna política para la administración de contraseñas de este dispositivo?

x

¿Se han realizado pruebas de hackeo ético para identificar las vulnerabilidades de este

x

dispositivo? ¿La persona que realiza las configuraciones del dispositivo posee conocimientos

x

técnicos a cerca de este? ¿En caso de fallo o falta de este dispositivo el negocio puede continuar?

x

Activo: Manejador de llamadas (telefonía ip) Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar adecuado? (protección física)

x


x


x

NO

eventualidades? ¿La persona que realiza las configuraciones del dispositivo posee conocimientos

x

técnicos a cerca de este? ¿El dispositivo tiene una alimentación de energía auxiliar?

x


x

¿Posee un dispositivo similar a este almacenado como respaldo? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x

tiempo, existencia) ¿En caso de fallo o falta de este dispositivo el negocio puede continuar?

x

Activo: Fax Server Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar adecuado? (tiene protección física)

x


x


x

NO

eventualidades?

172

¿La persona que realiza las configuraciones del dispositivo posee conocimientos

x


x


x


x


x


x

Activo: Centralilla Telefónica Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar adecuado? (tenga protección física)

x


x


x

NO

eventualidades? ¿La persona que realiza las configuraciones del dispositivo posee conocimientos

x


x


x


x


x


x

Activo: Cableado de datos en cobre y fibra óptica Componentes pasivos de cableado estructurado Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Se ha seguido algún estándar para la implementación de cableado estructurado?

x

NO

¿Se han realizado pruebas de cables certificados?

x

¿Existen enlaces redundantes en los enlaces de mayor importancia?

x

¿Existen puntos de acceso a la red que no estén debidamente protegidos?

x


x

173

Activo: Cableado de teléfonos Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Se ha seguido algún estándar para la elaboración de cableado?

x


x

NO

HARDWARE Preguntas

SI

¿Existe un inventario sobre los dispositivos de hardware y el personal a cargo de

x

NO

estos?

Activo: Servidor de Aplicaciones DB Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO

eventualidades? ¿El dispositivo tiene una alimentación de energía auxiliar?

x

¿Posee un servidor similar a este, almacenado como respaldo?

x


x


x

¿Se realiza mantenimiento periódico a este equipo?

x

Activo: Storage System Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


NO

x


x

174

¿Posee un equipo similar a este, almacenado como respaldo? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x


x

¿Existe un respaldo de la información almacenada en este dispositivo?

x

¿El personal que guarda la información ha firmado un contrato de no divulgación?

x

¿Se revisa con periodicidad la información que esta almacenada?

x


x

Activo: Servidor de Correo Electrónico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO


x


x


x

tiempo, existencia) ¿En caso de fallo o falta de este dispositivo el negocio puede continuar? ¿Se realiza mantenimiento periódico a este equipo?

x x

Activo: File Server de Diseño Grafico Responsable: __Ing._Omar Durazno_ hecklist Preguntas

SI


x


x


x

NO


x


x


x

tiempo, existencia) ¿En caso de fallo o falta de este dispositivo el negocio puede continuar? ¿Se realiza mantenimiento periódico a este equipo?

x x

175

Activo: File & Print Server Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO


x

¿Posee un servidor similar a este, almacenado como respaldo? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x


x

Activo: Servidor Web Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO


x


x x


x


x

Activo: Servidor CCTV Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO

eventualidades?

176

¿El dispositivo tiene una alimentación de energía auxiliar?

x


x x


x


x

Activo: Cámaras IP para CCTV Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar seguro?

x


x


NO

x

eventualidades? ¿Existen cámaras de respaldo en bodega? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x


x


x

Activo: Servidor de Aplicaciones Varias Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO


x


x


x


x


x

177

Activo: Servidor de antivirus Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

NO


x

¿Existe documentación acerca de la configuración actual del servidor?

x

¿Se realizan actualizaciones periódicas?

x


x


x


x


x

Activo: Computadoras de usuario Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar protegido de robo?

x


x


x

NO


x

¿Existe documentación acerca de la configuración actual del computador?

x

¿Hay computadores de respaldo en caso de la ausencia de este?

x


x


x


x

Activo: Computadoras especiales para manejo de procesos Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar protegido de robo?

x

NO

178


x


x


x

¿Existe documentación acerca de la configuración actual del computador?

x

¿Hay computadores de respaldo en caso de la ausencia de este?

x


x


x


x

SOFTWARE Activo: Software de aplicaciones Base de Datos Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Existe autenticación para acceso al S.O.?

x

¿Esta aplicación esta autenticada?

x

¿Se emplea alguna política para manejo de contraseñas?

x

¿Existe un respaldo de esta aplicación en otro equipo?

x

¿Poseen soporte técnico para este software?

x

¿Se dispone del código fuente de la aplicación?

x

¿Existe documentación del código fuente?

x

¿Si se realizan accesos remotos a esa máquina es segura esta conexión? (SSH, Telnet) ¿Están deshabilitados los puertos que no están en uso?

NO

x x

¿Existe alguna bitácora donde se registren los accesos a este servidor?

x

¿En caso de fallo o falta de este software el negocio puede continuar?

x

¿Se realizan respaldos frecuentes de la información almacenada?

x

¿Posee instaladores de este software para una recuperación inmediata?(cd, dvd)

x

¿El instalador de este software esta resguardado físicamente y solo tiene acceso a este

x

personal autorizado? ¿Los usuarios y contraseñas que vienen por defecto en la Base de datos ha sido

x

cambiada? ¿El software es actualizado periódicamente?

x

¿Existe alguna aplicación que le proteja de virus, gusanos o troyanos?

x

¿Existe un firewall configurado que ayude a la protección del S.O.?

x

¿Los programas nuevos, son probados y revisados antes de ponerlos en

x

funcionamiento?

179

¿La instalación de nuevas aplicaciones o los cambios de unas aplicaciones por otras,

x

son aprobados por personal autorizado o con la autoridad suficiente? ¿Se ha realizado un análisis para la asignación de roles y privilegios de usuarios?

x

¿Se modifican periódicamente los roles y privilegios de usuarios al momento de

x

existir un cambio? ¿Existe alguna política para agregar o eliminar usuarios?

x

Activo: Software de Correo Electrónico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Existe autenticación para acceso al S.O.?

x

¿Esta aplicación esta autenticada?

x

¿Se emplea alguna política para manejo de contraseñas?

NO

x

¿Existe un respaldo de esta aplicación en otro equipo?

x


x

¿Se dispone del código fuente de la aplicación?

x

¿Existe documentación del código fuente?

x

¿Si se realizan accesos remotos a esa máquina es segura esta conexión? (SSH, Telnet)

x

¿Están deshabilitados los puertos que no están en uso?

x

¿Existe alguna bitácora donde se registren los accesos a este servicio?

x


x

¿Se realizan respaldos frecuentes de la información almacenada?

x

¿Posee instaladores de este software para una recuperación inmediata?(cd, dvd)

x

¿El instalador de este software esta resguardado físicamente y solo tiene acceso a este

x

personal autorizado? ¿Esta encriptado el usuario y contraseña para el acceso de usuarios? ¿Se utiliza alguna aplicación para filtrar el correo basura?

x x

¿El uso de correo electrónico es exclusivamente de uso laboral?

x

¿Existe alguna herramienta que verifique el uso del correo electrónico?

x

¿Se realizan revisiones periódicas para evaluar el funcionamiento de este software?

x

¿El software es actualizado periódicamente?

x


x


x


x

funcionamiento? ¿La instalación de nuevas aplicaciones o los cambios de unas aplicaciones por otras,

x

son aprobados por personal autorizado o con la autoridad suficiente?

180

Activo: Sistemas Operativos Windows 2000, 2003 Server Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿El software y sus licencias están bien guardados?

NO x

¿Existen copias del S.O. para ser utilizadas en caso de emergencia?

x


x

¿En el caso de necesitarse una nueva licencia se tiene un proveedor que nos facilite

x

una rápidamente? ¿Tienen acceso al software y a las licencias únicamente personal autorizado?

x


x


x


x


x


x


x


x


Activo: Sistemas Operativos Windows XP Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

¿Existen copias del S.O. para ser utilizadas en caso de emergencia?

x


x

¿En el caso de necesitarse una nueva licencia se tiene un proveedor que le facilite una

x

NO

rápidamente? ¿Tienen acceso al software y a las licencias únicamente personal autorizado?

x


x


x


x


x


x


x

funcionamiento?

181

¿La instalación de nuevas aplicaciones o los cambios de unas aplicaciones por otras,

x


Activo: Software Anti-X Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

¿Existen copias del software para ser utilizadas en caso de emergencia?

x


x

¿En el caso de necesitarse una nueva licencia se tiene un proveedor que le facilite una

x

NO

rápidamente? ¿Tienen acceso al software y a las licencias únicamente personal autorizado?

x


x


x


x


x


Activo: Software para manejo de Backups Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x

¿En el caso de necesitarse una nueva licencia o copia de este producto se tiene un

x

NO

proveedor que le facilite una rápidamente? ¿Tienen acceso al software y a las licencias únicamente personal autorizado?

x


x


x


x


x


182

Activo: Software para manejo de telefonía ip Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x

NO


x


x


x

¿Esta cifrada la información que circula a través de la telefonía ip?

x

¿El acceso a los números de telefonía ip es limitado?

x


x


x


Activo: Software para control de centralilla Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x

NO


x


x


x


x


x


Activo: Software de diseño gráfico Responsable: __Ing._Omar Durazno_

183

Checklist Preguntas

SI


x

¿Este software posee algún tipo de autenticación?

x


x

¿Poseen soporte técnico para este software? ¿En el caso de necesitarse una nueva licencia o copia de este producto se tiene un

NO

x x


x


x

¿Se realizan revisiones periódicas para evaluar el funcionamiento de este software? ¿Los programas nuevos, son probados y revisados antes de ponerlos en

x x


x


Activo: Software para manejo de control de procesos de producción Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x


x

NO


x


x


x

¿Los mensajes de error son claros?

x

¿Existe un manual técnico de este software?

x

¿Existe un manual de usuario para manejo de este software?

x

¿Los usuarios que manejan este software están capacitados?

x


x


x

son aprobados por personal autorizado o con la autoridad suficiente? ¿Considera que los sistemas están validados para garantizar la integridad y consistencia de los datos?

x

184

Activo: Software de Webserver Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x


x

NO


x


x


x

¿Los mensajes de error son claros?

x

¿Existe un manual técnico de este software?

x

¿Existe un manual de usuario para manejo de este software?

x

¿Los usuarios que manejan este software están capacitados?

x

¿Existe alguna aplicación que filtre el acceso a páginas web no autorizadas?

x


x


x


SISTEMA ELECTRICO Activo: Generador Eléctrico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Este dispositivo esta en un lugar adecuado? (gabinete, cuarto de telecomunicaciones,

x

NO

etc.) ¿Tienen acceso a este dispositivo únicamente personal autorizado?

x


x

eventualidades? ¿El dispositivo tiene suficiente combustible para funcionar correctamente?

x

¿Posee un equipo similar a este, almacenado como respaldo? ¿Se tiene ya un proveedor en caso de que se necesite renovar este equipo? (precios,

x x

tiempo, existencia)

185


x

¿Se realiza revisiones periódicamente a este equipo?

x

Activo: UPS para cuarto de Telecomunicaciones y Servidores Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x

eventualidades? ¿Posee un equipo similar a este, almacenado como respaldo?

x


x


x

¿Se realiza revisiones periódicamente a este equipo para verificar su correcto

x

funcionamiento?

Activo: UPS para usuarios Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x

eventualidades? ¿Posee un equipo similar a este, almacenado como respaldo?

x


x


x

¿Se realiza revisiones periódicamente a este equipo para verificar su correcto

x

funcionamiento?

Activo: Instalaciones eléctricas acondicionadas para equipos de cómputo Responsable: __Ing._Omar Durazno_

186

Checklist Preguntas

SI

¿Esta instalación esta en un lugar adecuado?

x

¿Tienen acceso a esta instalación únicamente personal autorizado?

x

NO

¿Posee una instalación similar a esta, en caso de necesitarla por alguna emergencia? ¿En caso de fallo o falta de esta instalación el negocio puede continuar?

x x

¿Se realiza revisiones periódicamente a esta instalación para verificar su estado? ¿Esta instalación se creo en base a un estándar?

x x

OTROS Activo: Datos de Base de Datos Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

¿Esta información esta almacenada en un dispositivo seguro?

x

¿Esta información esta almacenada en algún dispositivo de respaldo?

x

¿Los respaldos de esta información se almacenan en un lugar seguro?

x

¿Tienen acceso a esta información únicamente personal autorizado?

x

¿En caso de fallo o falta de esta información el negocio puede continuar?

x

¿Se realiza revisiones periódicamente de esta información para verificar su estado?

x

NO

¿Cree que sea necesaria la encriptación de esta información, en caso de robo?

x

¿Se verifica la integridad de los datos?

x

¿Los datos están siempre disponibles?

x

¿Se lleva una bitácora con la información de las personas que acceden a estos datos y

x

las modificaciones que realizan?

Activo: Datos de Correo Electrónico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x

NO


x


x


x


x


x

187

¿Se verifica la integridad de los datos? ¿Los datos están siempre disponibles?

x x


x


Activo: Archivos de Fax Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x


x


x


x


x


x


x


x

las modificaciones que realizan? ¿Los archivos impresos están almacenados en un lugar seguro al cual solo tenga acceso

x

personal autorizado? ¿Para eliminar los documentos impresos se han utilizado métodos adecuados que eviten

x

su lectura? (trituradora de papel, etc.)

Activo: Datos de aplicaciones office Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x

NO


x


x


x


x


x


x

188


x


x

las modificaciones que realizan? ¿Los documentos impresos están almacenados en un lugar seguro al cual solo tenga

x

acceso personal autorizado? ¿Para eliminar los documentos impresos se han utilizado métodos adecuados que eviten

x


Activo: Datos de aplicaciones de software de procesos de producción Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x

NO


x


x


x


x


x


x


x


x


x


x


Activo: Datos de tráfico telefónico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x


x


x


x

189


x


x x


x

las modificaciones que realizan? Activo: Datos de backup de servidores Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x


x


x


x


x


x


x


x


Activo: Datos de backup de usuarios Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

NO


x


x


x


x


x


x


x


x


x


x


190

Activo: Imágenes del CCTV Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x


x


x

NO


x


x


x


x


Activo: Backup de configuraciones de equipos de comunicación Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x


x


x


x


x


x


x

NO


x x


x


Activo: Base de datos de conocimiento, soporte técnico Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x

191


x


x


x


x


x


x


x


x


Activo: Archivos impresos Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI


x

NO


x


x


x


x


x


x


x


x


x


TEST GENERAL PARA IDENTIFICAR VULNERABILIDADES Responsable: __Ing._Omar Durazno_ Checklist Preguntas

SI

NO

PERSONAL ¿Los usuarios tienen conocimientos acerca de la importancia de la seguridad para la

x

organización? ¿Se controlan periódicamente los perfiles y roles de usuario en la BD?

x

192

¿Se controlan periódicamente contraseñas de usuario?

x

¿Los usuarios conocen acerca de políticas de manejo de contraseñas?

x

¿Los empleados más importantes o que tienen acceso a información confidencial de a

x

empresa han firmado algún contrato de no divulgación? ¿Los usuarios conocen acerca de las Políticas y procedimientos para el intercambio de

x

información? ¿Los usuarios conocen las restricciones acerca de la utilización del correo electrónico o

x

mensajería? ¿El personal conoce los principales activos de la empresa y su importancia?

x

¿El personal esta conciente de las funciones y responsabilidades que posee sobre la

x

información que manipula? ¿El personal de outsourcing de la empresa ha firmado contratos de no divulgación?

x

SOFTWARE NO AUTORIZADO ¿Existe algún procedimiento a seguir por parte de quienes dan mantenimiento a las PC’s

x

cuando se necesita instalar algún software? ¿Los usuarios son libres de instalar cualquier aplicación en sus computadores?

x

¿Se realiza una revisión periódica para detectar software no autorizado en las PC’s de

x

usuarios? ¿Los usuarios conocen que es prohibido software sin licencia en sus PC’s?

x

INTERNET ¿Se siguió algún análisis para determinar que usuarios deben tener acceso a Internet y

x

quienes no? ¿Si existe alguna política para asignar horarios de uso de Internet a los usuarios?

x

¿Existe alguna política que especifique el uso de Internet?

x

¿Está permitido descargarse cualquier tipo de software?

x

¿Está permitido visitar cualquier página Web?

x

¿El personal conoce que el uso de Internet es exclusivo para tareas laborables?

x

¿El personal esta conciente de las amenazas existentes en Internet? ¿Existe algún software que filtre el acceso a ciertos sitios web?

x x

REDES ¿Se han implementado VPN´s para dar mayor seguridad a la red? (VLANS O VPNS?) ¿Se ha utilizado algún software para testeo de la red?

x

¿Se han implementado ACL´s para incrementar la seguridad de la red?

x

¿La empresa posee enlaces redundantes en su conexión con el ISP?

x

¿Existe un inventario sobre los dispositivos de telecomunicaciones de la organización y

x

sus responsables? ¿El personal a cargo de los dispositivos esta conciente de las medidas de seguridad que

x

se deben tomar para proteger a estos? INFORMACIÓN

193

Checklist Completo Para Cctv y Biometricos

Recommend Documents