CUESTIONARIO 5.

POLTICA DE SEGURIDAD
5.1.1. Documento de la poltica de seguridad de la informacin Pregunta 1: Actualmente en la empresa existe una poltica de seguridad de la informacin aprobado por el gerente y publicado para el conocimiento de todos los empleados y partes externas relevantes de la organizacin? 5.1.2. Revisin de la poltica de seguridad de la informacin Pregunta 2: La poltica de seguridad de la informacin existente en la empresa, tiene en cuenta los resultados de las revisiones de la gerencia?

6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

6.1.1. Compromiso de la gerencia con la seguridad de la informacin Pregunta 3: Existe un apoyo activo por parte de la gerencia para con la seguridad dentro de la organizacin? 6.1.2. Coordinacin de la seguridad de la informacin Pregunta 4: Las actividades de la seguridad de informacin se encuentran debidamente coordinadas e involucra la intervencin de personas que aseguren que dichas actividades de seguridad sean ejecutadas en conformidad con la poltica de seguridad de informacin? 6.1.3. Asignacin de las responsabilidades de la seguridad de la informacin Pregunta 5: Se encuentran definidas las responsabilidades de la seguridad de informacin? Se realizan alineadas a la poltica de seguridad de informacin? 6.1.4. Autorizacin de proceso para facilidades procesadoras de informacin Pregunta 6: Existe un control necesario ante las vulnerabilidades que se puedan presentar por el uso de facilidades para el procesamiento de informacin? Estas facilidades se encuentran autorizadas por el gerente? 6.1.5. Acuerdos de confidencialidad Pregunta 7: Actualmente los requerimientos de confidencialidad o acuerdos de no-divulgacin tienen en cuenta la proteccin de la informacin confidencial? Con qu frecuencia se revisan estos requerimientos? 6.1.6. Contacto con las autoridades Pregunta 8: Existe un contacto apropiado con autoridades relevantes a la hora de reportar los incidentes de seguridad de la informacin? Estos incidentes son identificados de manera oportuna? 6.1.7. Contacto con grupos de inters especial

Pregunta 9: Existe un contacto apropiado con grupos de inters especiales u otros organismos profesionales? Se ha establecido algn acuerdo de intercambio de informacin con algunos de estos? 6.1.8. Revisin independiente de la seguridad de la informacin Pregunta 10: Existe alguna revisin independiente de la seguridad de la informacin? Quines la realizan? 6.2.1. Identificacin de los riesgos relacionados con los grupos externos Pregunta 11: Se realiza alguna evaluacin de riesgo cuando un grupo externo tiene acceso a los medios de procesamiento de la informacin de la empresa? Existe algn contrato de por medio que avale estos procedimientos? 6.2.2. Tratamiento de la seguridad cuando se lidia con clientes Pregunta 12: Se consideran todos los trminos y requerimientos de seguridad (proteccin de activos, poltica de control de acceso, etc.) antes de proporcionar a los clientes acceso a cualquier activo de la empresa? 6.2.3. Tratamiento de la seguridad en acuerdos con terceros Pregunta 13: Los acuerdos o contratos con terceros abarcan todos los requerimientos de seguridad relevantes para la empresa?

7. GESTIN DE ACTIVOS
7.1.1. Inventario de los activos Pregunta 14: Se han identificado y documentado todos los activos de la empresa, adems de las propiedades y niveles de proteccin? 7.1.2. Propiedad de los activos Pregunta 15: La informacin y los activos asociados con los medios de procesamiento de informacin se encuentran designados como propiedad a una parte de la organizacin? 7.1.3. Uso aceptable de los activos Pregunta 16: Se encuentran documentadas e implementadas reglas para un mejor uso de activos asociados al procesamiento de la informacin? Se siguen conscientemente estas reglas? 7.2.1. Lineamientos de clasificacin Pregunta 17: Se tienen en cuenta las necesidades comerciales y los impactos de estos a la hora de clasificar la informacin? Se encuentra correctamente clasificada dicha informacin? 7.2.2. Etiquetado y manejo de la informacin

Pregunta 18: Se ha desarrollado o implementado procedimientos para el etiquetado y manejo de la informacin? Estos concuerdan con el esquema de clasificacin adoptado por la organizacin?

8. SEGURIDAD DE RECURSOS HUMANOS

8.1.1. Roles y responsabilidades Pregunta 19: Se encuentran bien definidos y documentados los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros? Estos se alinean a la poltica de seguridad de la informacin de la organizacin? 8.1.2. Investigacin de antecedentes Pregunta 20: Existe un chequeo de verificacin de antecedentes de todos los candidatos durante el proceso de pre-empleo? Estos chequeos son manejados en concordancia con cualquier legislacin apropiada existente en la jurisdiccin relevante? 8.1.3. Trminos y condiciones del empleo Pregunta 21: Los trminos y condiciones del contrato de trabajo establecen las responsabilidades, tanto de los usuarios, contratistas y terceros, as como tambin de la organizacin para la seguridad de la informacin? 8.2.1. Responsabilidades de la gerencia Pregunta 22: La gerencia informa apropiadamente a los empleados sobre sus roles y responsabilidades de seguridad antes de otorgarle acceso a informacin confidencial o a los sistemas de informacin? 8.2.2. Conocimiento, educacin y capacitacin en seguridad de la informacin Pregunta 23: Existe una constante capacitacin a todos los empleados de la organizacin en los temas de seguridad, polticas y procedimientos organizaciones relevantes para su funcin laboral? 8.2.3. Proceso disciplinario Pregunta 24: Existe algn proceso disciplinario para los empleados que han cometido un incumplimiento de seguridad? 8.3.1. Responsabilidades de terminacin Pregunta 25: Se han definido y asignado claramente las responsabilidades en el momento de realizar la terminacin o el cambio de empleo? Se informa a los usuarios empleados, contratistas o terceras personas de los cambios en el personal y los acuerdos de operacin? 8.3.2. Devolucin de los activos Pregunta 26: Se formaliza el proceso de terminacin del empleo para la devolucin de todos los activos organizacionales pertenecientes a la empresa? 8.3.3. Retiro de los derechos de acceso

Pregunta 27: Existe un control sobre las amenazas y vulnerabilidades que se puedan presentar despus del retiro de los derechos de acceso a un empleado?

9. SEGURIDAD FSICA Y AMBIENTAL

9.1.1. Permetro de seguridad fsica Pregunta 28: Actualmente la empresa cuenta con permetros de seguridad con la finalidad de proteger las reas que contienen informacin y medios de procesamiento de informacin relevantes?

9.1.2. Controles de ingreso fsico Pregunta 29: Existen controles de ingreso apropiados en las reas seguras que permitan el acceso a personal autorizado?

9.1.3. Asegurar las oficinas, habitaciones y medios Pregunta 30: Se han diseado o existen medidas de seguridad para la proteccin fsica de las oficinas, habitaciones y medios de la empresa? Se tienen en cuenta los estndares y regulaciones de sanidad y seguridad relevantes? 9.1.4. Proteccin contra amenazas externas e internas Pregunta 31: Actualmente existen medidas de proteccin fsica contra desastres naturales o aquellos causados por el hombre (teniendo en cuenta entidades externas)? 9.1.5. Trabajo en reas aseguradas Pregunta 32: Se han diseado o existen medidas de seguridad que permitan trabajar en reas aseguradas? 9.1.6. reas de acceso pblico, entrega y carga Pregunta 33: Existe un control en los puntos de acceso en la que es posible que personas noautorizadas puedan ingresar al local? 9.2.1. Ubicacin y proteccin del equipo Pregunta 34: Se encuentran bien ubicados y protegidos los equipos relevantes de la empresa? 9.2.2. Servicios pblicos de soporte Pregunta 35: Existen medidas de proteccin ante fallas de energa y otras interrupciones causadas por fallas de los servicios pblicos de soporte? 9.2.3. Seguridad del cableado Pregunta 36: Se encuentran debidamente protegidos y ubicados los cableados de energa y telecomunicaciones?

9.2.4. Mantenimiento de equipo Pregunta 37: Existe un constante mantenimiento preventivo y correctivo de los equipos ante fallas sospechadas o reales? 9.2.5. Seguridad del equipo fuera del local Pregunta 38: Existen medidas de seguridad cuando se trabaja con un equipo fuera del local de la organizacin? 9.2.6. Seguridad de la eliminacin o re-uso del equipo Pregunta 39: Existe algn control sobre la seguridad de la eliminacin o re-uso de equipos que contengan informacin confidencial y relevante para la empresa? 9.2.7. Retiro de la propiedad Pregunta 40: Se realizan chequeos o controles inesperados para detectar el retiro de alguna informacin o propiedad sin la autorizacin correspondiente?

10. GESTIN DE COMUNICACIONES Y OPERACIONES

10.1.1. Procedimientos de operacin documentados Pregunta 41: Los procedimientos de operacin se encuentran debidamente documentados y actualizados? Estos se ponen a disposicin de cualquier usuario que lo solicite? 10.1.2. Gestin del cambio Pregunta 42: Se han establecidos responsabilidades y procedimiento gerenciales para el control de todos los cambios en el equipo, software o procedimientos? Actualmente existe un registro de auditora? 10.1.3. Segregacin de los deberes Pregunta 43: Actualmente existe en la empresa algn mtodo de segregacin de deberes que permita reducir el riesgo de un mal uso accidental o deliberado de la informacin? 10.1.4. Separacin de los medios de desarrollo, prueba y operacin Pregunta 44: Existe un adecuado nivel de separacin entre los ambientes de desarrollo, prueba y operacin? 10.2.1. Entrega del servicio Pregunta 45: Existe un control sobre la implementacin, operacin y mantenimiento de lo estipulado en el acuerdo de entrega de servicios de terceros? 10.2.2. Monitoreo y revisin de los servicios de terceros Pregunta 46: Actualmente se revisan, monitorean y se auditan los servicios, reportes y registros provistos por terceros?

10.2.3. Manejo de cambios en los servicios de terceros Pregunta 47: Se tiene en cuenta el grado crtico de los sistemas y procesos de negocio en el momento del manejo de cambios en la provisin de servicios? 10.3.1. Gestin de la capacidad Pregunta 48: Se realizan proyecciones de los requerimientos de capacidad futura tomando en cuenta los requerimientos de los negocios, sistemas nuevos y tendencias actuales y proyectadas? 10.3.2. Aceptacin del sistema Pregunta 49: La aceptacin de los nuevos sistemas de informacin incluye un proceso de certificacin y acreditacin formal? Se llevan a cabo pruebas antes de su aceptacin? 10.4.1. Controles contra cdigos maliciosos Pregunta 50: Existe un adecuado control de deteccin, prevencin y recuperacin contra cdigos malicioso? 10.4.2. Controles contra cdigos mviles Pregunta 51: Existen medidas de seguridad en caso el cdigo mvil realice acciones noautorizadas? 10.5.1. Copias de seguridad de la informacin Pregunta 52: Actualmente la empresa cuenta con polticas de copias de respaldo de la informacin y software? Cuenta con procedimientos de respaldo automatizados? 10.6.1. Controles de redes Pregunta 53: Existe un adecuado control y manejo de las redes, que garantice la proteccin de la informacin en las redes y la seguridad de los sistemas y aplicaciones que usen esta tecnologa? 10.6.2. Seguridad de los servicios de la red Pregunta 54: Actualmente se lleva a cabo algn monitoreo o control sobre la capacidad del proveedor de servicios de red, que garantice el cumplimiento de los acuerdos de seguridad? Monitoreo de red avanzada 10.7.1. Gestin de Soportes Extrables Pregunta 55: Se aplican procedimientos o polticas para el control de los medios removibles utilizados para la trasmisin o manejo de informacin? 10.7.2. Retirada de soportes Eliminan la informacin que ya no es til en la organizacin, y este proceso es llevado a cabo por alguien de confianza?

10.7.3. Procedimientos de manipulacin de la informacin Se protege la informacin importante de tal manera que no sea extrada fuera de la organizacin ni usada con propsitos no adecuados? 10.7.4. Seguridad de la documentacin del sistema La documentacin del sistema en funcionamiento est debidamente protegida y es conocida por solo las personas encargadas del mantenimiento del mismo? 10.8.1. Polticas y procedimientos de intercambio de informacin Tienen establecidas polticas con la finalidad de acreditar la confidencialidad y uso adecuado de informacin por parte de los trabajadores? 10.8.2. Acuerdos de intercambio Se considera el empaquetamiento y encriptamiento de la informacin con la finalidad de evitar que la informacin sea robada y descifrada? 10.8.3. Soportes fsicos en trnsito Se restringe el acceso de dispositivos de almacenamiento extraos a la organizacin? 10.8.4. Mensajera electrnica La emisin y recepcin de mensajes electrnicos se da a travs de una red segura? 10.8.5. Sistemas de informacin empresariales Los sistemas exteriores con proveedores o clientes son seguros y confiables? 10.9.1. Comercio electrnico Para el caso de los clientes que utilizan el sistema para transaccin de informacin en lnea, existe un debido procedimiento de autenticacin que respalde al cliente? 10.9.2. Transacciones en lnea El sistema cuenta con mecanismos que acrediten que la transaccin de la informacin sea rpida y segura? 10.9.3. Informacin pblicamente disponible La integridad de la informacin enviada est asegurada por el sistema?

10.10.1. Registros de auditora Los eventos de seguridad y auditoria son debidamente registrados con la finalidad de acreditar la confiabilidad del sistema? 10.10.2. Supervisin del uso del sistema

La institucin cuenta con procedimientos para el monitoreo del uso de los medios de procesamiento de informacin, y dicho monitoreo es realizado de forma regular? 10.10.3. Proteccin de la informacin de los registros Los medios de almacenamiento del historial de registros estn debidamente protegido contra modificaciones y accesos no autorizados? 10.10.4. Registros de administracin y operacin A parte de lo anterior mencionado se llevar un registro de la actividad realizada por los administradores de los medio de monitoreo? 10.10.5. Registros de fallos Para evitar problemas en el futuro, las falas y posibles causas son registras en el sistema de monitoreo de sistema? 10.10.6. Sincronizacin del reloj Los relojes y fechas del sistema estn debidamente sincronizados con el horario local y nacional?

11. CONTROL DE ACCESO

11.1.1. Poltica de Control de acceso Actualmente llevan a cabo polticas de control de acceso en base a los requerimientos de seguridad? 11.2.1. Registro de usuario El sistema permite un debido procedimiento de registro para la inscripcin y des inscripcin de usuarios al sistema? 11.2.2. Gestin de privilegios Las funcionalidades que el sistema brinda al usuario estn debidamente destinadas y restringidas especficamente para el apoyo de las funciones que solo deben ser desarrolladas por ellos mismos? 11.2.3. Gestin de contraseas de usuario Cmo establecen el proceso de asignacin de claves para el usuario, es asignada por ustedes mismos o el usuario tiene la libertad de establecer su propia clave de seguridad? 11.2.4. Revisin de los derechos de acceso de usuario La renovacin de cuentas de usuario, modificacin o eliminacin se da en tiempos o periodos determinados o se aplican estos procedimientos por otros motivos? Cuales? 11.3.1. Uso de contraseas Los usuarios del sistema tienen el principio de confidencialidad de sus propias claves de seguridad?

11.3.2. Equipo de usuario desatendido Los usuarios tienen asignadas su propio y nico dispositivo de trabajo, y en los tiempos en que no es utilizado est debidamente protegido en caso de que otra persona intente utilizarlo? 11.3.3. Poltica de puesto de trabajo despejado y pantalla limpia Los escritorios de los computadores solo presentan los iconos debidos y el rea de trabajo cuenta con el debido espacio para garantizar el adecuado desempeo del trabajador? 11.4.1. Poltica de uso de servicios de red Los servicios de red para los usuarios estn debidamente distribuidos de acuerdo a la autorizacin que tienen para su uso? 11.4.2. Autenticacin de usuario para conexiones externas Se aplica la debida autenticacin de usuario para una conexin remota a la red? 11.4.3. Identificacin de los equipos en las redes Los equipos que ingresan a la red se pueden conectar de manera automtica o se debe hacer una previa configuracin y registro del mismo? 11.4.4. Identificacin de los equipos en las redes Se protege tanto fsicamente como lgicamente el acceso a la red? 11.4.5. Identificacin de los equipos en las redes La red est debidamente segmentada de manera lgica con la finalidad de salvaguardar la informacin concerniente a los diferentes grupos dentro de la organizacin? 11.4.6. Identificacin de los equipos en las redes Se aplican polticas de control de red para restringir la capacidad de conexin de usuarios en redes compartidas? 11.4.7. Identificacin de los equipos en las redes Se utiliza control de enrutamiento para asegurar el adecuado flujo de informacin? 11.5.1. Procedimientos seguros de inicio de sesin

El acceso a servicios operativos est debidamente controlado por un procedimiento de registro seguro? 11.5.2. Identificacin y autenticacin de usuario Todos los usuarios tienen un identificador nico para su uso personal y exclusivo y una tcnica de autenticacin adecuada para su validacin?

11.5.3. Sistema de gestin de contraseas El sistema de manejo de claves asegura la calidad de las claves asignadas? 11.5.4. Uso de los recursos del sistema Las aplicaciones asignadas a ciertos usuarios estn limitadas dependiendo la capacidad para trabajar del sistema? 11.5.5. Desconexin automtica de sesin Las sesiones inactivas son cerradas luego de un periodo de espera? 11.5.6. Limitacin del tiempo de conexin Los tiempos de conexin utilizan restricciones para proporcionar seguridad adicional a aplicaciones de alto riesgo? 11.6.1. Restriccin del acceso a la informacin El acceso de informacin se restringe de acuerdo al usuario que soporta el sistema? Pedro Pea 11.6.2. Aislamiento de sistemas sensibles Los sistemas sensibles tienen un ambiente de cmputo dedicado? 11.7.1. Ordenadores porttiles y comunicaciones mviles Se puede establecer comunicacin con el sistema mediante dispositivos mviles? 11.7.2. Teletrabajo Existen polticas para actividades con tele trabajadores en la organizacin?

12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LSO SISTEMAS DE INFORMACIN

12.1.1. Anlisis y especificacin de los requerimientos de seguridad El sistema acredita la seguridad integral de la informacin que manipula? 12.2.1. Validacin de los datos de entrada Se utilizan mecanismos de validacin para asegurar que los datos son confiables? 12.2.2. Control del procesamiento interno

El sistema incorpora chequeos de validacin en las aplicaciones para detectar posibles amenazas?

12.2.3. Integridad del mensaje El sistema cuenta con los controles apropiados para la proteccin de la informacin? 12.2.4. Validacin de la output data El sistema valida las salidas de las aplicaciones para asegurar que el procesamiento de la informacin es correcto? 12.3.1. Poltica sobre el uso de controles criptogrficos La informacin del sistema utiliza mecanismos de encriptado? 12.3.2. Gestin de claves Se utiliza la gestin de clave en el uso de controles criptogrficos? 12.4.1. Control del software en explotacin Se cuenta con procedimientos establecidos para la instalacin de software en los equipos? 12.4.2. Proteccin de los datos de prueba del sistema Qu medidas tienen implementadas para la proteccin de la data? 12.4.3. Control de acceso al cdigo fuente de los programas Actualmente cuentan con una biblioteca de fuentes del software implementado? 12.5.1. Procedimientos de control de cambios Cmo gestionan la identificacin de todo el software, informacin, base de datos y hardware? 12.5.2. Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo Tienen designado un presupuesto de soporte que cubra pruebas en el sistema con el paso del tiempo? 12.5.3. Restricciones a los cambios en los paquetes de software Cmo cubren la necesidad de realizar un cambio en una funcionalidad del software? 12.5.4. Filtracin de informacin Han asignado un personal exclusivo para monitorear los recursos en los sistemas de cmputo? 12.5.5. Externalizacin del desarrollo de software Utilizan algn software abastecido externamente, si es as este presenta algn certificado de calidad? 12.6.1. Control de las vulnerabilidades tcnicas. Mantienen un registro informtico de las principalidades vulnerabilidades del sistema?

..Victor Hugo

13. GESTIN DE UN INCIDENTE EN LA SEGURIDAD DE LA INFORMACIN

13.1.1. Notificacin de los eventos de seguridad de la informacin Presentan un formato de reportes de eventos de seguridad, y consideran que es adecuado y til? 13.1.2. Notificacin de puntos dbiles de seguridad Su plan de contingencia estndar presenta una retroalimentacin para evitar la recurrencia del caso? 13.2.1. Responsabilidades y procedimientos

13.2.2. Aprendizaje de los incidentes de seguridad de la informacin Tienen un registro de incidentes para evitar problemas en la informacin de alto impacto? 13.2.3. Recoleccin de evidencias Administran procedimientos de la evidencia para una accin disciplinaria?

14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO

14.1.1. Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio Cules son los principales activos identificados en los procesos comerciales crticos? 14.1.2. Continuidad del negocio y evaluacin del riesgo Su plan de contingencia contempla requerimientos de seguridad en lnea para la continuidad del negocio? 14.1.3. Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la informacin Cada cunto tiempo se desarrolla un anlisis de la continuidad del negocio? 14.1.4. Marco Referencial de la planeacin de la continuidad del negocio Identificar la perdida aceptable de la informacin y los servicios? 14.1.5. Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocio Desarrollan una simulacin o prueba de los planes de contingencia?

15. CUMPLIMIENTO
15.1.1. Identificacin de la legislacin aplicable Actualmente tienen actualizados los requerimientos y el enfoque de la organizacin? 15.1.2. Derechos de propiedad intelectual (IPR) Tienen una poltica de cumplimiento de los derechos de propiedad intelectual implementada? 15.1.3. Proteccin de registros organizacionales Qu mtodo de seguridad tienen para proteger los registros organizacionales? 15.1.4. Proteccin de la data y privacidad de la informacin personal Se basan en alguna legislacin para el control y seguridad de la data? 15.1.5. Prevencin del mal uso de los medios de procesamiento de la informacin Tienen una normativa para prevenir el mal uso de recursos de informacin? 15.1.6. Regulacin de controles criptogrficos Han buscado asesora legal para cumplir las regulaciones nacionales sobre controles criptogrficos? 15.2.1. Cumplimiento con las polticas y estndares de seguridad De qu manera evalan las acciones correctivas contra incumplimientos de las normativas de seguridad? 15.2.2. Chequeo del cumplimiento tcnico 15.3.1. Controles de auditora de los sistemas de informacin 15.3.2. Proteccin de las herramientas de auditora de los sistemas de informacin Cmo protegen las herramientas de auditoria de los sistemas de informacin?