Documentos de Académico
Documentos de Profesional
Documentos de Cultura
POLTICA DE SEGURIDAD
5.1.1. Documento de la poltica de seguridad de la informacin Pregunta 1: Actualmente en la empresa existe una poltica de seguridad de la informacin aprobado por el gerente y publicado para el conocimiento de todos los empleados y partes externas relevantes de la organizacin? 5.1.2. Revisin de la poltica de seguridad de la informacin Pregunta 2: La poltica de seguridad de la informacin existente en la empresa, tiene en cuenta los resultados de las revisiones de la gerencia?
Pregunta 9: Existe un contacto apropiado con grupos de inters especiales u otros organismos profesionales? Se ha establecido algn acuerdo de intercambio de informacin con algunos de estos? 6.1.8. Revisin independiente de la seguridad de la informacin Pregunta 10: Existe alguna revisin independiente de la seguridad de la informacin? Quines la realizan? 6.2.1. Identificacin de los riesgos relacionados con los grupos externos Pregunta 11: Se realiza alguna evaluacin de riesgo cuando un grupo externo tiene acceso a los medios de procesamiento de la informacin de la empresa? Existe algn contrato de por medio que avale estos procedimientos? 6.2.2. Tratamiento de la seguridad cuando se lidia con clientes Pregunta 12: Se consideran todos los trminos y requerimientos de seguridad (proteccin de activos, poltica de control de acceso, etc.) antes de proporcionar a los clientes acceso a cualquier activo de la empresa? 6.2.3. Tratamiento de la seguridad en acuerdos con terceros Pregunta 13: Los acuerdos o contratos con terceros abarcan todos los requerimientos de seguridad relevantes para la empresa?
7. GESTIN DE ACTIVOS
7.1.1. Inventario de los activos Pregunta 14: Se han identificado y documentado todos los activos de la empresa, adems de las propiedades y niveles de proteccin? 7.1.2. Propiedad de los activos Pregunta 15: La informacin y los activos asociados con los medios de procesamiento de informacin se encuentran designados como propiedad a una parte de la organizacin? 7.1.3. Uso aceptable de los activos Pregunta 16: Se encuentran documentadas e implementadas reglas para un mejor uso de activos asociados al procesamiento de la informacin? Se siguen conscientemente estas reglas? 7.2.1. Lineamientos de clasificacin Pregunta 17: Se tienen en cuenta las necesidades comerciales y los impactos de estos a la hora de clasificar la informacin? Se encuentra correctamente clasificada dicha informacin? 7.2.2. Etiquetado y manejo de la informacin
Pregunta 18: Se ha desarrollado o implementado procedimientos para el etiquetado y manejo de la informacin? Estos concuerdan con el esquema de clasificacin adoptado por la organizacin?
Pregunta 27: Existe un control sobre las amenazas y vulnerabilidades que se puedan presentar despus del retiro de los derechos de acceso a un empleado?
9.1.2. Controles de ingreso fsico Pregunta 29: Existen controles de ingreso apropiados en las reas seguras que permitan el acceso a personal autorizado?
9.1.3. Asegurar las oficinas, habitaciones y medios Pregunta 30: Se han diseado o existen medidas de seguridad para la proteccin fsica de las oficinas, habitaciones y medios de la empresa? Se tienen en cuenta los estndares y regulaciones de sanidad y seguridad relevantes? 9.1.4. Proteccin contra amenazas externas e internas Pregunta 31: Actualmente existen medidas de proteccin fsica contra desastres naturales o aquellos causados por el hombre (teniendo en cuenta entidades externas)? 9.1.5. Trabajo en reas aseguradas Pregunta 32: Se han diseado o existen medidas de seguridad que permitan trabajar en reas aseguradas? 9.1.6. reas de acceso pblico, entrega y carga Pregunta 33: Existe un control en los puntos de acceso en la que es posible que personas noautorizadas puedan ingresar al local? 9.2.1. Ubicacin y proteccin del equipo Pregunta 34: Se encuentran bien ubicados y protegidos los equipos relevantes de la empresa? 9.2.2. Servicios pblicos de soporte Pregunta 35: Existen medidas de proteccin ante fallas de energa y otras interrupciones causadas por fallas de los servicios pblicos de soporte? 9.2.3. Seguridad del cableado Pregunta 36: Se encuentran debidamente protegidos y ubicados los cableados de energa y telecomunicaciones?
9.2.4. Mantenimiento de equipo Pregunta 37: Existe un constante mantenimiento preventivo y correctivo de los equipos ante fallas sospechadas o reales? 9.2.5. Seguridad del equipo fuera del local Pregunta 38: Existen medidas de seguridad cuando se trabaja con un equipo fuera del local de la organizacin? 9.2.6. Seguridad de la eliminacin o re-uso del equipo Pregunta 39: Existe algn control sobre la seguridad de la eliminacin o re-uso de equipos que contengan informacin confidencial y relevante para la empresa? 9.2.7. Retiro de la propiedad Pregunta 40: Se realizan chequeos o controles inesperados para detectar el retiro de alguna informacin o propiedad sin la autorizacin correspondiente?
10.2.3. Manejo de cambios en los servicios de terceros Pregunta 47: Se tiene en cuenta el grado crtico de los sistemas y procesos de negocio en el momento del manejo de cambios en la provisin de servicios? 10.3.1. Gestin de la capacidad Pregunta 48: Se realizan proyecciones de los requerimientos de capacidad futura tomando en cuenta los requerimientos de los negocios, sistemas nuevos y tendencias actuales y proyectadas? 10.3.2. Aceptacin del sistema Pregunta 49: La aceptacin de los nuevos sistemas de informacin incluye un proceso de certificacin y acreditacin formal? Se llevan a cabo pruebas antes de su aceptacin? 10.4.1. Controles contra cdigos maliciosos Pregunta 50: Existe un adecuado control de deteccin, prevencin y recuperacin contra cdigos malicioso? 10.4.2. Controles contra cdigos mviles Pregunta 51: Existen medidas de seguridad en caso el cdigo mvil realice acciones noautorizadas? 10.5.1. Copias de seguridad de la informacin Pregunta 52: Actualmente la empresa cuenta con polticas de copias de respaldo de la informacin y software? Cuenta con procedimientos de respaldo automatizados? 10.6.1. Controles de redes Pregunta 53: Existe un adecuado control y manejo de las redes, que garantice la proteccin de la informacin en las redes y la seguridad de los sistemas y aplicaciones que usen esta tecnologa? 10.6.2. Seguridad de los servicios de la red Pregunta 54: Actualmente se lleva a cabo algn monitoreo o control sobre la capacidad del proveedor de servicios de red, que garantice el cumplimiento de los acuerdos de seguridad? Monitoreo de red avanzada 10.7.1. Gestin de Soportes Extrables Pregunta 55: Se aplican procedimientos o polticas para el control de los medios removibles utilizados para la trasmisin o manejo de informacin? 10.7.2. Retirada de soportes Eliminan la informacin que ya no es til en la organizacin, y este proceso es llevado a cabo por alguien de confianza?
10.7.3. Procedimientos de manipulacin de la informacin Se protege la informacin importante de tal manera que no sea extrada fuera de la organizacin ni usada con propsitos no adecuados? 10.7.4. Seguridad de la documentacin del sistema La documentacin del sistema en funcionamiento est debidamente protegida y es conocida por solo las personas encargadas del mantenimiento del mismo? 10.8.1. Polticas y procedimientos de intercambio de informacin Tienen establecidas polticas con la finalidad de acreditar la confidencialidad y uso adecuado de informacin por parte de los trabajadores? 10.8.2. Acuerdos de intercambio Se considera el empaquetamiento y encriptamiento de la informacin con la finalidad de evitar que la informacin sea robada y descifrada? 10.8.3. Soportes fsicos en trnsito Se restringe el acceso de dispositivos de almacenamiento extraos a la organizacin? 10.8.4. Mensajera electrnica La emisin y recepcin de mensajes electrnicos se da a travs de una red segura? 10.8.5. Sistemas de informacin empresariales Los sistemas exteriores con proveedores o clientes son seguros y confiables? 10.9.1. Comercio electrnico Para el caso de los clientes que utilizan el sistema para transaccin de informacin en lnea, existe un debido procedimiento de autenticacin que respalde al cliente? 10.9.2. Transacciones en lnea El sistema cuenta con mecanismos que acrediten que la transaccin de la informacin sea rpida y segura? 10.9.3. Informacin pblicamente disponible La integridad de la informacin enviada est asegurada por el sistema?
10.10.1. Registros de auditora Los eventos de seguridad y auditoria son debidamente registrados con la finalidad de acreditar la confiabilidad del sistema? 10.10.2. Supervisin del uso del sistema
La institucin cuenta con procedimientos para el monitoreo del uso de los medios de procesamiento de informacin, y dicho monitoreo es realizado de forma regular? 10.10.3. Proteccin de la informacin de los registros Los medios de almacenamiento del historial de registros estn debidamente protegido contra modificaciones y accesos no autorizados? 10.10.4. Registros de administracin y operacin A parte de lo anterior mencionado se llevar un registro de la actividad realizada por los administradores de los medio de monitoreo? 10.10.5. Registros de fallos Para evitar problemas en el futuro, las falas y posibles causas son registras en el sistema de monitoreo de sistema? 10.10.6. Sincronizacin del reloj Los relojes y fechas del sistema estn debidamente sincronizados con el horario local y nacional?
11.3.2. Equipo de usuario desatendido Los usuarios tienen asignadas su propio y nico dispositivo de trabajo, y en los tiempos en que no es utilizado est debidamente protegido en caso de que otra persona intente utilizarlo? 11.3.3. Poltica de puesto de trabajo despejado y pantalla limpia Los escritorios de los computadores solo presentan los iconos debidos y el rea de trabajo cuenta con el debido espacio para garantizar el adecuado desempeo del trabajador? 11.4.1. Poltica de uso de servicios de red Los servicios de red para los usuarios estn debidamente distribuidos de acuerdo a la autorizacin que tienen para su uso? 11.4.2. Autenticacin de usuario para conexiones externas Se aplica la debida autenticacin de usuario para una conexin remota a la red? 11.4.3. Identificacin de los equipos en las redes Los equipos que ingresan a la red se pueden conectar de manera automtica o se debe hacer una previa configuracin y registro del mismo? 11.4.4. Identificacin de los equipos en las redes Se protege tanto fsicamente como lgicamente el acceso a la red? 11.4.5. Identificacin de los equipos en las redes La red est debidamente segmentada de manera lgica con la finalidad de salvaguardar la informacin concerniente a los diferentes grupos dentro de la organizacin? 11.4.6. Identificacin de los equipos en las redes Se aplican polticas de control de red para restringir la capacidad de conexin de usuarios en redes compartidas? 11.4.7. Identificacin de los equipos en las redes Se utiliza control de enrutamiento para asegurar el adecuado flujo de informacin? 11.5.1. Procedimientos seguros de inicio de sesin
El acceso a servicios operativos est debidamente controlado por un procedimiento de registro seguro? 11.5.2. Identificacin y autenticacin de usuario Todos los usuarios tienen un identificador nico para su uso personal y exclusivo y una tcnica de autenticacin adecuada para su validacin?
11.5.3. Sistema de gestin de contraseas El sistema de manejo de claves asegura la calidad de las claves asignadas? 11.5.4. Uso de los recursos del sistema Las aplicaciones asignadas a ciertos usuarios estn limitadas dependiendo la capacidad para trabajar del sistema? 11.5.5. Desconexin automtica de sesin Las sesiones inactivas son cerradas luego de un periodo de espera? 11.5.6. Limitacin del tiempo de conexin Los tiempos de conexin utilizan restricciones para proporcionar seguridad adicional a aplicaciones de alto riesgo? 11.6.1. Restriccin del acceso a la informacin El acceso de informacin se restringe de acuerdo al usuario que soporta el sistema? Pedro Pea 11.6.2. Aislamiento de sistemas sensibles Los sistemas sensibles tienen un ambiente de cmputo dedicado? 11.7.1. Ordenadores porttiles y comunicaciones mviles Se puede establecer comunicacin con el sistema mediante dispositivos mviles? 11.7.2. Teletrabajo Existen polticas para actividades con tele trabajadores en la organizacin?
El sistema incorpora chequeos de validacin en las aplicaciones para detectar posibles amenazas?
12.2.3. Integridad del mensaje El sistema cuenta con los controles apropiados para la proteccin de la informacin? 12.2.4. Validacin de la output data El sistema valida las salidas de las aplicaciones para asegurar que el procesamiento de la informacin es correcto? 12.3.1. Poltica sobre el uso de controles criptogrficos La informacin del sistema utiliza mecanismos de encriptado? 12.3.2. Gestin de claves Se utiliza la gestin de clave en el uso de controles criptogrficos? 12.4.1. Control del software en explotacin Se cuenta con procedimientos establecidos para la instalacin de software en los equipos? 12.4.2. Proteccin de los datos de prueba del sistema Qu medidas tienen implementadas para la proteccin de la data? 12.4.3. Control de acceso al cdigo fuente de los programas Actualmente cuentan con una biblioteca de fuentes del software implementado? 12.5.1. Procedimientos de control de cambios Cmo gestionan la identificacin de todo el software, informacin, base de datos y hardware? 12.5.2. Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo Tienen designado un presupuesto de soporte que cubra pruebas en el sistema con el paso del tiempo? 12.5.3. Restricciones a los cambios en los paquetes de software Cmo cubren la necesidad de realizar un cambio en una funcionalidad del software? 12.5.4. Filtracin de informacin Han asignado un personal exclusivo para monitorear los recursos en los sistemas de cmputo? 12.5.5. Externalizacin del desarrollo de software Utilizan algn software abastecido externamente, si es as este presenta algn certificado de calidad? 12.6.1. Control de las vulnerabilidades tcnicas. Mantienen un registro informtico de las principalidades vulnerabilidades del sistema?
..Victor Hugo
13.2.2. Aprendizaje de los incidentes de seguridad de la informacin Tienen un registro de incidentes para evitar problemas en la informacin de alto impacto? 13.2.3. Recoleccin de evidencias Administran procedimientos de la evidencia para una accin disciplinaria?
14.1.1. Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio Cules son los principales activos identificados en los procesos comerciales crticos? 14.1.2. Continuidad del negocio y evaluacin del riesgo Su plan de contingencia contempla requerimientos de seguridad en lnea para la continuidad del negocio? 14.1.3. Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la informacin Cada cunto tiempo se desarrolla un anlisis de la continuidad del negocio? 14.1.4. Marco Referencial de la planeacin de la continuidad del negocio Identificar la perdida aceptable de la informacin y los servicios? 14.1.5. Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocio Desarrollan una simulacin o prueba de los planes de contingencia?
15. CUMPLIMIENTO
15.1.1. Identificacin de la legislacin aplicable Actualmente tienen actualizados los requerimientos y el enfoque de la organizacin? 15.1.2. Derechos de propiedad intelectual (IPR) Tienen una poltica de cumplimiento de los derechos de propiedad intelectual implementada? 15.1.3. Proteccin de registros organizacionales Qu mtodo de seguridad tienen para proteger los registros organizacionales? 15.1.4. Proteccin de la data y privacidad de la informacin personal Se basan en alguna legislacin para el control y seguridad de la data? 15.1.5. Prevencin del mal uso de los medios de procesamiento de la informacin Tienen una normativa para prevenir el mal uso de recursos de informacin? 15.1.6. Regulacin de controles criptogrficos Han buscado asesora legal para cumplir las regulaciones nacionales sobre controles criptogrficos? 15.2.1. Cumplimiento con las polticas y estndares de seguridad De qu manera evalan las acciones correctivas contra incumplimientos de las normativas de seguridad? 15.2.2. Chequeo del cumplimiento tcnico 15.3.1. Controles de auditora de los sistemas de informacin 15.3.2. Proteccin de las herramientas de auditora de los sistemas de informacin Cmo protegen las herramientas de auditoria de los sistemas de informacin?