Está en la página 1de 12

Preguntas para actividad AUDITORIA ISO-27001:

Existe una poltica de seguridad en las redes WLAN?


Existe una poltica de configuracin base?
Se ha realizado una evaluacin de riesgos en el entorno de la red?
Los APs se encuentran fsicamente seguros?
Existe una apropiada capacitacin para los administradores?
Cul es la arquitectura del entorno de la WLAN?
Qu tecnologa de redes inalmbricas est siendo usada?
Los clientes deben autenticarse a las estaciones base?
Las configuraciones por default de fbrica, como contraseas y SSID han sido cambiada
s?
Con qu regularidad se cambian las contraseas y las llaves de cifrado?
El equipo est realizando broadcast del SSID?
La informacin y datos son cifrados?
Las conexiones que se realizan son registradas?
Existen bitcoras que son revisadas regularmente para encontrar intentos de conexio
nes no autorizados?
Existe un procedimiento para mantener a los usuarios, darlos de alta o baja?
Los clientes estn correctamente configurados con un Firewall personal?
Las instalaciones y configuraciones en los equipos Windows son estndares en toda l
a organizacin?
Existe alguna poltica que describa el otorgar permisos para deshabilitar servicios
?
Los administradores de los sistemas estn familiarizados con los servicios y puerto
s estndares que podran presentarse en sus sistemas?
Existen revisiones peridicas para detectar cambios o nuevos puertos y servicios?
Existen normas y procedimientos escritos sobre el funcionamiento del Servicio de
Informacin?
Est separado el Servicio de Informacin del resto de los departamentos?
Es adecuada la segregacin de funciones en el seno del Servicio de Informacin?
Es cierto que el personal de explotacin no participa nunca en funciones de anlisis?
Es cierto que el personal de explotacin no participa nunca en funciones de desarro
llo de aplicaciones?

Existe organigrama del funcionamiento del Servicio de Informacin?


Estn descritas con detalle las funciones y responsabilidades del personal?
El personal de explotacin, conoce perfectamente cules son sus funciones y sus respon
sabilidades?
Tienen manuales de todas las aplicaciones?
Se rotan las asignaciones de trabajo de los operadores?
Es imposible que los operadores accedan a programas y datos no necesarios para su
trabajo?
Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones?
Existen normas sobre cmo deben de hacerse los cambios de turno para que haya segur
idad de que las aplicaciones continan su proceso?
Personal con conocimientos y experiencia suficiente organizan el trabajo para que
resulte lo ms eficaz posible?
Existen procedimientos de salvaguarda fuera de la instalacin que permitan reconstr
uir las operaciones que sean necesarias?
Personal con autoridad suficiente es el que aprueba los cambios de unas aplicacio
nes por otras?
Existen procedimientos adecuados para mantener la documentacin al da?
Existen controles que garanticen el uso adecuado de los soportes de la informacin,
como discos y cintas?
Existen procedimientos adecuados para conectarse y desconectarse de los equipos r
emotos?
Se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcio
namiento?
Se comprueban los resultados con datos reales?
Participan los departamentos de usuarios en la evaluacin de los datos de prueba?
Personal de los departamentos de usuarios revisan y evalan los resultados de las p
ruebas finales, dando su aprobacin antes de poner en funcionamiento las aplicacio
nes?
Al poner en funcionamiento nuevas aplicaciones, o versiones actualizadas, funciona
n en paralelo las existentes durante un cierto tiempo?
Personal con conocimientos y experiencia adecuada revisa con periodicidad los com
ponentes fsicos de los equipos siguiendo las instrucciones de los fabricantes?
Se cumplen las condiciones ambientales: temperatura, humedad, etc., que recomiend
a el fabricante para el equipo, cintas, etc.?
Existen controles apropiados para que slo las personas autorizadas tengan acceso a
los equipos, cintas, discos, documentacin de programas, etc.?
Existen normas sobre las horas extras y se controlan las entradas y salidas del p

ersonal fuera su horario de trabajo?


Quin en la gestin es responsable de entender y gestionar los riegos empresariales a
sociados con la computacin en la nube?
La administracin cuenta con procesos eficaces para controlar la computacin en la nu
be?
Qu estn haciendo los funcionarios con respecto a la computacin en la nube?
Existe un plan estratgico en las dependencias de la "EMPRESA" y Centro de Informtic
a?
El personal de la "EMPRESA" y Centro de Informtica conoce bien el grupo de funcion
es que le compete a las dependencias?
En el centro de la "EMPRESA" y Centro de Informtica se elaboran planes para superv
isar el cumplimiento de metas durante un periodo?
Se realizan evaluaciones en cuanto al desempeo de los funcionarios de las dependen
cias?
Se lleva controles sobre incumplimientos o negligencia por parte de los funcionar
ios?
El grupo de trabajo de las dependencias de la "EMPRESA" y Centro de Informtica rea
liza su trabajo bajo las normas y polticas internas de la dependencia?
En la "EMPRESA" existe un comit que permita asegurar la objetividad del servicio q
ue brinda esta dependencia?
En el Centro de Informtica existe un organismo que controle y proponga los recurso
s necesarios que requiera la "EMPRESA" en cuanto a tecnologa y sistematizacin?
"EMPRESA" tiene la misin de la dependencia?
"EMPRESA" tiene la visin de la Dependencia?
"EMPRESA" tiene estructura jerrquica de la dependencia?
El centro de informtica tiene misin de la dependencia?
El centro de informtica tiene visin de la dependencia?
El centro de informtica tiene una estructura jerrquica de la dependencia?
Existe un manual del sistema (software) para el mdulo de aplicaciones web?
El manual del sistema contiene?:
- Requerimientos del software y hardware para su funcionamiento?
- Descripcin de la configuracin?
- Descripcin de operacin de cada botn y elementos del mdulo?
- Diagramas de flujo de datos o pseudocdigo de las partes del mdulo?
- Lista de archivos y especificaciones?
- Descripcin y catlogo de reportes?
El manual de sistema del mdulo se cambia cada vez que realizan actualizaciones?
Existe algn procedimiento establecido para mantener actualizado el manual de sopor
te del mdulo?

Existe el diccionario de Datos?


El diccionario de datos contiene?:
- Tablas?
- Relaciones?
- Llaves?
- Descripcin del personal encargado de la funcin de dar mantenimiento del diccionar
io de datos?
- Clasificacin de usuarios, niveles de acceso y restricciones?
- Roles y privilegios?
Le ha sido entregado al personal del rea de sistemas encargado del manejo de mdulos
de los desarrollos de aplicaciones web el diccionario de datos?
Se ha establecido un procedimiento para mantener actualizado el diccionario de da
tos?
Existen polticas y procedimientos en relacin al modelo de arquitectura de informacin
?
El modelo de arquitectura de informacin tiene en cuenta?:
- Identificacin de entrada?
- Identificacin de procesos?
- Identificacin de sitios de almacenamiento (base de datos)?
- Identificacin de reportes?
- Identificacin de la interaccin con otros sistemas?
- Definicin de usuarios finales?
- Requerimientos de la dependencia?
El modelo de arquitectura de informacin del mdulo de aplicaciones web ha sido dado
al personal del rea de sistemas?
Existe un manual para el personal encargado del manejo del hardware?
Existe una descripcin de los diferentes perfiles y competencias que debe cumplir c
ada uno de los funcionarios de TI?
Existe una definicin o descripcin del cargo?
Estn claramente definidas las funciones que debe desempear el trabajador en los dif
erentes cargos?
Estn claras las funciones (mantenimiento preventivo, correctivo, manejo de los equ
ipos, servidores etc.) que debe cumplir el personal encargado de hardware?
Existen planes de contingencia para reemplazar algunos funcionarios en caso de au
sencia?
El plan de contingencia para reemplazar a empleados cumple con lo siguiente:
- Est documentado?
- Tiene el procedimiento para la contratacin de personal de reemplazo?
Existen personas claves en la operacin, administracin y funcionamiento del software
y hardware?
Existen polticas y procedimientos para realizar la contratacin de nuevo personal?
Existen polticas y procedimientos para el aseguramiento de la calidad en el mdulo d
e aplicaciones web?

Existe un plan de calidad de aplicacin a las tecnologas de informacin?


Dentro del plan de calidad se incluye:
- Esta actualizado?
- Los recursos tanto financieros como humanos?
- Fomenta la filosofa de mejora continua?
Se hacen revisiones de aseguramiento de calidad y son evaluadas de acuerdo al cum
plimiento de estndares de calidad?
Se manejan los procedimientos de aplicaciones web de acuerdo al estatuto estudian
til?
Se encuentran identificadas las amenazas en las cuales el mdulo de aplicaciones we
b se puede ver enfrentado tales como:
- Incendios
- virus
- robos
- terrorismo
- ataques cibernticos
- personal inconforme
Existen polticas y procedimientos en relacin a la evaluacin de riesgos en el mdulo de
aplicaciones web?
Se identifica con claridad las responsabilidades en cuanto al uso del sistema de
informacin y equipo de cmputo donde ser implantado y operado?
Est documentado los procedimientos para la evaluacin de riesgos?
Dentro del documento para la evaluacin de riesgos se incluyen?:
- Aspectos relacionados con la actualizacin o mantenimiento del hardware e infraes
tructura de la red?
- El manejo que el usuario le da al equipo de trabajo, sus recursos de software e
instalaciones de otros programas que quitan rendimiento al hardware o pueden se
r causantes de adquisicin de virus?
Se realiza peridicamente una evaluacin de riesgos en el mdulo de aplicaciones web?
Se lleva un reporte o documentacin relacionada con el seguimiento a la identificac
in de riesgos, amenazas y exposiciones?
La identificacin de la documentacin de riesgos contiene?:
- Descripcin de la metodologa de evaluacin de riesgos?
- Identificacin de exposiciones significativas y los riesgos correspondientes?
- Los riesgos y exposiciones correspondientes consideradas?
Existe un enfoque cuantitativo y cualitativo formal, para la identificacin y medic
in de riesgos, amenazas y exposiciones?
Se han categorizado los riesgos del mdulo de aplicaciones web de acuerdo a su nive
l de importancia e impacto?
Existe un plan de accin contra riesgos?
El plan de accin contra riesgos incluye:
- Controles econmicos?
- Medidas de seguridad para evaluar que vuelva a ocurrir el riesgo?
- Seguimiento y monitoreo realizado al proceso?

Se ha realizado un proceso informativo y de toma de conciencia de la evaluacin de


riesgos, al personal del rea de sistemas sobre el desempeo y funcionamiento de las
tecnologas de informacin?
Se enva peridicamente reportes sobre la evaluacin de riesgos al director?
Existe documentacin de los requerimientos de diseo del mdulo de aplicaciones web par
a las diferentes reas y se especifican claramente datos de entrada y salida?
Los diseos del mdulo de aplicaciones web fueron aprobados por los usuarios de la "E
MPRESA"?
Se implement en el mdulo de controles de seguridad de acuerdo a los requerimientos
para el proceso de aplicaciones web?
Existe un desarrollo de procesamientos de datos del mdulo de acuerdo a los requeri
mientos de entrada de la "EMPRESA"?
Existe un desarrollo de procesamientos de datos del mdulo de acuerdo a los requeri
mientos de procesamiento de la "EMPRESA"?
Existe un desarrollo de procesamientos de datos del mdulo de acuerdo a los requeri
mientos de salida de la "EMPRESA"?
Existe el desarrollo de interfaces del mdulo y diseo entre usuarios y mquina que inc
luya:
- Que sea amigable para el usuario?
- Interfaces fciles de usar y cumplan con los requerimientos de los usuarios y est
udiantes?
- Herramientas de ayuda generales?
- Se puede auto documentarse por medio de PDF?
- Herramientas de ayudas auditivas y visuales?
Dentro de las diferentes opciones del mdulo y los diseos se han realizado las valid
aciones necesarias segn el tipo de informacin que se maneja?
Hay continua comunicacin entre los usuarios de mdulo y los diseadores del mdulo?
Existen manuales de referencia para los usuarios del mdulo de aplicaciones web?
Existen polticas y procedimientos para mantener actualizado el manual de usuario?
Los manuales de referencias para los usuarios de encuentran actualizados?
Los manuales de referencia contiene?:
- Especificaciones de todos los botones del mdulo?
- Manejo del mdulo de forma secuencial?
- Especificaciones de las diferentes interfaces del mdulo?
- Se encuentra en forma digital para facilitar su consulta?
Existe un plan de pruebas para el mdulo y la aprobacin del usuario?
El plan de pruebas incluye?:
- Reevaluacin de las interfaces del mdulo de aplicaciones web, verificando que cump
lan con los diseos aprobados por el usuario?
- Evaluacin de los aspectos de seguridad del mdulo, verificando que cumple con los
requerimientos de la "EMPRESA"?
Existe personal capacitado para el manejo, adquisicin y mantenimiento de la infrae
structura tecnolgica?

Existe un procedimiento de poltica para la adquisicin del hardware (comunicacin y se


rvidores)?
Los funcionarios del centro de informtica son conocedores de estas polticas?
Existe un plan de mantenimiento de infraestructura tecnolgica?
El plan de mantenimiento de infraestructura tecnolgica contiene?:
- Mantenimiento preventivo del hardware de comunicaciones?
- Mantenimiento preventivo del hardware de servidores?
- Mantenimiento correctivo del hardware de comunicaciones?
- Mantenimiento correctivo del hardware de servidores?
En cuanto al mantenimiento preventivo del hardware se realiza?:
- Revisin de la instalacin de los equipos de cmputo?
- Revisin peridica del estado de los equipos de cmputo?
- Revisin peridica del estado de los servidores?
- Limpieza fsica (utilizando sopladoras, cremas, productos qumicos especializados,
etc.) de los equipos de cmputo?
- Limpieza fsica (utilizando sopladoras, cremas, productos qumicos especializados,
etc) de los servidores?
En cuanto al mantenimiento correctivo se realiza?:
- Pruebas de funcionamiento de cada uno de los dispositivos (CPU, RAM, BOARD, tar
jeta de red, tarjeta de video) que conforman un servidor?
- Reemplazo del dispositivo defectuoso?
- Reparacin del dispositivo defectuoso?
- Pruebas de funcionamiento de la terminal una vez realizadas el mantenimiento?
Existe manual de funciones para el personal encargado de realizar el mantenimient
o preventivo y correctivo de los equipos de cmputo y servidores?
El manual de funciones para el personal encargado de realizar estas funciones tie
ne en cuenta?:
- Descripcin del cargo y perfil del funcionario encargado de realizar el mantenimi
ento a los equipos de cmputo?
- Descripcin detallada de los procedimientos a seguir dependiendo el caso a revisa
r (dao de disco duro, dao de CPU, dao de monitor, etc)?
Dentro del personal de mantenimiento existe un especialista en reparacin de equipo
s de cmputo?
El personal encargado de realizar el procedimiento de mantenimiento preventivo y
correctivo de los equipos de cmputo tiene la capacidad y la experiencia de hacerl
o?
Existe un inventario detallado de los elementos de hardware que soporten el norma
l funcionamiento?
En este inventario se especifica detalles como?:
- Caractersticas de la memoria RAM?
- Caractersticas de la placa madre?
- Caractersticas del disco duro?
- Caractersticas generales (modelo, referencia, marca) de perifricos (teclado, moni
tor, mouse, etc)?
- Licencia (en caso de necesitarse) del sistema Operativo instalado?
Existen polticas o normas en el centro de informtica relacionadas con la implantacin
de sistemas de informacin y el control de cambios?

El control de cambios es un procedimiento formal para el personal de rea de sistem


as, relacionados con el manejo del mdulo de aplicaciones web?
Se lleva una documentacin en bitcoras del monitoreo del proceso de cambios en el mdu
lo de aplicaciones web?
Para la realizacin de un cambio se lleva a cabo los siguientes pasos?:
- Solicitud del cambio?
- Especificacin del cambio?
- Realizacin de pruebas sobre el cambio?
- Prueba de aceptacin por parte del usuario?
- Proceso de distribucin (capacitacin a los usuarios finales sobre el manejo del ca
mbio en el mdulo)?
Se lleva un registro de los cambios realizados?
Se realiza una evaluacin de los cambios realizados?
Existen polticas y estrategias para garantizar la continuidad del proceso de aplic
aciones web en la "EMPRESA"?
En el plan de continuidad de los procesos del mdulo de aplicaciones web contempla
una estrategia que ha funcionado de manera correcta ante esas situaciones?
En el plan de continuidad se contempla la identificacin de los puntos crticos?
Si existe un plan de continuidad, en l se observa el impacto de los puntos crticos?
El plan de continuidad contiene una gua de cmo utilizarlo?
Se lleva a cabo sesiones de entrenamiento o capacitaciones con la frecuencia debi
da con respecto a lo que se debe realizar en caso de incidentes o interrupcin no
planeada?
El plan de continuidad identifica los periodos o la frecuencia con que ocurren lo
s puntos crticos?
El plan de continuidad describe la funcin e identifica los responsables?
Los roles del grupo de trabajo de la dependencia tienen la responsabilidad del as
eguramiento de la continuidad de los servicios del proceso de aplicaciones web a
nte cualquier situacin?
Existe polticas y lineamientos necesarios para guiar las acciones de prevencin de d
esastres y para asegurar que se cuenta con los planes necesarios para enfrentar
y recuperarse de un desastre, con el menor impacto posible?
El Grupo de trabajo de la dependencia tiene en conocimiento los distintos riesgos
o situaciones que puedan interrumpir el proceso de aplicaciones web?
Existe documentacin o registro de las distintas interrupciones no planeadas en el
software?
Existe una estrategia de control del plan de continuidad?
Existe una persona o personal encargado sobre el control del plan de continuidad?

Se lleva un control evaluando y verificando la precisin y eficiencia del plan?


Se realiza un anlisis de mejoramiento del plan de continuidad?
Cmo plan de Continuidad se cuenta adems con un respaldo de almacenamiento de inform
acin?
Se cuenta con un plan de Continuidad como respaldos para los recursos o dispositi
vos como servidores?
Existe un plan de seguridad que garantice la proteccin de la informacin?
Existe un plan de seguridad que garantice la proteccin del personal de trabajo deb
ido a las condiciones en que laboran?
Existe un plan de seguridad que garantice la proteccin de los dispositivos y recur
sos de la dependencia?
Estn asegurados fsicamente los servidores?
Existe un lugar de almacenamiento de respaldo de la informacin dentro de la depend
encia?
Existe un lugar distinto de la "EMPRESA" de almacenamiento de respaldo de la info
rmacin?
Existen un control el cual supervise el plan de Seguridad y garantice un buen ren
dimiento?
Se realiza un estudio en el cual se identifique los casos o incidentes que vulner
en el plan de seguridad?
Se cuenta con la tecnologa y seguridad necesaria para evitar el sabotaje e infiltr
aciones?
Se utiliza tcnicas de encriptacin como un procedimiento de seguridad para asegurar
que la informacin es enviada y recibida por canales confiables?
Utilizan tcnicas para evitar la infeccin de software malicioso?
Se realiza mantenimiento preventivo en los equipos de la dependencia durante peri
odos por tcnicos encargados?
Tiene cada usuario su propia contrasea?
Las contraseas las cambian peridicamente?
Se exige peridicamente el cambio de contrasea?
Existe un departamento encargado de asignar las contraseas?
Queda un registro de ingreso y actividades de administrador?
Queda un registro de ingreso y actividades de usuario?
Queda un registro de ingreso y actividades de usuario estudiantes?
Posee informacin de todos los usuarios q tienen acceso al mdulo?
Se lleva un seguimiento a las copias de seguridad?

Existe limitacin de acceso a los usuarios del sistema?


Los funcionarios tienen permisos para modificar informacin?
Considera que el usuario y contrasea suministrados al momento de ingresar al siste
ma son suficientes para evitar el sabotaje o la violacin al mdulo de aplicaciones
web?
Se garantizan que se utilizan tcnicas de seguridad y procedimientos de seguridad a
sociados para autorizar accesos y controlar los flujos de informacin desde y haci
a la red?
Existen procedimientos de capacitacin sobre?:
- Controles de seguridad de los planes que maneja la "EMPRESA"?
- Valores ticos y sistmicos (concientizar en controles de Seguridad y la tica).
- Entrenamiento para los usuarios de atencin
- Requerimientos de educacin contnua profesional (Perfiles de competencia, Certifi
caciones necesarias).
- Confidencialidad, integridad y desempeo de las funciones en una forma segura.
- Prcticas de seguridad para la proteccin contra daos ocasionados por fallas que af
ecten la disponibilidad?
En cuanto a los procedimientos de capacitacin a usuarios?:
- Existe un reglamento para proporcionar estos servicios
- Se imparten cursos de capacitacin de forma frecuente
- Se brindan asesoras en las reas que se requiera?
Las capacitaciones brindadas contribuyen en las acciones laborales y de brindar u
n mejor desarrollo?
Existen polticas y procedimientos para dar solucin a problemas de usuarios relacion
ados por fallas del software?
Existe un control y revisin del funcionamiento del software de manera frecuente pa
ra verificar que los procesos se realicen de manera adecuada?
Existen polticas y procedimientos para priorizar problemas de usuarios por fallas
del software?
Existe un mesa de ayuda tcnica para resolver problemas en los dispositivos o recur
sos como servidores o Pc s?
Existe una identificacin de los incidentes o fallas del software para optimizacin o
mejora del Software?
Existe una optimizacin del software en cuanto a las fallas encontradas y mejorar s
u rendimiento?
Existe una optimizacin del Software para brindar mayor servicios y realizar ms proc
esos de manera optimizada?
Se da solucin oportuna en un determinado tiempo a los problemas e incidentes repor
tados?
El funcionario encargado de realizar las mejoras del software lleva un registro de
las actualizaciones y mejoras que se realizan en el software?
Existen polticas organizacionales relacionadas con la utilizacin de software o equi
po no autorizado?

Se realizan revisiones en los equipos de cmputo con el fin de supervisar la instal


acin de software no admitido por la "EMPRESA" y que pueda provocar inconsistencia
s en el rendimiento del PC?
Se lleva control de inventario sobre los dispositivos y recursos adquiridos dentr
o de la dependencia?
Existen polticas y procedimientos de seguridad para el acceso y salida de las pers
onas que ingresa a la dependencia?
Existe controles para restringir el acceso fsico de las personas al rea?
Existen controles fsicos y ambientales para garantizar el bienestar y proteccin de
los recursos y funcionarios?
Los controles funcionan de manera adecuada?
Las condiciones fsicas donde se encuentran los equipos de cmputo cumplen con los re
querimientos de seguridad establecidos?
Las instalaciones del centro de cmputo, cumplen con los requerimientos en cuanto a
?:
- Espacio y movilidad?
- Posibilidad de movilidad de los equipos?
- Suelo fijo?
Se administran las instalaciones y equipo de comunicaciones y energa, de acuerdo c
on los reglamentos, requerimientos tcnicos y lineamientos de seguridad y salud?
Se maneja una planta de energa de reserva por si la electricidad prestada por el p
roveedor falla?
Se realiza Mantenimiento sobre el equipo de cmputo que manejan los funcionarios?
Existe un plan de soporte tcnico en las dependencias?
Se asigna personal especializado para realizar soporte tcnico sobre los equipos de
cmputo de las dependencias?
Se tiene conciencia y se aplica sobre las medidas de prevencin que se deben usar s
obre los equipos, dispositivos y software para evitar complicaciones ms adelante?
El estado de la infraestructura fsica es apropiado y seguro para la dependencia?
Existen polticas o procedimientos relacionados con los procesos de monitoreo de la
s actividades encaminadas a brindar seguridad lgica (software)?
Existen polticas o procedimientos relacionados con los procesos de monitoreo de la
s actividades encaminadas a brindar seguridad fsica (servidores y equipos de cmput
o)?
Se monitorea de forma continua, compara y mejora el ambiente de control en cuanto
?:
- Infraestructura?
- Software del mdulo de aplicaciones web?
- Servidores?
- Equipos de cmputo?

Se define quien va a realizar el monitoreo?


Se toman acciones correctivas de acuerdo al resultado de la evaluacin del monitore
o?
Existe documentacin de este proceso?