La unidad de tecnologas de informacin cuenta con

polticas para la proteccin de informacin contra

cdigos maliciosos?
Estas polticas incluyen la utilizacin de programas
antivirus para la prevencin y deteccin y eliminacin
de cdigos maliciosos?
Las
polticas
incluyen
procedimientos
de
actualizacin peridica de las bases de datos de
cdigos maliciosos de programas antivirus?
Las polticas incluyen procedimientos de escaneo
programado de cdigos maliciosos de toda la
informacin contenida en servidores y equipos de la
empresa?
La unidad de tecnologas de informacin cuenta con
procedimientos para la recuperacin de informacin
ante ataques de cdigos maliciosos?
la unidad de tecnologas de informacin capacita a
los usuarios acerca del uso correcto de los programas
antivirus?
Existen polticas que prohban el uso de software no
autorizado dentro la empresa?
Existen Polticas de acceso y obtencin de archivos
para Usuarios internos de la empresa?
Se chequea los archivos en medios electrnicos y si
se encuentran libres de cdigos maliciosos?
Se Cheque las pginas web visitadas y si se
encuentran libres de cdigos maliciosos?
Existen medidas
mviles?

para bloquear el uso de cdigos

Las descargas
y archivos recibidos de cdigos
mviles son bloqueadas?
Existe controles a los recursos disponibles para el
acceso de cdigos mviles?
Existe una poltica de respaldo acordada y la
estrategia para tomar copias de respaldo de la data?
Se tiene definido el nivel necesario de respaldo de la
informacin?

Se tiene un registro exacto y completo de las copias

de respaldo y procedimientos documentados de la
restauracin?
Con que frecuencia se realizan los respaldos que
reflejan los requerimientos comerciales de la
organizacin?
Las copias de respaldo estn almacenadas en un
lugar adecuado y apartado del centro de tecnologas
de informacin?
Existe seguridad para las copias de respaldo ante
cualquier incidente?
Existe una verificacin regular a los respaldos para
asegurar que se puedan confiar en ellos y usarlos
cuando sea necesaria en caso de emergencia?
Se verifican los procedimientos de restauracin y se
comprueban regularmente para asegurar que sean
efectivos?
Existe mtodos de codificacin para las copias de
respaldo?
Existen polticas para asegurar la proteccin de la
informacin?
Estas polticas incluyen proteccin en redes y en la
infraestructura de soporte?
La empresa cuenta con polticas de acceso a la
informacin?
Existen polticas para la divulgacin y autorizacin
de la informacin?
Existe un responsable para autorizar el acceso a la
informacin?
La solicitud para el acceso a la informacin es de
manera formal?
Existe una revisin peridica a los controles de
acceso?
Existen medidas de control para asegurar el acceso
a usuarios autorizados?
Estas medidas tambin evitan el acceso a los
usuarios no autorizados?

Existen procedimientos formales para controlar la

asignacin de los derechos de acceso?
La empresa utiliza IDs
de usuario nicos para
permitir a los usuarios ser responsables de sus
acciones?
Existen controles para que el usuario tenga la
autorizacin dada por el propietario del sistema para
el uso del sistema o servicio de informacin?
La empresa proporciona un documento en el que
establece los derechos de acceso?
Los usuarios firman las condiciones de acceso?
Existe un registro formal de las personas para usar
el servicio?
Existe un control para mantener y/o bloquear
inmediatamente los derechos de acceso de los
usuarios que han cambiado de puesto o han dejado
la organizacin?
La empresa tiene establecido algunas sanciones
para aquellos usuarios que intentan un acceso no
autorizado?
Hay controles para restringir la asignacin y uso de
privilegios?
Existe una identificacin para usuarios a quienes se
les necesita asignar privilegios?
Los privilegios son asignados
solo
informacin que los usuarios requieren?

para

la

La empresa mantiene un proceso de autorizacin y

un registro de todos los privilegios asignados?
La empresa otorga privilegios aun sin completar el
proceso de autorizacin?
Todos los privilegios asignados tienen un ID de
usuario?
La empresa proporciona las claves secretas a los
usuarios?
Existen procedimientos para verificar la identidad de
un usuario antes de proporcionar una nueva clave
secreta?

Las claves secretas temporales son las mismas para

todos los usuarios temporales?
Las claves secretas temporales son proporcionadas
de manera segura?
La empresa cuenta con polticas de mensajes de
correos electrnicos no protegidos?
La empresa cuenta con polticas del mal uso de la
informacin en las aplicaciones?
Se disean controles apropiados en las aplicaciones
del ingreso de datos?
Se disean controles apropiados en las aplicaciones
de la salida de datos?
La
empresa
previene
modificacin de datos?

la

perdida,

errores,

La empresa tiene impacto sobre la informacin

confidencial, valiosa o crtica?
La empresa valida el
diferentes aplicaciones?

ingreso

de

datos

para

Se realizan controles del ingreso de datos de las

transacciones comerciales dentro la empresa?
Se realizan controles de datos para detectar valores
fuera de rangos?
Se realizan controles de datos para detectar de
datos incompletos o faltantes?
Son autorizados los cambios de salida de datos?
La empresa cuenta con un control de procesamiento
interno?
La empresa implementa aplicaciones para asegurar
q se minimicen los riesgos de falla?
La empresa tiene uso sobre programas apropiados
para la recuperacin de fallas?
La empresa
ataques?

cuenta

con

la

proteccin

contra

La empresa prepara una lista de chequeos

apropiados para documentar las actividades y los
resultados?
La empresa implementa controles apropiados para
identificar los requerimientos de los usuarios?

La empresa utiliza tcnicas criptogrficas?

Las
tcnicas
criptogrficas
autentificacin del mensaje?

demuestra

la

La empresa evala los riesgos de seguridad?

La empresa protege la confidencialidad de la
informacin?
La empresa protege la autenticidad de la
informacin de la empresa?
La empresa protege la confidencialidad,
autenticidad a travs de medios criptogrficos?
La empresa compensara a desarrollar una poltica
sobre el uso de controles criptogrficos?
La empresa hubiera establecer una gestin clave para
sostener el uso de tcnicas criptogrficas?

La empresa desarrolla e implementa una poltica

sobre el uso de controles criptogrficos?
Dentro la empresa existe el nivel de proteccin
requerido tomando en cuenta el tipo, fuerza y
calidad?
Dentro la empresa existe mtodos para lidiar con la
proteccin de las claves criptogrficas?
Dentro la empresa existe mtodos para la
recuperacin de la informacin codificada en el caso
de claves prdidas?
En la empresa es necesaria una poltica sobre el uso
de controles criptogrficos para maximizar los
beneficios y minimizar los riesgos de utilizar tcnicas
criptogrficas?
En la empresa se conviniera buscar la asesora
sobre los requerimientos legales especficos?
En la empresa los requerimientos legislativos varan
de un pas a otro?
Dentro la empresa puede variar la informacin
creada en un pas que es transmitida a otro pas?

Existe en la empresa los sistemas de informacin

pueden estar sujetos a requerimientos de seguridad
estatutarios?
Existe en la empresa los sistemas de informacin
pueden estar sujetos a requerimientos de seguridad
contractuales?
En la empresa se correspondiera
documentar los controles?

definir

En la empresa hubieran responsabilidades a

individuales o especficos para satisfacer estos
requerimientos?
Dentro
la
empresa
incumbiera
definir
explcitamente, documentar y actualizar todos los
requerimientos estatutarios?
Dentro
la
empresa
compensara
definir
explcitamente, documentar y actualizar todos los
requerimientos contractuales relevantes?
Dentro la empresa hubiera definir explcitamente,
documentar y actualizar todos los requerimientos
reguladores?
Dentro la empresa se debe implementar
procedimientos
apropiados
para
asegurar
cumplimiento de los requerimientos legislativos?

los
el

En la empresa puede existir derechos de propiedad

intelectual y sobre el uso de productos de software
patentado?
Existen dentro la empresa polticas de cumplimiento
de los derechos de propiedad intelectual y
publicacin que defina el uso legal de los productos
de software e informacin?
La empresa puede mantener el conocimiento de las
polticas para proteger los derechos de propiedad
intelectual, y notificar de la voluntad de tomar una
accin disciplinaria contra el personal que los viole?

Se han adoptado medidas de seguridad en el departamento

de sistemas de informacion?

Existe una persona responsable de la seguridad?

Se ha dividido la responsabilidad para tener un mejor control
de la seguridad?
Existe una clara definicin de funciones entre los puestos
clave?
Se controla el trabajo fuera de horario?
Existe vigilancia en el departamento de computo las 24
horas?
Se permite el acceso a los archivos y programas a
programadores y operadores?
Se ha instruido a estas personas sobre que medidas tomar en
caso de que alguien pretenda entrar sin autorizacin?
Se registra el acceso al departamento de computo de
personas ajenasa la direccin de informtica?
La empresa cuenta con objetivos de control, polticas
procesos y procedimientos para la seguridad.?
Usted como trabajador de la empresa tiene acceso a la
documentacin confidencial.?
Existe un personal responsable para el mantenimiento de
equipos?
Existe un Programa de Mantenimiento preventivo para cada
dispositivo del sistema de cmputo?
Se notifican las fallas en los equipo al responsable?
Las respuestas a las fallas son inmediatas?
Existe un inventario de equipos?
Existen manuales de uso para cada equipo?

Los manuales son adecuados?

La empresa implementara el proceso de gestin de la

continuidad del negocio para minimizar el impacto sobre la
organizacin y recuperarse de la perdida de activos de
informacin?
La empresa gestiona la seguridad sobre la infraestructura
de Tecnologas de Informacin dentro de la empresa?
Existe el mantenimiento adecuado sobre la seguridad de los
recursos de tratamiento de la informacin de los activos de
informacin de la empresa que son accedidos por terceros?

Existe una proteccin sobre la integridad del software y de

la informacin?
Existe un seguro sobre la informacin de las redes y la
proteccin de la infraestructura de apoyos?
Considera la implementacin de los controles preventivos y
atenuantes adicionales?
Considera la compra de un seguro adecuado que pueda
formar parte de un proceso general de la continuidad del
negocio?
Garantiza la seguridad del personal y la proteccin y los
medios de procesamiento de la informacin y la propiedad
organizacional de la empresa?
Asegura que la gestin de la continuidad del negocio se
incorpore a los procesos y estructura de la empresa?
La empresa identifica todos los activos involucrados en los
procesos comerciales crticos?
En las fallas del equipo, errores humanos, robos, fuego y
desastres naturales pudiera causar una interrupcin en los
procesos comerciales de la empresa?
La evaluacin del riesgo de la continuidad el negocio se
debera considerar los procedimientos comerciales de la
empresa?
La empresa como frmula y documenta los planes de
continuidad del negocio?
La empresa tiene planes de procesos sobre actualizaciones
regulares?
Cmo la empresa enfrenta los riesgos de organizacin en
trminos de la probabilidad?
La empresa como desarrolla e implementa los planes para
mantener y restaurar las operaciones?
La empresa como acordar e identifica las responsabilidad y
los procedimientos de continuidad?
Cmo implementa la empresa los procedimientos para
permitir la recuperacin?
La empresa como aplica la educacin apropiada del
personal en los procedimientos y procesos acordados?
Cmo la empresa se enfoca en los objetivos de los procesos
de planeacin?
El departamento de tecnologas de informacin cuenta con
un cableado correctamente instalado?

Podemos identificar cules son cables positivos, negativos o

de tierra fsica?
Los contactos de los equipos de cmputo estn
debidamente identificados?
Estn limpios los ductos del aire acondicionado?
Estn limpios los ductos del aire acondicionado?

La empresa gestiona la seguridad sobre la infraestructura

de Tecnologas de Informacin dentro de la empresa?

Existe el mantenimiento adecuado sobre la seguridad de los

recursos de tratamiento de la informacin de los activos de
informacin de la empresa que son accedidos por terceros?
Existe una proteccin sobre la integridad del software y de
la informacin?
Existe un seguro sobre la informacin de las redes y la
proteccin de la infraestructura de apoyos?
Considera la implementacin de los controles preventivos y
atenuantes adicionales?
Considera la compra de un seguro adecuado que pueda
formar parte de un proceso general de la continuidad del
negocio?
Garantiza la seguridad del personal y la proteccin y los
medios de procesamiento de la informacin y la propiedad
organizacional de la empresa?
Asegura que la gestin de la continuidad del negocio se
incorpore a los procesos y estructura de la empresa?
La empresa identifica todos los activos involucrados en los
procesos comerciales crticos?
En las fallas del equipo, errores humanos, robos, fuego y
desastres naturales pudiera causar una interrupcin en los
procesos comerciales de la empresa?
La evaluacin del riesgo de la continuidad el negocio se
debera considerar los procedimientos comerciales de la
empresa?
La empresa como frmula y documenta los planes de
continuidad del negocio?
La empresa tiene planes de procesos sobre actualizaciones
regulares?
Cmo la empresa enfrenta los riesgos de organizacin en
trminos de la probabilidad?
La empresa como desarrolla e implementa los planes para
mantener y restaurar las operaciones?
La empresa como acordar e identifica las responsabilidad y
los procedimientos de continuidad?
Cmo implementa la empresa los procedimientos para
permitir la recuperacin?
La empresa como aplica la educacin apropiada del
personal en los procedimientos y procesos acordados?
Cmo la empresa se enfoca en los objetivos de los procesos
de planeacin?
El departamento de tecnologas de informacin cuenta con
un cableado correctamente instalado?

Podemos identificar cules son cables positivos, negativos o

de tierra fsica?
Los contactos de los equipos de cmputo estn
debidamente identificados?
Estn limpios los ductos del aire acondicionado?

La empresa puede mantener el

conocimiento de las polticas para
proteger los derechos de propiedad
intelectual, y notificar de la voluntad
de tomar una accin disciplinaria
contra el personal que los viole?
Se han adoptado medidas de
seguridad en el departamento de
sistemas de informacin?
Existe una persona responsable de la
seguridad?
Se ha dividido la responsabilidad
para tener un mejor control de la
seguridad?
Existe una clara definicin de
funciones entre los puestos clave?
Se controla el trabajo fuera de
horario?
Existe vigilancia en el departamento
de computo las 24 horas?
Se permite el acceso a los archivos y
programas
a
programadores
y
operadores?
Se ha instruido a estas personas
sobre qu medidas tomar en caso de
que alguien pretenda entrar sin
autorizacin?
Se
registra
el
acceso
al
departamento
de
cmputo
de
personas ajenas la direccin de
informtica?
La empresa cuenta con objetivos de
control,
polticas
procesos
y
procedimientos para la seguridad?

Usted como trabajador de la

empresa
tiene
acceso
a
la
documentacin confidencial?
Existe un personal responsable para
el mantenimiento de equipos?
Existe un Programa de
Mantenimiento preventivo para cada
dispositivo del sistema de cmputo?
Se notifican las fallas en los equipo al
responsable?
Las respuestas a las fallas son
inmediatas?
Existe un inventario de equipos?
Existen manuales de uso para cada
equipo?
Los manuales son adecuados?

000vvv

La empresa cuenta con organigramas o

esquemas de organizacin?

La empresa cuenta con manueles de

funciones y procedimientos?

La empresa tiene una estructura

gerarquica?

Las funciones del personal son claramente

visualizados?

Las funciones del personal directo del

departamento de tecnologias de informacion
son delimitadas por los estatutos?

La empresa tiene un manual de

procedimientos de tecnologias de
informacion?

La empresa cuenta con un departamento de

control interno?

El lugar donde se ubica el deoartamento de

tecnologias de informacion estseguro de
inundaciones, robo o cualquier otra
situacinque pueda
poner en peligro los equipos?

El material con el que esta construido el

departamento de tecnologias de informacion
es confiable?

10

Existe lugar suficiente para los equipos de

tecnologias de informacion en la empresa?

11

En el departamento de tecnologias de
informacion cuenta con algun lugar para
almacenar otros equipos de computo,
muebles, suministros, etc.?

12

Se cuenta con salidas de emergncia dentro

de la empresa?

13
14

Es adecuada la iluminacin en el
departamento de tecnologias de
informacion?

15

Es suficiente la iluminacin en el
departamento de tecnologias de
informacion?

16

La temperatura a la que trabajan los

equipos es la adecuada de acuerdo a las
normas bajo las cuales se serige?

17
18

Estn limpios los ductos del aire

acondicionado?
La ubicacin de los aires acondicionado es
adecuada?

19

Existe algn otro medio de ventilacin

aparte del aire acondicionado?

20

El departamento de tecnologias de
informacion cuenta con tierra fsica?

21
22

El departamento de tecnologias de
informacion cuenta con un cableado
correctamente instalado?
Podemos identificar cules son cables
positivos, negativos o de tierra fsica?

23

Los contactos de los equipos de cmputo

estn debidamente identificadas?

24

La instalacin elctrica del departamento de

tecnologias de informacion es independiente
de otras instalaciones?

25

Los equipos de computacion cuentan con

un regulador?

26

Se tiene switch de apagado en caso de

emergencia en algn lugar visible?

27

Los cables estn dentro de paneles y

canales elctricos?

28
30
31

32
33
34

Los interruptores de energa estn

debidamente protegidos y sin obstculos
para alcanzarlos?
Se cuenta con alarma contra incendios?
Cuentan con algn tipo de control de
entradas y salidas de usuario en el
departamento de tecnologias de
informacion?
Cuentan con manuales para cada programa
que se maneja?
El reglamento (Manuales) estn a la vista
del usuario?
Los usuarios tienen la suficiente confianza
como para presentar su queja sobre fallas en
los equipos?

35

Existe un informe tcnico en el que se

justifique la adquisicion del equipo, software
y servicios de computacion, incluyendo un
estudio costo beneficio?

36

Se han efectuado las acciones necesarias

para una mayor accion de proveedores?

37

Se ha asegurado un respaldo de
mantenimiento y servicio tecnico en la
empresa?

38

los sistemas de Backups se guardan en

lugares seuros y adecuados ?

39

Se han contratado palozas de seguros para

proteger la informacion, equipos, personal y
todo riesgo por casos de mala operacion?

40

Son legitimos los programas de antivirus?

41

Si se vence vence la garantia de

mantenimiento del proveedor se contrata
mantenimiento preventivo y correctivo?

42

43

44

Se hacen revisiones periodicas y sorpresivas

del contenido del disco para verificar la
instalacion de aplicaciones no relaciodas a la
empresa?
Se mantiene programas y procedimientos de
deteccion e inmunizacion de virus en copias
no autorizadas o datos procesados en otros
equipos?
Existen procedimientos adecuados para
conectarce y
desconectarce de los equipos remotos?

45

Existe un procedimiento para registrar los

archivos que se prestan y la fecha en que se
devolvern?

46

Se lleva control sobre los archivos prestados

por la instalacin?

47

En caso de resguardo de informacin de

entrada en sistemas se resguarda en un
lugar seguro?
custodian en un lugar seguro?

48

Existe un registro de anomalas en la

informacin debido a mala
codificacin?

49

Existe algn mecanismo que permita a los

empleados hacer sugerencias sobre mejoras
en la organizacin del rea de s tecnologia de
informacion?

50

El personal esta motivado en la realizacin

de su trabajo?