Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PREGUNTA
La institucin tiene separada fsicamente y lgicamente
los ambientes de produccin, desarrollo y pruebas?.
(CNBS).
SI
NO
N/A
REFERENCIA
Depende de la
Gerencia de
Riesgos
Ver Descripcin
del puesto de Jefe
de Tecnologa de
Informacin
Acta de
NombramientoEst por contrato.
NO
PREGUNTA
El Administrador de Seguridad de Informtica cumple
con las siguientes funciones y responsabilidades?
SI
NO
N/A
REFERENCIA
No se cumple por
no tener las
herramientas
necesarias
h. Atender
No se ha definido
un presupuesto
Se present el
informe a la
Gerencia de
Riesgos pero
ignoramos si fue
comunicado a la
Gerencia
General.
NO
10
11
12
13
PREGUNTA
Determinar que auditora interna realiza auditoria a la
tecnologa de informacin y comunicacin (TIC) a fin de
verificar
la
integridad,
disponibilidad
y
confidencialidad de la informacin
Las personas encargadas de auditar las TIC cuentan con
experiencia y entrenamiento calificado para llevar a cabo
este tipo de auditoras basadas en las mejores prcticas
existentes tales como COBIT e ISO/IEC 27002
La Gerencia General provee a la auditora interna o de
sistemas la herramientas necesarias para la realizacin y
control de ambiente de la TIC; ya que el auditor interno
es el responsable de realizar este tipo de auditoras?.
(CNBS).
Al realizar las auditorias de sistemas basadas en un
anlisis de riesgo y cumpliendo las normativas existentes
se incluyan al menos los factores siguientes:
a) Los usuarios externos e internos del sistema de
informacin;
b) El ambiente del sistema, la operatividad del sistema y
sus implicaciones sobre el negocio;
c) Los niveles de acceso y la sensibilidad de la
informacin;
d) La calidad de la informacin;
e) La Tercerizacin (outsourcing); y,
SI
NO
N/A
REFERENCIA
No se sabe el
alcance de las
Auditorias de
Sistemas
Actuales pero no
son basadas en
riesgos ya que
hasta ahora no
hay una matriz de
riesgo autorizada
15
16
PREGUNTA
Previo a la implantacin de cambios en el ambiente de
produccin; los sistemas de alto riesgo definidos por la
administracin y los servicios financieros por medios
electrnicos se realiza una evaluacin de seguridad?
SI
NO
X
N/A
REFERENCIA
No se cumple por
no tener las
herramientas
necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.
No se cumple por
no tener las
herramientas
necesarias ni se
comunica al rea
de Riesgos con
suficiente tiempo.
17
No se cumple por
no tener las
herramientas
necesarias.
18
19
20
21
El nuevo core
bancario ayudar
muchsimo pero
no ser suficiente
ya que solo sern
bitcoras a nivel
de aplicativo.
No se cumple por
no tener las
herramientas
necesarias.
Ningn contrato
las incluye
No aplica
No se cumple por
no tener las
herramientas
necesarias.
PREGUNTA
La
institucin
asigna
una identificacin nica y personal
22
a cualquier usuario con acceso al sistema de informacin,
como una condicin previa a la autorizacin de acceso?.
(CNBS)
23 La institucin tiene implementado las reglas y el
procedimiento para dicha identificacin, as como para el
otorgamiento de autorizaciones a terceros que accedan a
los componentes de la tecnologa de informacin?.
Estas reglas toman en cuenta los riesgos derivados de las
responsabilidades y autorizaciones dadas a los usuarios
de acuerdo a su agrupacin, as como la sensibilidad de
la informacin, y los derechos a las aplicaciones y a
cualquier otro componente de la tecnologa?. (CNBS).
SI
NO
N/A
REFERENCIA
Proyecto
Directorio Activo
y la
Implementacin
del Protocolo
802.1X para el
cual se requiere
completar la
compra de
switches
administrables
24 La
Tiene algunos
pero tienen
algunas
debilidades
No todos los
dispositivos tiene
esta caracterstica
X
X
segmentacin adecuada?
Se completara el
6 de Mayo al
finalizar el
Proyecto de
Segmentacin de
la red
Se completara el
6 de Mayo al
finalizar el
Proyecto de
Segmentacin de
la red
Proyecto de
Segmentacin de
la red
No se tiene
Banca por
Internet
41 Determinar
No se tiene
Banca por
Internet
No se tiene
Banca por
Internet
44
45
46
47
48
49
50
51
No se tiene
Banca por
Internet
X
X
X
X
Certificados
Digitales
Segmentacin de
la red
PREGUNTA
53 En el caso de accesos para la red de cajeros automtico y
terminales de servicio determine que se incluya por lo
menos dos de los siguientes tres requisitos:
1. Algo que conoce le cliente;
2. Algo que le pertenece al clientes; y
3. Algo que identifique fsicamente al cliente.
(caractersticas biomtricas, por ejemplo: huella
digital, iris del ojo, la voz, etc.)
54 Efectu pruebas para verificar que el perfil de los
diferentes usuarios de banca electrnica se hayan
definido con los permisos de accesos conforme con lo
establecido en los contratos de servicios. (CNBS).
SI
NO
N/A
REFERENCIA
56
57
58
59
60
X
X
64
b)
c)
Un
mecanismo
que
actualice
automticamente los sistemas operativos, base
de datos y programas de oficina. Estas
actualizaciones debern probarse primero, en
ambientes controlados para prevenir que la
instalacin de las actualizaciones produzca
interrupcin o discontinuidad de las
operaciones normales de la institucin.
Segmentacin de
la red
Proyecto de
Segmentacin de la
red y la
Implementacin de
un Nuevo
Directorio Activo