CHECKLIST TIER 1 Y 2

Proceso ITIL

Criteri
o

N
o

SI

Existen polticas de seguridad de la informacin?

Cuentan con plan de prevencin en caso de algn desastre?

Cuenta con botiqun de primeros auxilios con el material mnimo para realizar una atencin
de primeros auxilios?

Cuenta con extintores dentro de la organizacin?

Los extintores con que se cuentan son de fuego clase C?

Cuenta con polticas de seguridad de los equipos respecto al uso de alimentos, lquidos o
cualquier tipo de sustancia que dae los equipos?

Cuenta con sealamientos de rutas de evacuacin?

Estn documentadas las polticas de seguridad?

El personal conoce mtodos y procedimientos que ayuden a ser frente a las emergencias o
riesgos por desastres?

10

Se cuenta con sealamientos que ayuden a identificar zonas restringidas, donde solo
personal autorizado pueda ingresar?

11

Existe un sealamiento que obligue al registro de la persona para el acceso a las

instalaciones?

12

Se le da un seguimiento a las plizas de garantas de los equipos utilizados en la

organizacin?

13

Existe un control de las prdidas de informacin dentro de la organizacin?

14

Cuenta con alarmas de incendio?

15

Las instalaciones cuentan con la iluminacin adecuada que permita a los trabajadores
desempear su trabajo?

16

Las reas de trabajo se encuentran delimitadas o seccionadas?

17

Las zonas donde exista alto voltaje se encuentran sealizadas?

18

Las condiciones elctricas, de iluminacin y climticas son adecuadas para el buen

funcionamiento de los equipos de cmputo?

19

Cuenta con las herramientas necesarias para dar el mantenimiento a los equipos?

20

Se asigna al personal una carta responsiva por el equipo que est utilizando?

21

Se documenta la entrega-recepcin a la organizacin por parte de los empleados que dejan

X
de formar parte de la organizacin?

22

Cuenta con cmaras monitoreando el site de la organizacin?

Checklist de Seguridad Lgica

No.

Criterio

Cumple
el
criterio
Si

No

Existen metodologas de respaldo de informacin?

Se realizan respaldos de informacin peridicamente?

Existe un administrador de sistemas que controle las cuentas de los usuarios?

Existe algn estndar para la creacin de contraseas?

Las contraseas cuentan con letras, nmeros y smbolos?

Se obliga, cada cierto tiempo a cambiar la contrasea?

La organizacin cuenta con un proceso para dar mantenimiento preventivo al software?

La organizacin cuenta con un proceso para dar mantenimiento correctivo al software?

Se tienen software antivirus instalados en los equipos de cmputo?

10

Cuentan con antivirus actualizado?

11

Se tienen instalados anti malware en los equipos de cmputo?

12

Cuenta con licencias de software?

13

Existe un proceso para mantener las licencias actualizadas?

14

Existe un proceso para adquirir nuevas licencias?

15

Se sanciona al integrante del departamento si instala software no permitido?

16

Los usuarios de bajo nivel tienen restringido el acceso a las partes ms delicadas de las
aplicaciones?

17

Realizan mantenimiento preventivo al equipo de cmputo?

18

Realizan mantenimiento correctivo al equipo de cmputo?

19

El equipo de cmputo cuenta con suficiente espacio en HD en funcin de los servicios que
otorga?

20

El equipo de cmputo cuenta con suficiente memoria RAM en funcin de los servicios que
otorga?

21

La velocidad del procesador es el adecuado para los programas que son utilizados en los
equipos?

Checklist de Seguridad en Redes

No.

Criterio

Cumple
el
criterio
Si

Las salidas de corriente elctrica son trifsicas?

No
X

Los interruptores de energa estn debidamente protegidos y sin obstculos para

alcanzarlos?

La instalacin elctrica del equipo de cmputo es independiente de otras instalaciones?

Los firewalls estn configurados conforme a las necesidades de la organizacin?

El acceso de la red inalmbrica es a travs de contraseas?

El trfico de la red por medio inalmbrico se encuentra protegido (encriptado)?

Los dispositivos inalmbricos intermediarios estn fsicamente protegidos?

Cada PC cuenta con un regulador de energa?

El cableado del edificio es accesible para una revisin fsica?

10

Los cables de los equipos se encuentran debidamente aislados del paso de personas?

11

Se cuenta con la administracin de la red y la documentacin en cuanto se han hecho

cambios en la misma?

12

Se apega a alguna estndar para asignar el cableado elctrico al inmueble?

13

Se cumple con el estndar de tierra fsica en cuanto a los requisitos establecidos en las
normas bajo las cuales se rige?

14

La topologa de cableado est definida bajo un estndar establecido?

15

El cableado cuenta con una debida administracin en cuanto a la identificacin de

etiquetas?

16

Los tipos de cables, distancias, conectores, arquitecturas, terminaciones de cables y

caractersticas de rendimiento estn definidos por un estndar?

17

Cuentan con un sistema de proteccin de descargas electro atmosfricas para el rea de

servidores?

Checklist de Seguridad en Sistemas

No.

Criterio

Cumple
el
criterio
Si

No

Las bases cuentan con un modelo o esquema de organizacin de los datos?

Existe backup para respaldar informacin de las bases de datos?

El cuentan con un administrador del sistema?

Cuenta con una pliza de seguridad en caso de fallos?

Las bases de datos son seguras?

El sistema fue creado bajo un modelo para la mejora y evaluacin de los procesos de
desarrollo y mantenimiento de sistemas?

Se cuenta con personal especializado para que monitoree el rendimiento del sistema?

Se realiza adecuadamente la documentacin del sistema, manuales de usuario,

mantenimiento y recomendaciones?

Se utiliza encriptacin para la informacin que se almacena en las bases de datos?

10

El sistema es escalable para nuevas aplicaciones?

OBSERVACIN OCULTA
Mediante observacin oculta logramos determinar que en la aplicacin MRP
Salus, que es un sistema de gestin mdica, clnica y hospitalaria, es utilizado
y ya ha sido implementado para los procesos de control de historia clnica,
manejo de horarios, agendas mdicas, exmenes de diagnstico, facturacin
de los servicios y productos que la empresa maneja, se logr verificar que en el

momento de la facturacin cualquier usuario puede modificar los precios de los

artculos, as como omitir el control de stocks de los mismos.
Adicionalmente y como parte de la informacin de los pacientes, cualquier
usuario del sistema puede consultar, modificar, alterar las fichas clnicas de los
mismos.
Adicionalmente a esto se detect que no existe un control en el acceso a los
equipos, solo estn protegidos por contrasea pero generalmente los usuarios
ser retiran de su lugar y dejan el equipo logeado, generando as que cualquiera
pueda operar en sus equipos, no se tiene un controlador de dominio, polticas
de seguridad, nulos controles de seguridad fsica y lgica y sin alguna forma de
garantizar la integridad de la informacin.
No existe un administrador de tecnologa dedicado para la empresa, contratan
temporalmente personal para mantenimientos y que ejecute tareas
preventivas y correctivas.

OBSERVACION HISTORICA
No se tiene documentacin de observaciones histricas, nicamente lo
reportado por el grupo de accionistas en la que estn detectando anomalas en
la operacin del sistema que recin adquirieron.