Listas de cotejo Administracin de riesgos

I. Evaluacin (S/No)
El proceso de identificacin de riesgos ha sido planteado en la etapa de
1 planificacin del proyecto?
Se han iniciado las actividades para el anlisis de riego (Convocatoria al
2 equipo tcnico, identificacin del equipo, asignacin de recursos, etc.)?
Los miembros del equipo tcnico para identificacin de riesgos son:
Director departamento responsable del proyecto.
Director departamento planificacin.
Director departamento financiero
Equipo tcnico proyecto.
Representantes comunitarios del rea donde se ejecutar el
proyecto.
3 Otros.
Entre los factores de riesgo identificados, se han incluido:
Factores internos
Factores externos
Riesgos especficos para proyectos similares
Informaciones relacionadas con xitos y fracasos de proyectos
similares.
Informaciones demogrficas, financieras, legales, polticas que
pudiesen contribuir al anlisis.
4 Cualquier otra informacin que se considere importante.
5 Han sido clasificados los principales factores de riesgo?
Los riesgos especficos se han organizado en grupos relacionados de
manera que permiten el anlisis de impacto y el desarrollo de las acciones
6 de mitigacin?
7 Cada riesgo posee una probabilidad de ocurrencia?
Cada riesgo tiene un impacto asignado, en caso de que dicho riesgo tenga
8 la probabilidad de ocurrir?
9 Se ha calculado para cada riesgo la intensidad (Probabilidad x Impacto)?
10 Existe un plan de mitigacin para cada uno de los riesgos identificados
La estructura de trabajo del proyecto incluye la gestin de los riesgos y
11 las acciones de mitigacin?
12 El proyecto contempla un plan de contingencias operativo y eficaz?
Existen fondos de reserva especiales para invertir en la gestin del riesgo
13 dentro del mbito del proyecto?
 Listas de cotejo Administracin de riesgos

II. Autoevaluacin: reas crticas de control (S/No)

Cuenta la organizacin con una segregacin adecuada en el acceso
permitido a los usuarios, a quienes proveen respaldo (programadores) y a
1 los dueos de los recursos de informacin (bancos de datos)?
Hay polticas o procedimientos para conceder, modificar o eliminar
2 acceso a los recursos de informacin?
2a Est centralizado el control del proceso?
Hay polticas o procedimientos para regular el acceso o interaccin
3 manual con los sistemas o los recursos de informacin?
3a Est centralizado el control del proceso?
Hay procedimientos para regular el generar, mantener, almacenar y
disponer de las copias de resguardo que se requieren de los servidores
4 donde estn depositados los bancos de datos de la organizacin?
Cuenta con una identificacin con prioridades de los rcords o archivos
5 vitales de la organizacin?
Cuenta con una metodologa y estndares para el desarrollo e
6 implantacin de sistemas de informacin?
Hay un mecanismo para evaluar con regularidad las operaciones de los
7 sistemas crticos y medir la satisfaccin de los usuarios con stos?
Hay un programa estructurado de adiestramiento al personal de sistemas
8 y a los usuarios de los sistemas?
Se cuenta con un inventario detallado de los bancos de datos electrnicos
9 (digitales)?
Hay un equipo de trabajo (Database administrator, Systems auditor,
Systems manager, Security officer, Privacy officer, Quality assurance
personnel) para supervisar el cumplimiento con las polticas y
procedimientos establecidos, revisar la documentacin y prueba asociados
al desarrollo de sistemas, formular recomendaciones de enmienda o
actualizacin en los procesos, e identificar posibles desviacin o
discrepancias que ameriten medidas disciplinarias o acciones de
10 cumplimiento?
 Listas de cotejo Administracin de riesgos

III. Autoevaluacin: control de seguridad fsica (S/No)

Est localizado en un edificio cuya construccin es resistente a fuego,
1 terremotos, inundaciones y otros eventos extraordinarios?
2 El Centro est aislado de material combustible y paredes de piso a techo?
2a Cuenta con mecanismos automticos de supresin de incendios?
2b Hay instaladas alarmas detectoras de humo o contra incendio?
2c El personal est adiestrado para utilizar estos mecanismos?
3 Cuenta con salidas de emergencia claramente demarcadas?
4 Est equipado con luces de emergencia? Estn operacionales?
5 Est accesible con facilidad desde el exterior?
6 Los servicios de bomberos o emergencia estn suficientemente cercanos?
El personal conoce y cuenta con medios de comunicacin para pedir
7 respaldo en casos de fuego?
8 Existe riesgo de inundacin debido a desborde de aguas o averas?
Se ha limitado el uso de sistemas de irrigacin para limitar el impacto a
9 los recursos informticos?
10 Resulta viable el remover agua estancada del centro de operacin?
11 El centro de operacin est rotulado o est visible desde el exterior?
12 El acceso externo est limitado y protegidas las puertas y ventanas?
13 Hay control de acceso al centro de operacin?
14 Se mantiene un registro o vigilancia de acceso?
 Listas de cotejo Administracin de riesgos

IV. Autoevaluacin: control de operaciones (S/No)

1 El centro de recursos informticos o la unidad de servicios informticos
responde a la divisin o departamento de finanzas o contralor?
1a Corresponde a una divisin equivalente a una vice-presidencia?
1b Responde directamente al Presidente o gerente general?
Se originan todas las transacciones fuera del centro de recursos
2 informticos?
Las funciones de programacin, operaciones y de servicios estn
2a segregadas entre s?
Esa segregacin atiende adecuadamente los factores de riesgo de la
2b organizacin?
Se asignan las funciones de tal manera que sea viable asignar
3 responsabilidad por los eventos que puedan ocurrir?
Existen procedimientos en operacin que orienten al personal sobre
cules recursos se espera que protejan, de qu tipo de riesgos, y cules
son las varianzas o desviaciones que deben estar observando como
indicadores para tomar medidas correctivas que eviten o reduzcan el
4 impacto de los riesgos potenciales?
Se ha asignado responsabilidad especfica sobre la proteccin de cada
5 recurso informtico a funcionarios de la organizacin?
Dicha asignacin de responsabilidad,. coincide con el funcionario
5a primario en el uso de ese recurso (owner)?
Existe una cadena de supervisin que verifique, en el curso normal de
las operaciones, el cumplimiento con la proteccin de los recursos de
5b informacin primarios?
6 Existen procedimientos de verificacin y validacin de entrada de datos?
Existen controles que aseguren que los usuarios primarios estn
procesando los datos y ejecutando los procesos conforme los privilegios
7 de acceso conferidos?
7a Se verifica peridicamente el cumplimiento con dichos controles?
Hay controles implantados para asegurar se puedan corregir errores de
entrada de datos, o uso indebido de sistemas o procesos que garanticen
8 una adecuada restauracin de los sistemas?
Existen controles que fijen resonsabilidad verificable por cada proceso
9 que se somete en los sistemas?
Existen controles que garanticen se entregan (o acceden) los informes de
10 los sistemas a la(s) persona(s) indicadas en los procesos?
Se verifica y controla que el nmero de copias de los informes fue
10a adecuadamente distribuido?
Cuentan con polticas que definan quin(es) est(n) autorizado(s) a
11 acceder o modificar datos en cada una de los sistemas y aplicaciones?
11a Esas polticas se implanta por sistemas?
12 Se identifica individualmente cada usuario de los sistemas?
12a Cuando accede los sistemas, se autentica el usuario?
13 Se limita el acceso a los recursos informticos acorde con sus funciones?
14 Se mantienen actualizadas las tablas y reglas de acceso?
 Listas de cotejo Administracin de riesgos

Se notifican las violaciones o desviaciones a ms de un supervisor para

15 tomar las medidas requeridas?
 Listas de cotejo Administracin de riesgos

V. Autoevaluacin: desarrollo de aplicaciones (S/No)

Se cuenta con controles apropiados para asegurar que los programas
1 hacen lo que se requiere?
Ese(os) control(es) incluyen la aceptacin de funionario(s)
1a independientes de la unidad de programacin?
Existen controles que aseguren que el uso de los recursos de
programacin se destina nicamente a las tareas de programacin
2 asignadas?
Se cuenta con documentacin y registros que fijen responsabilidad sobre
algn programador, supervisor y gerente con relacin a los cambios
3 efectuados a la programacin en operacin?
Esos procesos recogen la aceptacin de supervisores en la divisin de
4 programacin y en la del usuario(s) que solicit el cambio?
Se le impide el acceso a los programadores a aplicaciones operacionales
5 y a los datos de produccin?
Existen estndares para el uso de lenguajes y herramientas de
6 programacin?
7 Existen estndares para el desarrollo y documentacin de programacin?
Se requieren estndares para la designacin de atributos, variables,
rutinas o procedimientos en la programcin cnsonos con el modelo de
8 datos de la organizacin?
Hay controles en vigor que reduzcan la tentacin de los programadores y
9 analistas en el desempeo de sus funciones?
Se orienta y educa con regularidad al personal responsable de sus
10 funciones o roles de seguridad?
Se requiere de los encargados primarios de los recursos de informacin
11 definir o determinar cmo esos recursos deben protegerse?
11a Se verifica que dichas medidas sean adecuadas y no excluyentes?
12 Cada recurso informtico recibe el mnimo de proteccin requerido?
13 Se invierte lo necesario en la proteccin de los recursos ms crticos?
Se evala con regularidad por funcionarios independientes la
14 implantacin operacional de los procedimientos y controles?
14a Se implantan las recomendaciones que aporta(n) esa(s) fuente(s)?
 Listas de cotejo Administracin de riesgos

VI. Autoevaluacin: seguridad de las redes y el Web (S/No)

Se cuenta con una lista de todos los equipos que componen o estn
1 integrados a la red? (Servidores, routers, switches, hubs, etc)
1a La lista identifica la direccin en la red (IP address) y localizacin?
1b Los dispositivos estn fsicamente localizados donde se supone?
1c Se ha eliminado algn(os) dsipositivos?
1d Cuentan con la direccin (IP Address) que les corresponde?
2 Se cuenta con un diagrama actualizado de la topologa de la red?
2a Define claramente la integracin de los segmentos inalmbricos?
3 Se ha documentado como accede cada componente la red?
4 Resulta apropiado el nmero de segmentos en que se segrega la red?
4a Se han conectado los dispositivos al segmento apropiado?
5 La red cuenta con el tipo de equipo ms adecuado para integrar los
segmentos o dsipositivos? (bridges, routers, gateways)
5a Cada conexin entre segmentos es necesaria o imprescindible?
6 Cada conexin existente, debe estar acceder la red?
Cada dispositivo conectado tiene el nmero mnimo de conexiones
7 requeridas? (IP addressess, NICs)
Cada dispositivo o servicio lo accede nicamente (puede ver) el
8 segmento de la red apropiado?
Se han definido polticas de seguridad que restrinjan el trfico no
9 deseado o prohibido?
9a Incluye y describe cmo se actualiza la(s) poltica(s)?
9b Definen las polticas cules servicios o dispositivos estn disponibles?
10 Existen mecanismos para filtrar el trfico de la red?
10a Entrando?
10b Saliendo?
10c Se ha implantado las reglas para filtrar el trfico que entra?
10d Se ha implantado las reglas para filtrar el trfico que sale?
Los dispositivos que filtran el trfico operan de manera confiable
10e cuando el volumen de trfico es excesivo?
11 Se mantienen bitcoras sobre el trfico de la red?
11a Se examinan regularmente para identificar actividad de intrusos?
Se examinan para determinar problemas potenciales con servicios,
servidores, bancos de datos, espacio de almacn disponible,
11b interrupciones de servicios y otros eventos extraordinarios?
Existe una poltica que identifique cules dispositivos deben utilizar una
12 direccin esttica?
12a Los dispositivos que requieren direccin esttica, tienen una asignada?
Se cuenta con una poltica definida que defina como debe transmitirse
13 los datos confidenciales (protegidos) a travs de la red?
Los puntos de conexin (cables & sockets) estn protegidos contra un
intruso interno que pretenda explorar o atacar la red utilizando un
13a sniffer?
13b Cuando se conecta un sniffera cualquiera de los segmentos de la red,
 Listas de cotejo Administracin de riesgos

los datos confidenciales se estn transmitiendo protegidos (encifrados)?

 Listas de cotejo Administracin de riesgos

VI. Autoevaluacin: seguridad de las redes y el Web (cont) (S/No)

Se ha adoptado y documentado una estrategia para proteger la red frente
14 a ataques de DoS?
Existe un inventario documentado de ataques de DoS y las medidas de
14a proteccin adoptadas o implantadas como resultado del mismo?
Existe documentacin indicando los pasos que debe seguir el personal
14b de seguridad a cargo cuando ocurre un ataque de DoS?
14c Al efectuar una simulacin de ataque de DoS el personal de seguridad
pudo detectar el ataque?
14d Sigu los procedimientos establecidos para contrarrestar el ataque?
La degradacin que sufre la red ante un ataque de DoS debidamente
14e contrarrestado, es adecuada para las operaciones de la organizacin?
Existe una poltica que defina cundo debe instalarse un parcho de
15 seguridad en los sistemas crticos y en qu orden se debe proceder?
15a Se han obtenido los parchos de seguridad de una fuente confiable?
Se cuenta con un proceso documentado que permita reversar la
15b instalacin de parchos, de ser necesario?
Se han llevado a cabo pruebas que puedan encontrar puntos de
15c vulnerabilidad en los sistemas crticos?
Se han identificado y examinado los riesgos principales de seguridad
16 que confrontan los servidores o servicios en el Web?
16a Se ha investigado, evaluado e implantado las recomendaciones de los
proveedores y la industria para incrementar la seguridad de los sistemas o
servicios que operan en el Web?
16b Se documentaron los procesos?
Se han tomado medidas para implantar las recomendaciones en todos
16c los equipos, servidores o servicios que pueda afectarse?
17 La persona(s) responsable(s) de fiscalizar la seguridad de los sistemas,
se mantienen al tanto de lo nuevos escenarios(issues)?
17a Est(n) conciente(s) de la dimesin de suresponsabilidad?
17b Cuenta(n) con los recursos necesarios para desempear su(s) tarea(s)?
Se ha configurado las estaciones para que slo mantengan activos los
18 servicios necesarios para la cuenta con el nivel ms bajo de privilegios?
Existe una poltica que describa cmo se asignan los privilegios a los
19 usuarios para acceder directorios y archivos?
19a Se le asigna a las cuentas el mnimo de privilegios necesarios?
Se puede determinar si existen archivos o directorios compartidos que
19b no son necesarios?
Existe una poltica documentada que describa cmo se crean, mantienen
19c y eliminan los grupos?
19d Se asignan las cuentas de usuarios al grupo adecuado?
El aval de la divisin legal es necesario para publicar advertencias
20 legales en las aplicaciones, polticas, procedimientos o publicaciones?
 Listas de cotejo Administracin de riesgos

VII. Autoevaluacin: planificacin para continuidad de operaciones (S/No)

Cuenta el centro de recursos de informacin con un plan de contingencia
1 para afrontar escenarios o eventos catastrficos?
El plan, est adecuadamente documentado para cubrir los diferentes
2 tipos de riesgo que podran ocurrir?
3 Integra el personal mnimo necesario para hacerlo operacional?
4 Ese personal, lo conoce y est preparado para hacerlo cumplir?
Existen procedimientos para la continuidad de operaciones que integran
la participacin de los usuarios primarios o responsables de cada una de
5 las funciones crticas de la organizacin?
Hay conciencia entre el personal, que no es del rea informtica, de su
responsabilidad de cmo cumplir con las funciones crticas en caso de
6 que un evento catastrfico interrupa o afecte los sistemas de informacin?
Existen estrategias para mantener copias de resguardo( backup) y
restaurar las funciones crticas en caso de interrupciones que respondan a
7 la naturaleza del evento y el impacto o duracin de la interrupcin?
Los planes han sido adoptados y revisados peridicamente por la
8 gerencia de la organizacin?
Se han llevado a cabo pruebas o simulaciones que validen la
9 adecuacidad de dichos planes?
9a Las pruebas se llevan a cabo por lo menos una vez al ao?
10 Los planes incluyen el depsito externo de copias de resguardo?
Los planes incluyen acuerdos para la operacin externa restaurando las
11 copias de resguardo que se mantenien en el exterior?
Las responsabilidades primarias de dichos planes estn adecuadamente
12 documentadas y diseminadas?
13 Hay una jerarqua definida para invocar la implantacin de los planes de
contingencia?
13a Incluye personal alterno?
14 Se ha adiestrado al personal en cmo actuar bajo emergencias?
15 Existen salidas de emergencia claramente identificadas?
15a El personal est informado de cmo proceder en caso de emergencia?
Se ha identificado cules son las funciones crticas, no discresionales,
16 fijando la prioridad correspondiente?
Se cuenta con documentacin que describa la configuracin mnima o
17 bsica para cada servicio, servidor o sistema crtico?
Se han definido los recursos (personas, equipo, materiales y datos)
requeridos para operar los sistemas o procesos crticos en caso de una
18 emergencia y restaurar las operaciones normales de la organizacin?
19 Existen criterios definidos para comenzar el proceso de recuperacin
dentro de un perodo mnimo de 24 horas, en caso de desastre?
19a Se ha designado la(s) persona(s) con autoridad para iniciar el proceso?
Se han identificado los proveedores primarios y alternos que puedan
apoyar los esfuerzos de restauracin de operaciones para cada sistema
20 crtico?
 Listas de cotejo Administracin de riesgos

Anlisis de riesgos y costos

Banco de datos Frecuencia subjetiva Factor Costo Estimado costo

 Listas de cotejo Administracin de riesgos

Plan para la proteccin de

Bancos de datos institucionales

Este plan promueve el que la organizacin pueda lograr los siguientes objetivos:

Asegurar la capacidad para cumplir con las operaciones crticas y las

operaciones regulares que dependen de los bancos de datos electrnicos
institucionales.
Prevenir la prdida, adulteracin voluntaria o involuntaria, o falta de acceso a
los bancos de datos institucionales considerados activos informticos
esenciales.
Controlar el acceso a los recursos de informacin de acuerdo con las normas o
polticas de operacin establecidas.
Proteger los derechos de los empleados y clientes sobre los datos acerca de
stos que la organizacin mantiene y es custodio (fiduciario).
Garantizar la restauracin de las operaciones crticas en caso de ocurrir un
evento que interrumpa las operaciones regulares.

Restauracin
Copia Depsito Alterna
Prioridad (D)iaria (I)nterno (U)SC
(C)rtica (S)emanal (E)xterno (C)onvenio
rea Banco de datos (NoC)rtica (M)ensual (A)mbos (K)ontrato
Institucional Sede virtual (Web pages)
Correo Internet (cuentas y correo)
Correo electrnico interno (correo)
Domain name server (servidores)
Primary Domain Controller
(usuarios)
Intranet (documentos publicados)

Acadmica Educacin a Distancia - Contenido

Educacin a Distancia-transacciones
Biblioteca - Catlogo
Biblioteca - Transacciones
Catlogo interactivo institucional
Matrcula y consejera
(Transacciones)
Rcord electrnico estudiante
Rcord electrnico prospectos
Registro residentes
 Listas de cotejo Administracin de riesgos

LAD Portafolios

Restauracin
Copia Depsito Alterna
Prioridad (D)iaria (I)nterno (U)SC
(C)rtica (S)emanal (E)xterno (C)onvenio
rea Banco de datos (NoC)rtica (M)ensual (A)mbos (K)ontrato
Desarrollo Registro Exalumnos

Administrativa Fiscal Mayor General

Fiscal Cuentas por cobrar
Fiscal Presupuesto
Fiscal Cuentas por pagar
Fiscal Nmina
Fiscal Activos fijos
Fiscal Inventario Almacn
Fiscal Inventario de llaves

Asistencia econmica-
cuenta estudiante
Asistencia econmica EDExpress
Asistencia econmica Prstamos
Asistencia econmica Beca CES

Recursos Humanos
rcord empleado
Recursos Humanos Licencias
Recursos Humanos - Contratacin
Recursos Humanos OP2

Seguridad
permisos estacionamiento

Prtico ID institucional
 Listas de cotejo Administracin de riesgos

Identificacin de personal crtico

y de medios alternos

Tiempo Versin Equipo

mnimo crtica disponible
para (D)iaria (I)nterno
Personal restaurar (S)emanal (E)xterno
rea Banco de datos Crtico operacin (M)ensual (A)mbos
Institucional Sede virtual (Web pages)
Correo Internet (cuentas y correo)
Correo electrnico interno (correo)
Domain name server (servidores)
Primary Domain Controller (usuarios)
Intranet (documentos publicados)

Acadmica Educacin a Distancia - Contenido

Educacin a Distancia Transacciones
Biblioteca - Catlogo
Biblioteca - Transacciones
Catlogo interactivo institucional
Matrcula y consejera (Transacciones)
Rcord electrnico estudiante
Rcord electrnico prospectos
Registro residentes

LAD Portafolios
Desarrollo Registro Exalumnos

Administrativa Fiscal Mayor General

Fiscal Cuentas por cobrar
Fiscal Presupuesto
Fiscal Cuentas por pagar
Fiscal Nmina
Fiscal Activos fijos
Fiscal Inventario Almacn
Fiscal Inventario de llaves
Asistencia econmica- cuenta estudiante
Asistencia econmica EDExpress
Asistencia econmica Prstamos
Asistencia econmica Beca CES
Recursos Humanos Rcord empleado
Recursos Humanos Licencias
Recursos Humanos - Contratacin
Recursos Humanos OP2
Seguridad Permisos estacionamiento
 Listas de cotejo Administracin de riesgos

Prtico ID institucional