CUESTIONARIO SOBRE SEGURIDAD DE LA INFORMACIÓN AL PERSONAL

RESPONSABLE DE LA OITE DE LA RED DE SALUD LEONCIO PRADO

DATOS DEL INFORMANTE:

Ap. y Nombres: Ing. Christian Anderson, Quiroz Angulo

Teléfono: Cel.: 962-565275 Rpm: #*645967

Correo Electrónico: cj_quiroz@hotmail.com

1.- Con relación a las políticas de seguridad de la información

SI NO

a) ¿Se han elaborado políticas para la seguridad de la X

información?
b) ¿Se están aplicando las políticas de seguridad de la X
información?
c) ¿Se hacen de conocimiento al personal de la institución las X
políticas de Seguridad de la información?
d) ¿Realizan evaluaciones y actualizaciones de las políticas de X
Seguridad de la información?
e) ¿Ha realizado un estudio sobre el nivel de seguridad a X
aplicar en su sistema de información?
f) ¿Ha realizado un estudio sobre las medidas de seguridad X
que debe implantar?
2.- Con relación a la organización para la seguridad de la información.

a) ¿Tiene la institución un área o una persona asignada para X

labores exclusivas de seguridad de la información?
b) ¿El área de seguridad de la información está familiarizado X
dentro del organigrama de la institución?
c) ¿Tienen un comité de seguridad de la información a nivel de X
alta dirección?
d) ¿Tienen asesoramiento especializado en material de X
seguridad de la Información?
e) ¿Tienen algún mecanismo de cooperación con X
 organizaciones públicas o privadas referidas a seguridad de
la información?
3.- Con relación a la clasificación y control de activos informáticos.

a) ¿Están clasificados los activos informáticos (hardware y X

software)?
b) ¿Realizan periódicamente la actualización de su inventario X
de activos informáticos?
c) ¿Actualizan las etiquetas con nombres de contenidos, X
fechas, ubicación, versiones y responsables de los activos
informáticos?
4.- Con relación a las políticas de Seguridad en Recursos Humanos

a) ¿Se han elaborado políticas para la seguridad de personal? X

b) ¿Se ha informado a todo el personal de sus obligaciones en X

el tratamiento de los datos?
c) ¿La institución tiene acuerdos con el personal sobre la X
confidencialidad de la información?
d) ¿Reciben los usuarios capacitación actualizada en temas de X
seguridad de la información
5.- Con relación a la seguridad física y ambiental de los sistemas de información

a) ¿Tienen identificadas las áreas físicas seguras donde se X

encuentran los sistemas de información.
b) ¿Tienen controles de ingreso del personal a las áreas físicas X
donde se encuentran los sistemas de información?
c) ¿Están preparados para mantener el correcto X
funcionamiento del suministro eléctrico en caso de alguna
falla ? solo para servidores
d) ¿Están preparados para mantener el correcto X
funcionamiento del cableado de datos en caso de alguna
falla?
e) ¿tienen mecanismos de seguridad para los equipos que X
ingresan y salen fuera del ámbito de la institución?
f) ¿Cuentan con mantenimiento periódico del hardware y X
software en los equipos informáticos?
6.- Con relación a la gestión de las comunicaciones de datos y operaciones de los
sistemas informáticos

a) ¿cuentan con procedimientos y responsabilidades operativas X

del uso y acceso a los sistemas informáticos?
 b) ¿Cuentan con documentación de los procedimientos X
operativos del uso y acceso a los sistemas informáticos?
c) ¿Tienen procedimientos para afrontar incidentes de las X
comunicaciones de datos y operaciones de los sistemas
informáticos?
d) ¿Tiene un registro de fallas de las comunicaciones de datos? X

e) ¿Tiene un control documentado de toda la información X

referida a la red de datos, es decir dirección IP de las
maquinas de los usuarios, distribuidos de las IP, diagrama de
la red de datos, entre otros?
f) f.- ¿Tienen mecanismos de seguridad para proteger la X
documentación de los sistemas de información?
g) ¿Tienen establecidos controles de seguridad de los medios X
de almacenamiento de información de circulación?
h) ¿Tienen establecidos controles de seguridad para el sistema X
de correo electrónico de la institución?
7.- Con relación al control de acceso a los sistemas informáticos

a) ¿Tienen políticas de control de acceso a los sistemas X

informáticos de los usuarios en la red de datos?
b) ¿Se están aplicando las políticas de control de acceso a los X
sistemas de informáticos de los usuarios en la red de datos?
c) ¿Cuentan con un registro permanente de acceso a los X
sistemas informáticos de los usuarios en la red de datos?
d) ¿Cuentan con una administración de los privilegios para X
acceder a los sistemas informáticos?
e) ¿Cuentan con una administración de las contraseñas de la X
red de datos de su institución?
f) ¿Tienen políticas de uso, de los servicios de la red de datos X
de su institución?
g) ¿Tienen establecidos mecanismos de autentificación de X
usuarios para las conexiones externas a la red de datos?
h) ¿Tienen establecidos limitaciones de horario para la X
conexión a la red de datos?
i) ¿Están aislados los sistemas informáticos críticos de X
personal no autorizado?
j) ¿Tiene mecanismo de monitoreo del uso de los sistemas X
informáticos?
k) ¿Tienen controles de seguridad informática de los usuarios X
 que usan computadoras portátiles?
8.- Con relación a la adquisición desarrollo y mantenimiento de sistemas
informáticos

a) ¿Realiza el análisis y define especificaciones de los X

requerimientos de seguridad informática cuando desarrolla
sistemas informáticos?
b) ¿Tienen mecanismos de validación de datos de entrada y de X
salida de los sistemas informáticos?
c) ¿Se han establecido controles criptográficos en su red de X
datos, como por ejemplo el uso de certificados digitales u
otros programas para la encriptación de datos
d) ¿tienen políticas de uso de los controles criptográficos en su X
red de datos?
e) ¿Realizan revisiones a posibles códigos ocultos maliciosos o X
código troyano dentro de sus aplicaciones de software?
9.-Con relación a la Gestión de Incidencias de los Sistemas de Información

a) ¿Se ha habilitado un Registro de Incidencias relacionados X

con la informática?
b) ¿Realizan procedimientos, mecanismos para minimizar los X
incidentes mas frecuentes?
c) ¿Están los empleados preparados para reportar los X
incidentes de seguridad de la información física?
d) ¿Están preparados los usuarios para reportar los incidentes
de seguridad de la información?
10.- Con relación a la Gestión de la Continuidad del Negocio

a) ¿Tienen elaborados planes de continuidad de las X

operaciones informáticas?
b) ¿Están implementados los planes de continuidad de las X
operaciones informáticas?
c) ¿Realizan pruebas, mantenimiento y evaluación constante X
de los planes de continuidad de las operaciones
informáticas?
11.- Con relación al cumplimiento legal referido a los sistemas informáticos

a) ¿Tienen políticas y mecanismos de protección de datos y X

privacidad de la información del personal de la institución?
b) ¿Tiene controles del cumplimiento de las políticas de X
seguridad informática?
 c) ¿Realizan auditoría a los sistemas informáticos de su X
institución?

12.- Tecnología Empleada para la Seguridad de la Información

¿Qué mecanismos de seguridad se utiliza en la institución actualmente?

 Control de acceso (password) X

 Encriptación de archivos X

 Software antivirus X

 Firewall X

 Encriptación de las comunicaciones X

 Sistema de detección de intrusos (Solo en servidor) X

 Log Servers(Solo en servidor) X

 Certificados digitales X

 Redes privadas virtuales (VPN) X

 Análisis de vulnerabilidades X

13.- Tipos de Incidentes que se Presentaron

¿Qué tipos de incidentes ha tenido la institución?

 Modificación de pagina web X

 Robo de computadoras portátiles X

 Robo de equipos informáticos X

 Robo de información confidencial X

 Sabotaje X

 Penetración al sistema X

 Abuso del acceso a internet X

 Perdidas de Log Servers X

 Infección de Virus X

 Acceso no autorizado por personal interno X

 Perdida de Información lógica de computadoras(virus, error X

humano)
 Perdida de Información física X
 Perdida de Información importante daño a la imagen institucional X