Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alumnos:
CUSCO - PERÚ
2020
ÍNDICE
CAPÍTULO 1: ASPECTOS GENERALES ............................................................... 5
1.1. PLANTEAMIENTO DEL PROBLEMA ............................................................. 5
1.1.1. DESCRIPCIÓN DEL PROBLEMA ........................................................... 5
1.1.2. IDENTIFICACIÓN DEL PROBLEMA ....................................................... 5
1.2. OBJETIVOS ................................................................................................... 6
1.2.1. OBJETIVO GENERAL ............................................................................. 6
1.2.2. OBJETIVOS ESPECÍFICOS.................................................................... 6
1.3. JUSTIFICACIÓN ............................................................................................ 7
1.4. LIMITACIONES .............................................................................................. 7
1.5. DELIMITACIONES ......................................................................................... 8
1.6. METODOLOGÍA QUE SE ADAPTAN SGSI.................................................... 8
1.6.1. CRONOGRAMA ...................................................................................... 9
CAPÍTULO 2: MARCO TEÓRICO ......................................................................... 13
2.1. DESARROLLO DE ANTECEDENTES.......................................................... 13
2.2. METODOLOGÍA SCRUM ............................................................................. 15
2.2.1. ROLES SCRUM .................................................................................... 17
2.2.2. FASES SCRUM ..................................................................................... 17
2.2.3. LOS ARTEFACTOS .............................................................................. 18
2.2.4. SGSI ...................................................................................................... 19
2.3. DESCRIPCIÓN DE LA CONTRALORÍA ....................................................... 19
2.3.1. COMPETENCIAS CONSTITUCIONALES ............................................. 19
2.3.2. COMPETENCIAS LEGALES ................................................................. 20
2.4. DESCRIPCIÓN DE LA NORMA TÉCNICA PERUANA ISO 27001 ............... 22
2.4.1. ESTRUCTURA DE LA NTP ISO 27001 ................................................. 22
2.5. DESCRIPCIÓN DE LA FAMILIA DE LA ISO 27000 ...................................... 24
2.5.1. ISO 27001 ............................................................................................. 24
2.5.2. ISO 27002 ............................................................................................. 25
2.5.3. ISO 27003 ............................................................................................. 25
2.5.4. ISO 27004 ............................................................................................. 26
2.5.5. ISO 27005 ............................................................................................. 26
2.5.6. ISO 27007 ............................................................................................. 26
2.5.7. ISO 27011 ............................................................................................. 26
2.5.8. ISO 27032 ............................................................................................. 27
2.5.9. ISO 27033 ............................................................................................. 27
2.6. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR .......................... 28
2
2.7. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA
ORGANIZACIÓN .................................................................................................... 29
CAPÍTULO 3: DESARROLLO DEL PROYECTO .................................................. 30
3.1. CONTROL A.5.1.1: POLÍTICAS PARA LA SEGURIDAD DE LA
INFORMACIÓN ....................................................................................................... 30
3.1.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 30
3.1.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 31
3.1.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 32
3.1.4. FORMATO DEL CONTROL .................................................................. 33
3.1.5. CAPTURAS DEL SOFTWARE .............................................................. 38
3.2. CONTROL A.5.1.2 REVISIÓN DE LAS POLÍTICAS PARA SEGURIDAD DE
LA INFORMACIÓN ................................................................................................. 39
3.2.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 39
3.2.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 40
3.2.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 41
3.2.4. FORMATO DEL CONTROL .................................................................. 42
3.2.5. CAPTURAS DEL SOFTWARE .............................................................. 44
3.3. CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES.................. 46
3.3.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 46
3.3.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 46
3.3.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 47
3.3.4. FORMATO DEL CONTROL .................................................................. 48
3.3.5. CAPTURAS DEL SOFTWARE .............................................................. 52
3.4. CONTROL A.6.2.2 TELETRABAJO .............................................................. 55
3.4.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 55
3.4.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 56
3.4.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 57
3.4.4. FORMATO DEL CONTROL .................................................................. 58
3.4.5. CAPTURAS DEL SOFTWARE .............................................................. 61
3.5. CONTROL A.9.1.1 POLÍTICA DE CONTROL DE ACCESO ......................... 62
3.5.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL ................................. 62
3.5.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL ................................ 63
3.5.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL ............... 64
3.5.4. FORMATO DEL CONTROL .................................................................. 65
3.5.5. CAPTURAS DEL SOFTWARE .............................................................. 68
BIBLIOGRAFÍA ........................................................................................................... 70
3
INTRODUCCIÓN
Si bien existen varias normas y guías, para mitigar los ataques y mantener cierto estándar
en cuanto a seguridad de datos se refiere, para el presente caso de estudio utilizaremos la
norma NTP ISO/IEC 27001:2014, la norma comprende el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan.
4
CAPÍTULO 1: ASPECTOS GENERALES
1.1. PLANTEAMIENTO DEL PROBLEMA
1.1.1. DESCRIPCIÓN DEL PROBLEMA
5
● Falta de responsables en la variación y validación de los
datos.
● Falta de implementación de planes de seguridad.
● Vulnerabilidad ante ataques externos e internos.
● Acceso de personas no autorizadas.
● Búsqueda de información irrelevante en cada área de la
organización.
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL
6
● Elaboración de formatos auditables correspondientes a
cada control establecidos, según la NTP ISO/IEC
27001:2014.
1.3. JUSTIFICACIÓN
Con el paso de los años la informática ha ido abarcando cada día más las
distintas áreas en las cuales nos movemos a diario, por ello podemos decir
con seguridad que en la actualidad toda empresa ya sea pública o privada
o en su mayoría que maneja gran cantidad de información cuenta con
sistemas de información, lo cual las lleva a ser sometidas a un control
estricto de evaluación de eficiencia y eficacia el cual les permita garantizar
que los sistemas de información que dicha empresa posee funcionen de
una manera adecuada y correcta.
1.4. LIMITACIONES
7
1.5. DELIMITACIONES
8
1.6.1. CRONOGRAMA
9
10
11
12
CAPÍTULO 2: MARCO TEÓRICO
2.1. DESARROLLO DE ANTECEDENTES
Antecedentes Internacionales
13
una ventaja competitiva ya que, como se comentó previamente en la
justificación, evidencia a las personas interesadas que los activos que
maneja la empresa cumplen los requisitos que ofrece dicha norma. A su
vez, permite contar con diversos planes de acción en caso de que se
produzca un incidente que pueda comprometer a la continuidad del
negocio. Esto ha sido interiorizado por las empresas que ahora buscan esta
certificación. El documento se enfoca en resaltar las especificaciones para
lograr la certificación en el ISO/IEC 27001 y la regulación que serán
puestas a prueba en los controles de esta investigación.
Antecedentes Nacionales
14
(Angeles, 2008) en su tesis “Sistema de Gestión de Seguridad de la
Información ISO 27001 para un Data Center”, esta tesis tuvo como
objetivo dar a conocer como es el proceso de implantación de un Sistema
de Gestión de Seguridad de la Información (SGSI) y la acreditación con
la certificación ISO 27001 en una empresa dedicada a la prestación de
servicios Outsourcing y Data Center de TI en lima, Perú. se desarrolló
usando la metodología de la ISO 27001 en donde especifica el ciclo de
Deming Mejora Continua donde tiene 4 etapas; la primera etapa Plan se
adoptó la política de seguridad de información de la organización, se
definió una metodología de Análisis de riesgo así mismo para la
evaluación de riesgo. En la segunda etapa hacer se implementaron los
controles de acceso físicos y lógicos, se asignaron responsabilidades y se
creó el comité de seguridad, se realizaron cursos de concientización de
seguridad le la información al personal. En la tercera etapa Verificar se
supervisó en el interior y el exterior del perímetro de gestión, el comité de
seguridad evalúa la eficacia del SGSI mediante las auditorías. En la cuarta
etapa Actuar el comité de seguridad identificar las mejoras que se
puedan aplicar en el SGSI. Concluyen que el SGSI asegura la
disponibilidad de los servicios, las cuales serán protegidas de tal manera
que se conserve la integridad y confidencialidad de la información. Para
llegar hasta la certificación es un logro que pocos llegan para lo cual tuvo
que pasar por las cuatro etapas donde la etapa más importante es la que
contribuye con el análisis y evaluación de riesgo de esta investigación.
15
ni a tener éste para pasar a la codificación. Muchas veces los requisitos no
se pueden conocer si no avanza el desarrollo y se va viendo y “tocando”
el resultado. Otras veces el mercado es tan rápido que a mitad de trabajo
las tendencias o la competencia obligarán a modificar el producto.
SCRUM tiene:
INCERTIDUMBRE: Variable que plantea alcanzar una
proporción de un plan detallado del producto. Que sirve como
motivación al equipo.
AUTO ORGANIZACIÓN: Soluciones presentan mejoras.
AUTO ENRIQUECIMIENTO: Equipos multidisciplinares
enriquecidos de forma mutua que aporta soluciones para
complementarse.
CONTROL MODERADO: Establece un control para evitar el
caos, basado en escenarios para no impedir creatividad y
espontaneidad de los miembros del equipo.
TRANSMISIÓN DEL CONOCIMIENTO: Personas pasan
conocimiento de unos proyectos a otros y compartir la
organización.
16
2.2.1. ROLES SCRUM
17
Revisión del Sprint: Reunión con el cliente o dueño del
proyecto, en la que se estudia y revisa el Product Backlog
de la iteración. Se definen los aspectos a cambiar, en caso
necesario, de mayor valor o probables para planificarlo en
la siguiente iteración.
18
2.2.4. SGSI
(Porras, 2012)
19
Supervisa que sea legal las prácticas ejecutadas del
Presupuesto del Estado en las Entidades Públicas que están
sujetas a control (Art. 82).
20
también disponer sanción a los funcionarios o servidores
públicos que cometan infracciones en contra de su
administración.
21
disposiciones de designaciones de Sociedades de Auditoría
que para el efecto se emitan.
22
Términos y definiciones: En este apartado se incluyen los
términos y conceptos empleados a lo largo del texto de
NTP ISO 27001.
23
Operación: Esta cláusula establece que es necesario
planificar, implementar y controlar aquellos procesos
establecidos por la organización. Además, también señala
que se debe valorar los riesgos a los que está sometida la
seguridad de la información y tomar medidas para
reducirlos o eliminarlos.
Cada norma tiene reservado un número dentro de una serie que van desde
27000 hasta 27019 y de 27030 a 27044, entre estas normas tenemos las
siguientes:
24
estableciendo unas condiciones de adaptación para aquellas
empresas que se encuentren certificadas bajo esta última.
25
necesaria para la utilización del ciclo PHVA (viene de las siglas
Planificar, Hacer, Verificar y Actuar).
26
2.5.8. ISO 27032
Consiste en 7 partes:
27
2.6. DESCRIPCIÓN DE LOS CONTROLES A IMPLEMENTAR
A.5.1 Directrices establecidas por la dirección para la Objetivo: Brindar orientación y apoyo por parte de la dirección,
seguridad de la información para la seguridad de la información de acuerdo con los requisitos
del negocio y con las leyes y reglamentos pertinentes
A.5.1.1 Políticas para la seguridad de la información Control: Se debería definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección, publicada
y comunicada a los empleados y partes externas pertinentes.
A.5.1.2 Revisión de las políticas para seguridad de la Control: Las políticas para seguridad de la información se deberían
información revisar a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, adecuación y eficacia continuas.
A.6.2 Dispositivos móviles y teletrabajo Objetivo: Garantizar la seguridad del teletrabajo y el uso de
dispositivos móviles.
A.6.2.1 Política para dispositivos móviles Control: Se deberían adoptar una política y unas medidas de
seguridad de soporte, para gestionar los riesgos introducidos por el
uso de dispositivos móviles.
A.9.1 Requisitos del negocio para control de acceso Objetivo: Limitar el acceso a información y a instalaciones de
procesamiento de información.
A.9.1.1 Política de control de acceso Control: Se debería establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de
seguridad de la información.
28
2.7. DIAGRAMA GENERAL DE LA APLICACIÓN DE UN CONTROL EN UNA ORGANIZACIÓN
29
CAPÍTULO 3: DESARROLLO DEL PROYECTO
30
3.1.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
31
3.1.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
32
3.1.4. FORMATO DEL CONTROL
33
¿Los equipos se encuentran fuera del
alcance de rayos solares, vibraciones,
insectos, ruido eléctrico o agua?
Con respecto al almacén de equipos
¿El ambiente de almacén de equipos se
encuentran alejados del fuego, humo,
polvo y temperaturas extremas?
¿El ambiente de almacén de equipos se
encuentran fuera del alcance de rayos
solares, vibraciones, insectos, ruido
eléctrico o agua?
34
Con respecto al Data Center
¿Existe alguna gestión de usuarios y
contraseñas para acceder a los equipos
del data center (autenticación)?
¿Existe algún programa que permita la
comunicación encriptada y segura que
esté sujeta a la autenticación de los
usuarios?
¿Está prohibido acceder a los equipos de
la oficina con cuentas diferentes a la
propietaria de cada empleado?
¿El usuario puede acceder desde otros
equipos fuera de la empresa?
¿El usuario gestiona sus claves de
acceso?
Con respecto a los equipos
¿Existe alguna gestión de usuarios y
contraseñas para acceder a los equipos
(autenticación)?
¿Existe algún programa que permita la
comunicación encriptada y segura que
esté sujeta a la autenticación de los
usuarios?
¿Está prohibido acceder a los equipos de
la oficina con cuentas diferentes a la
propietaria de cada empleado?
¿El usuario puede acceder desde otros
equipos fuera de la empresa?
¿El usuario gestiona sus claves de
acceso?
35
3.1.4.3. COPIAS DE SEGURIDAD
36
¿ Ningún usuario puede hacer
modificación en la configuración de su
dirección IP asignada al equipo de su
responsabilidad?
¿No se permiten utilizar en subredes de
una zona, rangos de otras zonas? Por
ejemplo, de la en la zona A, utilizar,
rangos de la zona C
37
3.1.5. CAPTURAS DEL SOFTWARE
38
3.2. CONTROL A.5.1.2 REVISIÓN DE LAS POLÍTICAS PARA
SEGURIDAD DE LA INFORMACIÓN
3.2.1. ANÁLISIS E INTERPRETACIÓN DEL CONTROL
39
Información actualizado y lo ayuda a cumplir con su verdadero
objetivo dentro de las buenas prácticas en la seguridad de la
información, así como también satisfacer el punto clave referido a
la mejora continua y cumplimiento de la Norma Técnica Peruana
NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas
de Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos.
40
3.2.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
41
3.2.4. FORMATO DEL CONTROL
42
3.2.4.3. COPIAS DE SEGURIDAD
43
3.2.5. CAPTURAS DEL SOFTWARE
44
45
3.3. CONTROL A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES
46
3.3.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
47
3.3.4. FORMATO DEL CONTROL
control si no Sustentar
Oficina
¿Se registran los dispositivos
móviles con todas las
características?
¿Se registra los dispositivos
móviles con todas sus
características cuando es dado de
baja y el porqué de la misma?
¿las características de los equipos
móviles cumplen con los requisitos
de las tareas que realiza su
propietario?
Data Center
¿Se registran los dispositivos
móviles con todas las
características?
¿Se registra los dispositivos
móviles con todas sus
características cuando es dado de
baja y el porqué de la misma?
¿las características de los equipos
móviles cumplen con los requisitos
de las tareas que realiza su
propietario?
Equipos
48
¿se controla el uso adecuado de
los equipos móviles?
Almacén de equipos
¿el lugar donde se guardan los
equipos es seguro, no hay riesgo
de robo?
control si no Sustentar
Oficina
¿existe un listado de los usuarios
de cada uno de los equipos
móviles?
Data Center
¿existe un listado de los usuarios
de cada uno de los equipos
móviles?
Equipos
¿se permite q otro usuario use el
dispositivo móvil?
¿cada usuario gestiona sus claves
de acceso?
49
3.3.4.3. COPIAS DE SEGURIDAD
control si no Sustentar
Copias de seguridad
¿realizan copias de seguridad de
la información contenida en los
equipos móviles?
¿las copias de seguridad son
almacenadas en algún dispositivo
seguro?
Descarga de ficheros
¿se administra los ficheros
descargados en el dispositivo
móvil, ya sea en carpetas o por
orden de prioridad?
control si no Sustentar
Usos de servicio de red
¿todos los dispositivos móviles
hacen uso de la red wifi de la
empresa?
¿los empleados conocen la
contraseña de la red wifi de la
empresa?
50
3.3.4.5. USO ADECUADO
control si no Sustentar
Uso de dispositivos móviles
¿se capacita sobre el uso
adecuado de dispositivos móviles
para cumplir con los objetivos de la
empresa?
¿se controla la instalación o
desinstalación de aplicaciones en
el equipo móvil?
¿se permite el uso del equipo móvil
para actividades que no estén
referidas a sus labores de la
empresa?
51
3.3.5. CAPTURAS DEL SOFTWARE
52
53
54
3.4. CONTROL A.6.2.2 TELETRABAJO
55
tradicionales de gestión y organización del trabajo. La puesta en
marcha de una forma de trabajar que necesariamente supone un
cambio importante en cuestiones tan arraigadas, exige una
adecuada planificación y diseño de su implantación.
56
3.4.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
57
3.4.4. FORMATO DEL CONTROL
control si no Sustentar
Oficina
¿La modalidad de teletrabajo es
adecuada?
¿La oficina del teletrabajador
pertenece al territorio nacional?
Data Center
¿La información que maneje el
teletrabajador puede ser vista por
su superior?
¿Existe un storage exclusivo para
grabaciones de las
videoconferencias en óptimas
condiciones?
¿Las conexiones/interfaces que se
conectan a los equipos que
proveen servicio de teletrabajo en
la empresa presentan una
adecuada estructura de acuerdo a
la norma ANSI/EIA/TIA−568−A y 568-
B?
Equipos
58
¿Se controla el estado del equipo
donde realiza el teletrabajo?
¿Los equipos de teletrabajo están
en óptimas condiciones?
Almacén de equipos
¿el lugar donde se guardan los
equipos es seguro, no hay riesgo
de robo?
control si no Sustentar
Oficina
¿Existe controles de usuarios para
el acceso al software que se utiliza
para el teletrabajo?
Data Center
¿Existe alguna gestión de usuarios
y contraseñas para acceder a los
equipos del data center que
ofrezcan conectividad a los
equipos de teletrabajo?
Equipos
¿Cada usuario gestiona sus claves
de acceso?
59
3.4.4.3. COPIAS DE SEGURIDAD
control si no Sustentar
Copias de seguridad
¿Existen almacenamiento de las
grabaciones del teletrabajo?
¿las grabaciones son almacenadas
en algún dispositivo seguro?
Descarga de ficheros
¿Los ficheros son almacenados en
los storage de la empresa?
control si no Sustentar
Uso de Teletrabajo
¿Recibió una capacitación sobre la
modalidad de teletrabajo?
¿El teletrabajador está preparado
para esta nueva modalidad de
trabajo?
¿Cumple con su horario de
teletrabajo?
60
3.4.5. CAPTURAS DEL SOFTWARE
61
3.5. CONTROL A.9.1.1 POLÍTICA DE CONTROL DE ACCESO
62
Para controlar el acceso a los recursos de la organización (espacio
de trabajo, equipos, servicios de red, sistemas de información, etc.),
los usuarios pasan por tres pasos. Estos pasos son identificación
autentificación y autorización.
Los controles de acceso también hacen posible llevar un registro
automatizado de los movimientos de un individuo o grupo dentro
de un espacio determinado de la organización.
En pocas palabras, el control de acceso debe ser concedido de
acuerdo con quién necesita saber, quién necesita usar y a cuánto
acceso requieren. Los controles de acceso según ISO 27001 pueden
ser de naturaleza digital y física: por ejemplo, restricciones de
permisos en las cuentas de usuario, así como limitaciones sobre
quién puede acceder a ciertas ubicaciones físicas.
3.5.2. RIESGOS DE NO IMPLEMENTAR EL CONTROL
63
3.5.3. DIAGRAMA DE PROCESOS DE NEGOCIO DEL CONTROL
64
3.5.4. FORMATO DEL CONTROL
3.5.4.1. FÍSICA
Control si no Sustentar
Oficina
¿Las oficinas cuentan con algún control de acceso a ellas?
¿Se tiene un control o registro de las personas que acceden a las
oficinas?
¿Se restringe el acceso a los empleados a oficinas que no les
compete en su labor?
¿Se otorga permisos de acuerdo a la jerarquía de cada empleado,
con respecto al acceso a las oficinas?
¿Existe personal de seguridad o algún sistema que cuide y verifique
el acceso a las oficinas?
Data Center
¿El Data Center cuenta con algún control de acceso?
¿Se tiene un control o registro de las personas que acceden al Data
Center?
¿Se restringe el acceso a los empleados al Data Center que no está
descrito en sus competencias y labor en la empresa?
¿Se otorga permisos de acuerdo a la jerarquía de cada empleado,
con respecto al acceso del Data Center?
¿Existe personal de seguridad o algún sistema que cuide y verifique
el acceso al Data Center?
Equipos
¿Los equipos están resguardados en ambientes con sistemas de
seguridad?
Almacén de equipos
65
¿El almacén de equipos cuenta con algún control de acceso a ellas?
¿Se tiene un control o registro de las personas que acceden al
almacén de equipos?
¿Se restringe el acceso a los empleados al almacén de equipos que
no les compete en su labor?
¿Se otorga permisos de acuerdo a la jerarquía de cada empleado,
con respecto al acceso al almacén de equipos?
¿Existe personal de seguridad o algún sistema que cuide y verifique
el acceso al área de almacén de equipos?
3.5.4.2. LÓGICA
control si no Sustentar
Uso de software
¿El uso de software está restringido por algún método de seguridad?
¿Se tiene un control o registro de las personas y utilizan el software
de la empresa?
¿Se restringe el acceso a los empleados mediante cuentas y
privilegios en cuanto al software que utiliza para cumplir su rol en la
empresa?
¿Se restringe el uso de ciertos elementos de software que no
competen al desarrollo de labores en la organización?
Descarga de ficheros
¿La descarga de ficheros está restringido por algún método de
seguridad?
¿Se tiene un control o registro de las personas y utilizan el software
de la empresa?
¿Se restringe el acceso a los empleados mediante cuentas y
privilegios en cuanto a la descarga de ficheros?
66
¿Se restringe el uso de ciertos elementos de software para la
descarga de ficheros que no competen al desarrollo de labores en
la organización?
¿La descarga de ficheros está restringido por algún método de
seguridad?
Copias de seguridad
¿Las copias de seguridad están restringidas por algún método de
seguridad?
¿Se tiene un control o registro de las personas que realizan las
copias de seguridad de la empresa?
¿Se restringe el acceso a los empleados mediante cuentas y
privilegios en cuanto a la descarga y gestión de copias de
seguridad?
¿Se restringe el uso de ciertos elementos de software para la
descarga y gestión de copias de seguridad que no competen al
desarrollo de labores en la organización?
Servicios de la red
¿La red está restringida por algún método de seguridad?
¿Se tiene un control o registro de los equipos que acceden y utilizan
la red de la empresa?
¿Se restringe el acceso a los empleados mediante cuentas y
privilegios en cuanto a los accesos de red?
¿Se restringe el uso de ciertos elementos de software para el acceso
a la red que no competen al desarrollo de labores en la
organización?
67
3.5.5. CAPTURAS DEL SOFTWARE
68
Después de generar todos los controles el Jefe de Oficina recibirá los reportes
para su posterior auditoria.
69
BIBLIOGRAFÍA
70