SEGURIDADES

EVALUACIÓN DE SISTEMAS DE INFORMACIÓN

 Seguridades

CONTROLES • Existe un procedimiento para la gestión de

uso de Wireless, se encuentra formalizado
SOBRE y sociabilizado.
CONEXIONES • Se evidencia la existencia de políticas de
INALÁMBRICAS control relacionadas y de mecanismos de
encriptameinto de datos para mantener un
FORMALIZADOS esquema de seguridad de la información.
 Seguridades

CARENCIA DE
• Existen procedimientos vigentes para la
PROCEDIMIENTOS administración de los incidentes de seguridad
PARA en casos como: violaciones de acceso a los
TRATAMIENTO DE sistemas, redes; ataques de virus; malware, uso
de software no autorizado, entre otros, a fin de
INCIDENTES DE detectar y corregir de manera inmediata
SEGURIDAD cualquier evento que pueda afectar a la
seguridad de la información de la empresa.
 Seguridades

PERFILES Y • Se cuenta con la definición actualizada de los

ROLES DE usuarios de las unidades de negocio, que incluya los
cargos de los funcionarios y demás empleados,
USUARIOS junto con los perfiles de usuarios acordes a la
ACORDES CON estructura orgánico funcional por procesos definida
formalmente.
LA • En el sistema se detallan el cargo y las funciones
ESTRUCTURA específicas del personal en las distintas áreas de la
empresa.
DE LA EMPRESA
 Seguridades

• Se dispone de un listado de los

usuarios que acceden
VULNERABILIDADES
remotamente a los equipos
DE SEGURIDAD EN
ACCESOS REMOTOS computacionales para efectuar
diagnóstico remoto, bajo
supervisión del cliente.
 Seguridades

• Los procedimientos definidos para Administración de bases de datos,

se refieren a las políticas a ser aplicadas y se dispone de los
PROCEDIMIENTOS procedimientos detallados para verificar su aplicación práctica, puesto
que se detallan los pasos a ser cumplidos a nivel de instrucciones
DE específicas y comandos a ejecutarse en cada proceso, en las diferentes
plataformas y motores de bases de datos existentes.
ADMINISTRACION • Se cuenta con la documentación detallada de soporte para aplicar la
DE BASE DE administración y tareas operativas diarias, a fin de que las funciones
asignadas puedan ser realizadas por personal reemplazante, en el
DATOS menor tiempo posible.
• Existe un inventario de los motores de Base de Datos utilizados en la
organización.
 Seguridades

• Se dispone de software Antimalware para

proteger a los computadores servidores y
estaciones de trabajo que a través de la red
VULNERABILIDADES se encuentran enlazados al canal de Internet.
EN CONTROLES DE
• El correo electrónico institucional dispone de
SEGURIDAD LOGICA un mecanismo de encripción para brindar
confidencialidad de información transmitida
tanto interna como externamente.
 Seguridades

CAMBIOS DE •Se han realizado cambios

CLAVE DE periódicos recientes de las
ADMINISTRACIÓN
DE BASES DE claves de administración
DATOS de la Base de Datos.
 Seguridades

• Existen herramientas para la generación

CLAVES DE de claves que permita seleccionar los
criterios de fortaleza en generación
ADMINISTRACIÓN
automática de las claves de seguridad y
DE BASES DE al realizar la encriptación se puede
DATOS seleccionar el algoritmo de cifrado y la
fortaleza de su encriptación.
 Seguridades

• Se dispone de una configuración

HERRAMIENTA automática para aplicar mecanismos
DE automáticos de protección ante
PROTECCIÓN posibles ataques externos a la red
DE INTRUSOS de datos de la empresa en alguna
herramienta de seguridad.
 Seguridades

PROCESOS DE
SEGURIDAD EN • Se dispone de procedimientos para realizar
un proceso seguro de instalación de los
INSTALACIÓN computadores servidores del ambiente de
DE producción a fin de disponer de un nivel de
seguridad robusto que reduzca los riesgos
SERVIDORES de ataques externos no autorizados para
DE vulnerar la seguridad lógica instaurada.
PRODUCCIÓN
 Seguridades

PROCESOS • Se realiza un control de seguimiento a

las actividades de los administradores
DE CONTROL de Base de datos (DBA s).
DE CAMBIOS • Existen controles de monitoreo y
alertas tempranas ante el riesgo de
EN BASES DE que se realicen cambios no
DATOS autorizados en dichas bases.
 Seguridades

•Existe accesos de usuarios

USUARIOS CON administradores en un
PRIVILEGIOS DE
ADMINISTRACION servidor del ambiente de
producción.
 Seguridades

CENTRO • Se dispone de un centro de

cómputo alterno que le permita
DE continuar con la operación de
CÓMPUTO sus servicios al público ante
desastres mayores sucedidos en
ALTERNO el centro de cómputo principal.
 Seguridades

• Se cuenta con un plan de contingencia, que se basa en

la operación continua del centro de cómputo de la
Plan de empresa y contempla situación de emergencia mayor.
• El Plan define los desastres naturales ambientales,
Contingencias desastres provocados y los principales riesgos en una
matriz de impacto como: desabastecimiento de
Tecnológico energía eléctrica, erupción volcánica, atentados,
sabotaje, e incendio, además del catálogo de servicios
tecnológicos.
 Seguridades

• Se han definido procedimientos

PROCEDIMIENTOS formales para el monitoreo de control
PARA de desempeño de los diferentes
MONITOREO DE procesos que atiende la Gerencia de
DESEMPEÑO DE Tecnología con sus áreas respectivas, a
TECNOLOGÍA fin de constatar la eficacia y
efectividad de su desempeño.
 Seguridades

PROCEDIMIENTOS • Se han definido procedimientos formales para

el monitoreo de control sobre la disponibilidad
FORMALIZADOS del servicio de enlaces de datos, a fin de que se
PARA solicite una re facturación mensual a favor del
MONITOREO DE la empresa, ante los casos de degradación de la
disponibilidad mínima mensual acordada en los
ENLACES DE acuerdos de nivel de servicio contratados con
DATOS la empresa proveedora de servicios.
 Seguridades

• Se evidenció la existencia de una función de Auditoría informática

FUNCIÓN DE interna en la empresa, de un Plan de trabajo anual de Auditoría

informática en el cual se detallen las actividades a evaluar respecto
a los controles tecnológicos principalmente en las aplicaciones de
AUDITORÍA misión crítica como el sistema informático principal, a fin de
identificar errores excepciones, incidentes de seguridad, tanto
INFORMÁTICA físicos como lógicas, evaluar el tratamiento de estos incidentes o
problemas y monitorear el cumplimiento de los mismos.

INTERNA • Se evidencia la existencia de personal técnico con conocimientos y

experiencia en el área de Auditoría Informática.
 Seguridades

SEGUROS • Se dispone de la contratación de pólizas de seguros privados

PRIVADOS anuales, para obtener coberturas que protejan a la entidad
contra fraudes generados a través de la tecnología de la
PARA información, sistemas telemáticos, electrónicos o similares,
como mínimo con los siguientes riesgos: alteraciones de bases
COBERTURA de datos; accesos a los sistemas informáticos y de información
de forma ilícita; falsedad informática; estafa informática; daño
DE SINIESTROS informático; y, destrucción a la infraestructura o las
instalaciones físicas necesarias para la transmisión, recepción o
DE procesamiento de información.

TECNOLOGÍA