Formulario Assesmemt Tecnológico Eco Plaza

Cliente: Eco Plaza
Entorno Tecnológico
Cuestionario de evaluación
A continuación, se enumeran las preguntas desarrolladas por Pi-Tec con el fin de evaluar el entorno de Tecnologías de Información y Sistemas de
Información en (el cliente). La información obtenida de este cuestionario se tratará de forma confidencial y se utilizará para identificar los riesgos
y el alcance de la evaluación en curso.
Proceso:
1. El cliente debe complete cada pregunta. Si no hay claridad sobre la pregunta o no tienen información para responderla, indicarlo de esa
manera. De todas maneras, durante la visita en sitio haremos el check correspondiente.
2. El cliente debe enviar el cuestionario completo a:
Enrique Chaparro – echaparro@pi-tec.net Tony Jo

- tjo@pi-tec.net
Pág. 1 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Contenido
Organización de TI..................................................................................................................................................................................................... 4
Departamento de TI.............................................................................................................................................................................................................................4
Políticas de Seguridad Informática......................................................................................................................................................................................................5
Acceso a Sistemas y Datos....................................................................................................................................................................................... 6
Gestión de activos...............................................................................................................................................................................................................................6
Datacenter............................................................................................................................................................................................................................................8
Arquitectura de Red............................................................................................................................................................................................................................9
Sistema de detección de Intrusión.....................................................................................................................................................................................................12
Protección antivirus...........................................................................................................................................................................................................................13
Sistemas Operativos (O/S)................................................................................................................................................................................................................15
Aplicaciones......................................................................................................................................................................................................................................16
Bases de Datos...................................................................................................................................................................................................................................18
Autenticación.....................................................................................................................................................................................................................................19
Gestión de Cambios................................................................................................................................................................................................. 21
Gestión de cambios y configuración..................................................................................................................................................................................................21
Operaciones IT......................................................................................................................................................................................................... 22
Backup y Recuperación.....................................................................................................................................................................................................................22
Gestión de problemas e incidentes....................................................................................................................................................................................................24
Transmisión de Datos........................................................................................................................................................................................................................25
Auditoria............................................................................................................................................................................................................................................26
Continuidad de Negocio....................................................................................................................................................................................................................27
Data Analítica............................................................................................................................................................................................................ 29
Estrategia de Data Analítica..............................................................................................................................................................................................................29
Herramientas y Plataformas...............................................................................................................................................................................................................30
Pág. 2 de 32
Procesamiento de Datos....................................................................................................................................................................................................................30
Análisis y Visualización....................................................................................................................................................................................................................31
Seguridad y Privacidad de los Datos.................................................................................................................................................................................................31
Innovación y Mejora Continua..........................................................................................................................................................................................................32
Pág. 3 de 32
Pregunta Respuesta
Organización de TI
Departamento de TI
1. Describa los roles, funciones y responsabilidades de - Encargado del área de TI: Roly Cáceres (Robles) (Infraestructura,
las personas en el Departamento de TI. Seguridad de información y soporte de nivel 1, 2 y 3)
- Desarrolladores web: Miguel Alfonso, Juan Ruiz, Emmanuel
- Soporte nivel 1 y 2: Albert (Robles), Paul (Ecoplaza)
Esta área no maneja presupuestos, además se encargan de la

compra de los equipos y dispositivos para la empresa.
2. Proporcione una lista de cualquier proveedor de Infraestructura:
servicios que provea servicios o funciones de TI. < Comunicaciones >
(Completar con la información restante)  Redes
 Nubyx (red doméstica) (Ecoplaza sede Golf Capital)
(Adjuntar documento del inventario de dispositivos,
 Win (red corporativa) (Ecoplaza sede More)
incluyendo cantidades, modelos, versiones, SO, #
 Fiberlux (red corporativa) (Robles sede Golf Capital)
incidentes, fecha de adquisición y fabricación,
proveedor, entre otros) < hardware >
 Routers
 Switches
 Servidores
 Laptops
 Computadoras de escritorio
 Impresoras
Pág. 4 de 32
Aplicaciones / Sistemas:
< mail >
 Hosting
 Godaddy (Alojamiento web + correo) → Ecoplaza
 Banahosting → Robles
< ERP > Excel, Esperance
< VPN >
< Antivirus > Kaspersky Endpoint Security Cloud
3. ¿Con qué frecuencia se realizan actualizaciones
de seguridad en los sistemas y software utilizados
por el Departamento de TI?
Pág. 5 de 32
Políticas de Seguridad Informática
1. ¿Existe alguna política o procedimientos de

seguridad informática? Si la respuesta es SI por
favor adjunte las mismas como anexos y complete
las preguntas a continuación:
a. ¿Cómo se ha comunicado la política o

procedimientos a todos los empleados y
proveedores?
b. ¿La capacitación sobre la política y

procedimientos es obligatoria para todos los
empleados y contratistas?
c. ¿Existe alguna excepción aprobada a la política

o procedimientos? En caso afirmativo,
proporcione una lista de excepciones.
Pág. 6 de 32
Acceso a Sistemas y Datos
Gestión de activos
1. Proporcionar un inventario de activos de TI

(servidores, sistemas operativos,
aplicaciones,bases de datos, etc.). La lista
debe incluir lo siguiente:
a. Ubicación física de los servidores
b. Versiones para sistemas operativos
c. Propietario del activo (responsable)
2. ¿Se ha definido un proceso para gestionar la

eliminación de los activos de TI? En caso
afirmativo, proporcione una descripción de alto
niveldel proceso y adjunte una copia de la
documentación actual.
3. ¿Se ha definido un proceso para encriptar las

computadoras portátiles? En caso afirmativo,
proporcione una descripción de alto nivel del
proceso y adjunte una copia de la documentación
actual. ¿Se han encriptado todas las
computadorasportátiles?
Pág. 7 de 32
4. ¿Se ha definido un proceso para administrar
licencias de software? En caso afirmativo,
proceso y adjunte una copia de la
documentaciónactual.
5. Qué protocolos tienen para el manejo de la

data? Se está manipulando/explotando la data
empleando Power BI, Data Mart, análisis
predictivo u otros?
Pág. 8 de 26
DataCenters
1. ¿Dónde se encuentra ubicado el datacenter o cuarto Ubicado en el centro del piso 18 (Sede Golf Capital) al lado del área de
de servidores? en caso de no tener uno, explicar. RR.HH.
2. ¿Se utilizan cámaras de seguridad para monitorear No se tienen implementadas cámaras de seguridad
el datacenter o cuarto de servidores?
3. ¿Qué controles físicos existen para restringir el Únicamente está asegurado bajo llave física.
acceso a datacenter o cuarto de servidores (por
ejemplo, acceso con tarjetas, biométrico, llaves,
etc.)?
4. ¿Existe un proceso definido para otorgar/terminar el No, cualquiera con la llave puede tener acceso al datacenter.
acceso al datacenter o cuarto de servidores? En
caso afirmativo, proporcione una descripción de alto
nivel del proceso y adjunte una copia de la
5. ¿Existe un proceso definido para revisar los accesos No se tiene un proceso definido para la revisión y control de accesos al
al datacenter o cuarto de servidores? En caso datacenter.
afirmativo, proporcione una descripción de alto nivel
del proceso y adjunte una copia de la
6. ¿Qué controles ambientales existen para proteger el Cuenta con aire acondicionado y extintores. Sin embargo no están en las
datacenter o cuarto de servidores (por ejemplo, gas mejores condiciones.
contra incendio, AC, respaldo de UPS, etc.) ?
Pág. 9 de 34
Arquitectura de Red
1. Describir la arquitectura de red y adjuntar un

diagrama de red actual. El diagrama debe incluir:
 Conexiones externas
 Firewalls
 Dispositivos de red críticos
(routers, switches)
 Servidores Web
2. ¿La arquitectura de red es administrada por el área

de TI o por un tercero? En caso de ser un tercero,
proporciones una descripción de alto nivel a
incluya copia del contrato u orden de servicio.
3. ¿Se revisan las reglas del firewall de forma regular?

En caso afirmativo, proporcione una descripción de
alto nivel del proceso y adjunte una copia de la
4. ¿Los registros de auditoría se revisan de forma

regular? En caso afirmativo, proporcione una
descripción de alto nivel del proceso y adjunte una
copia de la documentación actual.
5. ¿Tienen herramientas o servicios de administración

o balanceo de carga existen para administrar el
procesamiento de la red?
Pág. 10 de 34
Arquitectura de Red
6. ¿Qué redundancias existen implementadas para

gestionar la performance de la red y la tolerancia a
fallos?
7. Proporcione una descripción de alto nivel del

proceso para brindar acceso a los dispositivos de
red (es decir, routers, switches) y adjunte una
Nota: Responda a la pregunta para todos los

dispositivos de red.

proceso para revocar el acceso a los dispositivos
de red (routers, switches, etc.) y adjuntar copia de
la documentación actual.


proceso para revisión de los accesos a los
dispositivos de red (es decir, routers, switches) y
adjunte copia de la documentación actual.

Pág. 11 de 34
Arquitectura de Red
10. ¿Se revisan periódicamente las conexiones de red

externas? En caso afirmativo, ¿se ha definido un
proceso? En caso afirmativo, proporcione una
11. ¿Se conectan los usuarios finales de forma remota

a la red? En caso afirmativo, detalle cómo lo hacen.
Pág. 12 de 34
Sistema de detección de Intrusión (IDS)
1. ¿Tienen instalado software de detección de

intrusos? En caso afirmativo, complete las
preguntas a continuación:
a) Proporcionar nombre(s) y versiones del

software
b) ¿Quién es el responsable de gestionar el

sistema de detección de intrusos?
c) ¿Es un sistema basado en la red o en el

host?
d) ¿Se ha definido un proceso para monitorear

el software? En caso afirmativo, proporcione
una descripción de alto nivel del proceso y
adjunte una copia de la documentación
actual.
e) ¿Se ha definido un proceso para gestionar

las intrusiones de red? En caso afirmativo,
proporcione una descripción de alto nivel
Pág. 13 de 34
Protección antivirus
1. ¿Tiene instalado protección antivirus? En caso Sí, se tiene implementado un servidor antivirus. Sin embargo este solo
afirmativo, complete las preguntas a continuación: tiene cobertura para 20 usuarios.
2. ¿Quién gestiona la protección antivirus? Roly Cáceres → Encargado del área de TI.
3. ¿Está instalado una consola de gestión del Servidor antivirus dentro del AD (Solamente en Robles)
software antivirus? En caso afirmativo, complete
a) Proporcionar nombre(s) y versiones del Kaspersky Endpoint Security Cloud

software
b) ¿Con qué frecuencia se realizan las Mensualmente

actualizaciones de virus?
c) ¿Dónde está instalado el software (on- On-premise

premise / nube)?
d) ¿Se ha definido un proceso para administrar

las actualizaciones recibidas del proveedor?
En caso afirmativo, proporcione una
descripción de alto nivel del proceso y
actual.
Pág. 14 de 34
e) ¿Se ha definido un proceso para monitorear
el software? En caso afirmativo, proporcione
una descripción de alto nivel del proceso y
actual.
4. ¿Se ha definido un proceso para gestionar los Una vez se detecta el dispositivo infectado, se aísla de red y se le confisca
temporalmente el dispositivo al trabajador responsable del uso del
ataques de virus? En caso afirmativo,
dispositivo para iniciar el proceso de análisis y recuperación del dispositivo.
proceso y adjunte una copia de la *Actualmente no han ocurrido incidentes, pero tampoco hay documentación
documentación actual. de algún incidente.
Pág. 15 de 34
Sistemas Operativos (O/S)
1. ¿Se ha desarrollado una línea base de seguridad

mínima (MSB) para sistemas operativos? En caso
afirmativo, adjunte las copias más recientes.
2. ¿Se ha definido un proceso para otorgar / revocar y

revisar accesos al sistema operativo? En caso
Nota: responda esto para todas las versiones de sistema
operativo que utilicen (desktop y servidores)
3. ¿Existen procesos separados para otorgar, revocar

y revisar el acceso de usuarios privilegiados o
administradores? En caso afirmativo, describa en
qué se diferencian los procesos de los procesos
para usuarios sin privilegios y adjunte una copia de
4. ¿Se ha definido un proceso de administración de

parches? En caso afirmativo, proporcione una
Pág. 16 de 34
Aplicaciones
1. Proporcione una lista de todas las aplicaciones y  Ecoplaza.com.pe (Godaddy) (Informativo, WordPress)
sistemas de información utilizadas en su entorno  Grupoecoplaza.com.pe (Godaddy) (Web corporativa, HTML, CSS,
y una descripción de alto nivel de para qué se PHP)
utilizan. (Ingresar las páginas que faltan, en caso  Gruporobles.com.pe (Banahosting) (Informativo, HTML, CSS, PHP)
se ha digitado mal una página, haga el favor de  Invcap.com.pe (Banahosting) (Informativo, WordPress)
corregirlo)  Tutecnology.com.pe () (Informativo, WordPress)
 Lordinmobiliaria.pe (Banahosting) (Informativo, WordPress)
 Dona.com () (E-commerce)
 Therosblack.com (Hostinger)
2. ¿Se ha definido un proceso para conceder,
revocar y revisar el acceso a las aplicaciones?
En caso afirmativo, proporcione una descripción
de alto nivel del proceso y adjunte una copia de
Nota: responda esto para todas las aplicaciones
3. ¿Existen un proceso separado para otorgar,

revocar y revisar el acceso de usuarios
privilegiados a las aplicaciones? En caso
afirmativo, describa en qué se diferencian los
procesos de los procesos para usuarios sin
privilegios y adjunte una copia de la
Pág. 17 de 34
4. ¿Se realizan pruebas de seguridad de las
aplicaciones para identificar y corregir posibles
vulnerabilidades antes de su implementación?
Pág. 18 de 34
5. ¿Existe un proceso para monitorear y auditar las
actividades de los usuarios dentro de las
aplicaciones para detectar comportamientos
anómalos?
6. ¿Se implementan políticas de seguridad

robustas para garantizar la integridad y
confidencialidad de los datos almacenados y
procesados por los sistemas de información de
la empresa?
Pág. 19 de 34
Bases de Datos
1. ¿Se han desarrollado líneas base de

seguridad mínimas (MSB) para bases de
datos? En caso afirmativo, adjunte las
copias más recientes.
2. ¿Se ha definido un proceso para conceder,
revocary revisar el acceso a las bases de datos?
En caso afirmativo, proporcione una descripción
de alto niveldel proceso y adjunte una copia de la
Nota: responda esto para todas las bases de datos
3. ¿Existen procesos separados para otorgar,

revocar y revisar el acceso de usuarios
privilegiados a las bases de datos? En caso
afirmativo, describa en qué se diferencian los
procesos de los procesos para usuarios sin
privilegios y adjunte una copia dela
Nota: responda esto para todas las bases de datos
4. Describa los controles de seguridad que
protegen la ubicación donde se almacena la
información
Pág. 20 de 34
Autenticación
1. ¿Existen definidas directivas de seguridad para la

autenticación de usuarios? En caso afirmativo,
complete las preguntas a continuación:
a. ¿Existe una sintaxis definida para la creación del

ID de usuarios? En caso afirmativo, descríbalo.
b. ¿Existe un límite para el número de intentos de

inicio de sesión no válidos antes de que el
usuario quede "bloqueado" por cada aplicación
incluido el acceso a red? Si es así, ¿cuántos?
c. ¿Hay una función dentro de cada aplicación que

cierre automáticamente la sesión de un usuario
después de un cierto período de inactividad? En
caso afirmativo, ¿cuál es el tiempo que pasará
antes de la activación del cierre de sesión
automático?
d. ¿Se registran y revisan los intentos de

autenticación fallidos? En caso afirmativo,
proceso para revisar los registros y adjunte una
e. ¿Existen reglas de sintaxis estándar para las

contraseñas? En caso afirmativo, describa.
Pág. 21 de 34
f. ¿Se mantienen historiales de contraseñas? En
caso afirmativo, ¿cuántas iteraciones?
g. ¿Cómo se comunican los ID y las contraseñas a

los usuarios finales cuando son asignados?
h. ¿Puede un usuario final restablecer su

contraseña a voluntad? En caso afirmativo,
describa.
i. ¿Dónde se almacenan las contraseñas de los

usuarios finales?
j. ¿Se encriptan las contraseñas de los usuarios

finales?
k. ¿Se solicita obligatoriamente el cambio de

contraseña en el uso inicial?
Pág. 22 de 34
Gestión de Cambios
Gestión de cambios y configuración
1. ¿Existen políticas y procedimientos definidos para

la Gestión de Cambios y configuraciones de los
activos de TI? En caso afirmativo, adjunte copias
de la versión actual de los mismos.
2. ¿Existe un proceso separado para administrar

los cambios de emergencia? En caso
documentaciónactual.
3. ¿Existe un proceso de gestión del ciclo de vida

de desarrollos de los sistemas empresariales
para cambios importantes y desarrollo de
nuevos sistemas? En caso afirmativo,
proceso y adjunte una copia de la
Pág. 23 de 34
Operaciones IT
Backup y Recuperación
1. ¿Se hacen backups de sus datos y son Se realizan backups de un tercero (nube personal)
recuperables? En caso afirmativo, complete
las preguntas a continuación para cada
aplicación/servidor del que se haya realizado
una copia de seguridad:
a. Tipos de backups: ¿Full, incremental, etc.?
b. ¿Frecuencia de los backups? Se realizan en tiempo real
c. ¿Quién tiene acceso a la programación de los

backups?
d. ¿Se mantienen registros de los backups

realizados?
e. ¿Se revisan los registros de los backups en

caso de errores?
f. ¿Dónde se almacenan los medios donde se

graban los backups?
Pág. 24 de 34
g. ¿Las copias de los backups se almacenan en
una ubicación externa? En caso afirmativo,
¿se ha definido un proceso para ello? En caso
2. ¿Existe un plan de contingencia en caso de que

se pierdan los datos originales y sea necesario
restaurar desde las copias de seguridad?
Pág. 25 de 34
Gestión de problemas e incidentes
1. ¿Se ha definido un proceso para la gestión de

problemas e incidentes? En caso afirmativo,
proceso y adjunte una copia de la documentación
actual.
2. ¿Cuentan con una Mesa de Ayuda? En caso No se cuenta con una Mesa de Ayuda
afirmativo, ¿quién administra y opera la mesa de
ayuda (es interna o tercerizada)?
3. ¿Qué medidas se toman para proteger la

infraestructura de red contra ataques externos e
internos?
4. ¿Cuentan con un Equipo de Respuesta a

Incidentes Informáticos? En caso afirmativo,
¿quién administra el equipo (es interna o
tercerizada)?
5. ¿Cuenta con un procedimiento para reportar
incidentes de pérdida de información, violación de
confidencialidad o integridad? En caso afirmativo,
sírvase describir
6. ¿Realiza evaluaciones periódicas de los riesgos
de seguridad y toma medidas para mitigar los
riesgos identificados?
Pág. 26 de 34
Transmisión de Datos
1. ¿Existe un proceso definido para transmisión de

datos sensibles al exterior de la organización? En
caso afirmativo, proporcione una descripción de alto
2. ¿Se han definido protocolos de transmisión de datos

sensibles al exterior de la organización? En caso
afirmativo, adjunte copia de las normas vigentes.
3. ¿Se han definido normas para garantizar la

exactitud/integridad de la transmisión de datos
afirmativo, adjunte copia de las normas vigentes.
4. ¿Se registra y revisa la transmisión de datos

del proceso para revisar los registros y adjunte una
5. ¿Qué mecanismos de seguridad existen en la

transmisión de datos?
Pág. 27 de 34
Auditoria
1. ¿Se realiza análisis de vulnerabilidad (escaneos)

de los servidores? En caso afirmativo, complete
a. ¿Quién realiza la(s) prueba(s): interno/externo?
b. ¿Qué tipo de análisis (escaneos) realizan:

interno/externo?
c. ¿Con que frecuencia se realizan estos análisis?
d. ¿Qué dispositivos son analizados?
e. ¿Qué herramientas utilizan para realizar estos

análisis (escaneos)?
f. Adjunte copia de los resultados de los escaneos

más recientes.
2. ¿Se realizan pruebas/evaluaciones de penetración

de red? En caso afirmativo, complete las preguntas
a continuación:
a. ¿Quién realiza la(s) prueba(s): interno/externo?
Pág. 28 de 34
b. ¿Frecuencia de la(s) prueba(s)?
c. Adjunte copia de los resultados de la(s)

prueba(s) más reciente(s)
3. ¿Se realizan auditorías internas de seguridad de

red? En caso afirmativo, complete las preguntas a
continuación:
a. ¿Quién realiza las auditorías: internas/externas?
b. ¿Frecuencia de la(s) prueba(s)?
c. Adjunte copia de los resultados de la prueba

más reciente.
Pág. 29 de 34
Continuidad de Negocio
1. ¿Existe en la empresa un plan de recuperación ante No existe un plan de recuperación ante desastres (DRP) ni tampoco
desastres (DRP)? En caso afirmativo, complete las un plan de continuidad de la empresa (BCP)
preguntas a continuación:
a. ¿Está documentado el DRP? En caso

afirmativo, adjunte una copia actual.
b. ¿El DRP define los tiempos de recuperación

para aplicaciones críticas?
c. ¿El DRP ha sido aprobado por la empresa?
d. ¿Se prueba periódicamente el DRP? En caso

afirmativo, proporcione la frecuencia y adjunte
copia de los resultados de las pruebas más
recientes.
e. ¿Hay definido un sitio activo de recuperación

ante desastres? En caso afirmativo, ¿dónde se
encuentra?
Pág. 30 de 34
Data Analítica
Estrategia de Data Analítica
1. ¿Se ha definido una estrategia de Data

Analítica en la organización? En caso
afirmativo, proporcione una descripción
general de la estrategia y cómo se alinea con
los objetivos comerciales.
2. ¿Qué tecnologías de Data Analítica están siendo

utilizadas actualmente en la organización? (por
ejemplo, herramientas de Business Intelligence,
plataformas de análisis de datos, herramientas de
visualización, etc.)
3. ¿Se están empleando técnicas de análisis

predictivo para predecir tendencias futuras o
comportamientos de interés para la
organización? En caso afirmativo, proporcione
ejemplos de cómo se están aplicando estas
técnicas.
Pág. 31 de 34
Herramientas y Plataforma
1. Proporcione una lista de las herramientas y

plataformas de Data Analítica que se utilizan
en la organización, junto con una breve
descripción de su función principal.
2. ¿Se están utilizando herramientas de Business

Intelligence para generar informes y análisis ad
hoc? En caso afirmativo, describa cómo se
utilizan estas herramientas en el día a día de la
organización.
Procesamiento de Datos
1. ¿Qué protocolos y procesos se utilizan para el

manejo de los datos dentro de la organización?
¿Se emplean herramientas específicas para la
limpieza, transformación y preparación de los
datos antes de su análisis?
2. ¿Se está utilizando algún tipo de Data Warehouse
o Data Mart para almacenar y organizar los datos
empresariales? En caso afirmativo, describa la
arquitectura general de estas soluciones y cómo
se integran con otras herramientas de análisis.
Pág. 32 de 34
Análisis y Visualización
1. ¿Qué tipos de análisis se realizan comúnmente

en la organización? (por ejemplo, análisis
descriptivo, análisis exploratorio, análisis
predictivo, etc.) Proporcione ejemplos
concretos de los resultados de estos análisis.
2. ¿Se utilizan herramientas de visualización de

datos para comunicar los resultados del
análisis de manera efectiva? En caso
afirmativo, describa cómo se utilizan estas
herramientas y quiénes son los principales
usuarios de los informes y paneles de
visualización.
Seguridad y Privacidad de los Datos
1. ¿Se han implementado medidas de seguridad

y privacidad de datos para proteger la
integridad y confidencialidad de la información
analítica? En caso afirmativo, describa las
principales políticas y controles de seguridad
que se aplican a los datos analíticos.
2. ¿Se lleva a cabo algún tipo de auditoría o

monitoreo de los accesos a los datos analíticos
para detectar posibles brechas de seguridad o
mal uso de la información? En caso afirmativo,
describa los procesos y herramientas utilizadas
para esta actividad.
Pág. 33 de 34
Innovación y Mejora Continua
1. ¿La organización está explorando nuevas

tecnologías o técnicas de Data Analítica para
mejorar sus procesos o tomar decisiones más
informadas? En caso afirmativo, proporcione
ejemplos de iniciativas de innovación en el
área de Data Analítica.
2. ¿Se realiza alguna evaluación periódica del
rendimiento de las soluciones de Data Analítica
implementadas? En caso afirmativo, describa cómo
se llevan a cabo estas evaluaciones y cómo se
utilizan los resultados para mejorar la eficacia y
eficiencia de los procesos analíticos.
Pág. 34 de 34

Formulario Assesmemt Tecnológico Eco Plaza

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Formulario Assesmemt Tecnológico Eco Plaza

Cargado por

Copyright:

Formatos disponibles

Cliente: Eco Plaza

2. El cliente debe enviar el cuestionario completo a:

Enrique Chaparro – echaparro@pi-tec.net Tony Jo

Esta área no maneja presupuestos, además se encargan de la

1. ¿Existe alguna política o procedimientos de

a. ¿Cómo se ha comunicado la política o

b. ¿La capacitación sobre la política y

c. ¿Existe alguna excepción aprobada a la política

1. Proporcionar un inventario de activos de TI

2. ¿Se ha definido un proceso para gestionar la

3. ¿Se ha definido un proceso para encriptar las

5. Qué protocolos tienen para el manejo de la

1. Describir la arquitectura de red y adjuntar un

2. ¿La arquitectura de red es administrada por el área

3. ¿Se revisan las reglas del firewall de forma regular?

4. ¿Los registros de auditoría se revisan de forma

5. ¿Tienen herramientas o servicios de administración

6. ¿Qué redundancias existen implementadas para

7. Proporcione una descripción de alto nivel del

Nota: Responda a la pregunta para todos los

8. Proporcione una descripción de alto nivel del

Nota: Responda a la pregunta para todos los

9. Proporcione una descripción de alto nivel del

Nota: Responda a la pregunta para todos los

10. ¿Se revisan periódicamente las conexiones de red

11. ¿Se conectan los usuarios finales de forma remota

1. ¿Tienen instalado software de detección de

a) Proporcionar nombre(s) y versiones del

b) ¿Quién es el responsable de gestionar el

c) ¿Es un sistema basado en la red o en el

d) ¿Se ha definido un proceso para monitorear

e) ¿Se ha definido un proceso para gestionar

a) Proporcionar nombre(s) y versiones del Kaspersky Endpoint Security Cloud

b) ¿Con qué frecuencia se realizan las Mensualmente

c) ¿Dónde está instalado el software (on- On-premise

d) ¿Se ha definido un proceso para administrar

1. ¿Se ha desarrollado una línea base de seguridad

2. ¿Se ha definido un proceso para otorgar / revocar y

3. ¿Existen procesos separados para otorgar, revocar

4. ¿Se ha definido un proceso de administración de

3. ¿Existen un proceso separado para otorgar,

6. ¿Se implementan políticas de seguridad

1. ¿Se han desarrollado líneas base de

3. ¿Existen procesos separados para otorgar,

1. ¿Existen definidas directivas de seguridad para la

a. ¿Existe una sintaxis definida para la creación del

b. ¿Existe un límite para el número de intentos de

c. ¿Hay una función dentro de cada aplicación que

d. ¿Se registran y revisan los intentos de

e. ¿Existen reglas de sintaxis estándar para las

g. ¿Cómo se comunican los ID y las contraseñas a

h. ¿Puede un usuario final restablecer su

i. ¿Dónde se almacenan las contraseñas de los

j. ¿Se encriptan las contraseñas de los usuarios

k. ¿Se solicita obligatoriamente el cambio de

Gestión de cambios y configuración

1. ¿Existen políticas y procedimientos definidos para

2. ¿Existe un proceso separado para administrar

3. ¿Existe un proceso de gestión del ciclo de vida

a. Tipos de backups: ¿Full, incremental, etc.?

b. ¿Frecuencia de los backups? Se realizan en tiempo real

c. ¿Quién tiene acceso a la programación de los

d. ¿Se mantienen registros de los backups

e. ¿Se revisan los registros de los backups en