Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entorno Tecnológico
Cuestionario de evaluación
A continuación, se enumeran las preguntas desarrolladas por Pi-Tec con el fin de evaluar el entorno de Tecnologías de Información y Sistemas de
Información en (el cliente). La información obtenida de este cuestionario se tratará de forma confidencial y se utilizará para identificar los riesgos
y el alcance de la evaluación en curso.
Proceso:
1. El cliente debe complete cada pregunta. Si no hay claridad sobre la pregunta o no tienen información para responderla, indicarlo de esa
manera. De todas maneras, durante la visita en sitio haremos el check correspondiente.
Pág. 1 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Contenido
Organización de TI..................................................................................................................................................................................................... 4
Departamento de TI.............................................................................................................................................................................................................................4
Políticas de Seguridad Informática......................................................................................................................................................................................................5
Acceso a Sistemas y Datos....................................................................................................................................................................................... 6
Gestión de activos...............................................................................................................................................................................................................................6
Datacenter............................................................................................................................................................................................................................................8
Arquitectura de Red............................................................................................................................................................................................................................9
Sistema de detección de Intrusión.....................................................................................................................................................................................................12
Protección antivirus...........................................................................................................................................................................................................................13
Sistemas Operativos (O/S)................................................................................................................................................................................................................15
Aplicaciones......................................................................................................................................................................................................................................16
Bases de Datos...................................................................................................................................................................................................................................18
Autenticación.....................................................................................................................................................................................................................................19
Gestión de Cambios................................................................................................................................................................................................. 21
Gestión de cambios y configuración..................................................................................................................................................................................................21
Operaciones IT......................................................................................................................................................................................................... 22
Backup y Recuperación.....................................................................................................................................................................................................................22
Gestión de problemas e incidentes....................................................................................................................................................................................................24
Transmisión de Datos........................................................................................................................................................................................................................25
Auditoria............................................................................................................................................................................................................................................26
Continuidad de Negocio....................................................................................................................................................................................................................27
Data Analítica............................................................................................................................................................................................................ 29
Estrategia de Data Analítica..............................................................................................................................................................................................................29
Herramientas y Plataformas...............................................................................................................................................................................................................30
Pág. 2 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Procesamiento de Datos....................................................................................................................................................................................................................30
Análisis y Visualización....................................................................................................................................................................................................................31
Seguridad y Privacidad de los Datos.................................................................................................................................................................................................31
Innovación y Mejora Continua..........................................................................................................................................................................................................32
Pág. 3 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Pregunta Respuesta
Organización de TI
Departamento de TI
1. Describa los roles, funciones y responsabilidades de - Encargado del área de TI: Roly Cáceres (Robles) (Infraestructura,
las personas en el Departamento de TI. Seguridad de información y soporte de nivel 1, 2 y 3)
- Desarrolladores web: Miguel Alfonso, Juan Ruiz, Emmanuel
- Soporte nivel 1 y 2: Albert (Robles), Paul (Ecoplaza)
Pág. 4 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Aplicaciones / Sistemas:
< mail >
Hosting
Godaddy (Alojamiento web + correo) → Ecoplaza
Banahosting → Robles
< ERP > Excel, Esperance
< VPN >
< Antivirus > Kaspersky Endpoint Security Cloud
3. ¿Con qué frecuencia se realizan actualizaciones
de seguridad en los sistemas y software utilizados
por el Departamento de TI?
Pág. 5 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Políticas de Seguridad Informática
Pág. 6 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Acceso a Sistemas y Datos
Gestión de activos
Pág. 7 de 32
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
4. ¿Se ha definido un proceso para administrar
licencias de software? En caso afirmativo,
proporcione una descripción de alto nivel del
proceso y adjunte una copia de la
documentaciónactual.
Pág. 8 de 26
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
DataCenters
1. ¿Dónde se encuentra ubicado el datacenter o cuarto Ubicado en el centro del piso 18 (Sede Golf Capital) al lado del área de
de servidores? en caso de no tener uno, explicar. RR.HH.
2. ¿Se utilizan cámaras de seguridad para monitorear No se tienen implementadas cámaras de seguridad
el datacenter o cuarto de servidores?
3. ¿Qué controles físicos existen para restringir el Únicamente está asegurado bajo llave física.
acceso a datacenter o cuarto de servidores (por
ejemplo, acceso con tarjetas, biométrico, llaves,
etc.)?
4. ¿Existe un proceso definido para otorgar/terminar el No, cualquiera con la llave puede tener acceso al datacenter.
acceso al datacenter o cuarto de servidores? En
caso afirmativo, proporcione una descripción de alto
nivel del proceso y adjunte una copia de la
documentación actual.
5. ¿Existe un proceso definido para revisar los accesos No se tiene un proceso definido para la revisión y control de accesos al
al datacenter o cuarto de servidores? En caso datacenter.
afirmativo, proporcione una descripción de alto nivel
del proceso y adjunte una copia de la
documentación actual.
6. ¿Qué controles ambientales existen para proteger el Cuenta con aire acondicionado y extintores. Sin embargo no están en las
datacenter o cuarto de servidores (por ejemplo, gas mejores condiciones.
contra incendio, AC, respaldo de UPS, etc.) ?
Pág. 9 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Arquitectura de Red
Pág. 10 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Arquitectura de Red
Pág. 11 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Arquitectura de Red
Pág. 12 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Sistema de detección de Intrusión (IDS)
Pág. 13 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Protección antivirus
1. ¿Tiene instalado protección antivirus? En caso Sí, se tiene implementado un servidor antivirus. Sin embargo este solo
afirmativo, complete las preguntas a continuación: tiene cobertura para 20 usuarios.
2. ¿Quién gestiona la protección antivirus? Roly Cáceres → Encargado del área de TI.
3. ¿Está instalado una consola de gestión del Servidor antivirus dentro del AD (Solamente en Robles)
software antivirus? En caso afirmativo, complete
las preguntas a continuación:
Pág. 14 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
e) ¿Se ha definido un proceso para monitorear
el software? En caso afirmativo, proporcione
una descripción de alto nivel del proceso y
adjunte una copia de la documentación
actual.
4. ¿Se ha definido un proceso para gestionar los Una vez se detecta el dispositivo infectado, se aísla de red y se le confisca
temporalmente el dispositivo al trabajador responsable del uso del
ataques de virus? En caso afirmativo,
dispositivo para iniciar el proceso de análisis y recuperación del dispositivo.
proporcione una descripción de alto nivel del
proceso y adjunte una copia de la *Actualmente no han ocurrido incidentes, pero tampoco hay documentación
documentación actual. de algún incidente.
Pág. 15 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Sistemas Operativos (O/S)
Pág. 16 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Aplicaciones
1. Proporcione una lista de todas las aplicaciones y Ecoplaza.com.pe (Godaddy) (Informativo, WordPress)
sistemas de información utilizadas en su entorno Grupoecoplaza.com.pe (Godaddy) (Web corporativa, HTML, CSS,
y una descripción de alto nivel de para qué se PHP)
utilizan. (Ingresar las páginas que faltan, en caso Gruporobles.com.pe (Banahosting) (Informativo, HTML, CSS, PHP)
se ha digitado mal una página, haga el favor de Invcap.com.pe (Banahosting) (Informativo, WordPress)
corregirlo) Tutecnology.com.pe () (Informativo, WordPress)
Lordinmobiliaria.pe (Banahosting) (Informativo, WordPress)
Dona.com () (E-commerce)
Therosblack.com (Hostinger)
2. ¿Se ha definido un proceso para conceder,
revocar y revisar el acceso a las aplicaciones?
En caso afirmativo, proporcione una descripción
de alto nivel del proceso y adjunte una copia de
la documentación actual.
Nota: responda esto para todas las aplicaciones
Pág. 17 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
4. ¿Se realizan pruebas de seguridad de las
aplicaciones para identificar y corregir posibles
vulnerabilidades antes de su implementación?
Nota: responda esto para todas las aplicaciones
Pág. 18 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
5. ¿Existe un proceso para monitorear y auditar las
actividades de los usuarios dentro de las
aplicaciones para detectar comportamientos
anómalos?
Pág. 19 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Bases de Datos
Pág. 20 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Autenticación
Pág. 21 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
f. ¿Se mantienen historiales de contraseñas? En
caso afirmativo, ¿cuántas iteraciones?
Pág. 22 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Gestión de Cambios
Pág. 23 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Operaciones IT
Backup y Recuperación
1. ¿Se hacen backups de sus datos y son Se realizan backups de un tercero (nube personal)
recuperables? En caso afirmativo, complete
las preguntas a continuación para cada
aplicación/servidor del que se haya realizado
una copia de seguridad:
Pág. 24 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
g. ¿Las copias de los backups se almacenan en
una ubicación externa? En caso afirmativo,
¿se ha definido un proceso para ello? En caso
afirmativo, proporcione una descripción de alto
nivel del proceso y adjunte una copia de la
documentación actual.
Pág. 25 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Gestión de problemas e incidentes
Pág. 26 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Transmisión de Datos
Pág. 27 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Auditoria
Pág. 28 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
b. ¿Frecuencia de la(s) prueba(s)?
Pág. 29 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Continuidad de Negocio
1. ¿Existe en la empresa un plan de recuperación ante No existe un plan de recuperación ante desastres (DRP) ni tampoco
desastres (DRP)? En caso afirmativo, complete las un plan de continuidad de la empresa (BCP)
preguntas a continuación:
Pág. 30 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Data Analítica
Pág. 31 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Herramientas y Plataforma
Procesamiento de Datos
Pág. 32 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Análisis y Visualización
Pág. 33 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024
Innovación y Mejora Continua
Pág. 34 de 34
Documento Confidencial entre Eco Plaza y Pi-Tec Mar, 2024