Taller ISO 27001
De acuerdo con la información suministrada de la alcaldía de paya en el documento .doc, norma ISO 27001 Utilizará la ho
Views 73 Downloads 5 File size 1MB
Recommend stories
- Author / Uploaded
- Camila
Citation preview
De acuerdo con la información suministrada de la alcaldía de paya en el documento .doc, norma ISO 27001
Utilizará la hoja electrónica "iso 27001" propuesta para la valoración y gráfica de los ries
TOMAR LA INFORMACION D "INFORMACION RELEVANTE PARA LA GENERACIO INTERNO, OBJETO DE LA AUDITOR
PARÁMETROS Y ESTRATEGIAS DE SEGURIDAD PAR ALCALDÍA DE PAYA BASADOS EN LA
paya en el documento .doc, el estudiante elaborará un cuestionario de control interno basado en
oración y gráfica de los riesgos de acuerdo con los datos suministrados.
INFORMACION DEL CAPITULO: RA LA GENERACION DEL CUESTIONARIO DE CONTROL O DE LA AUDITORIA DE SISTEMAS". Y
SEGURIDAD PARA EL MANEJO DE INFORMACIÓN EN LA BASADOS EN LA NORMA ISO 27001:2005.
AUDITORIA DE SISTEMAS ORGANIZACIÓN ADMINISTRATIVA CONTROL INTERNO - COSO METODOLOGIA: AUTODIAGNÓSTICO Organigrama 1. Se encuentra incluida el Área de Sistemas en el organigrama de la entidad ? 2. Se cumple el organigrama en su totalidad dentro del Área ? 3. Los cambios o modificaciones al organigrama de Sistemas son debidamente aprobados por los niveles competentes ? 4. Se reportan los nuevos cambios del organigrama a los usuarios pertinentes ? 5. Es este organigrama funcional ? 6. Es el Área de Sistemas independiente de los demás ? Políticas del área de Sistemas 7. Se cuenta con un Manual de Políticas para el Departamento ? 8. Se encuentra aprobado dicho Manual por el Director del área ? 9. Se cumplen cabalmente las funciones descritas en el manual ? Manual de funciones y procedimientos 10. Dispone la Entidad de un manual de funciones para el área sistemas ? 11. Incluye este manual las funciones de cada sección dentro del Área ? 12. Se encuentra actualizado el manual ? 13. Se encuentran aprobadas las funciones por el Director del área ? 14. De acuerdo con el manual, se distribuyen adecuadamente las funciones del área ? 15. Se cumplen cabalmente las funciones descritas en el manual ? 16. Está justificado y documentado el número de cargos por función para el Departamento ? 17. Es óptima la cantidad de cargos establecida para el Departamento ? 18. Existen manuales procedimientos que regulen la actividad del Área ? 19. Se cumplen esos procedimientos realmente ?
Seguridad del área y de los sistemas
insertar de aquí para abajo copiar y pegar y aggreglar el control a la fina correspondiente
CUMPLIMIENTO Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas Existe el resguardo de la propiedad intelectual Existe el resguardo de los registros de la organización Existe una revisión de la política de seguridad y de la conformidad técnica Existen consideraciones sobre las auditorías de los sistemas
RESULTADOS AUTODIAGNÓSTICO GENERAL
_
OBJETIVO
Evaluar la funcionalidad del área de Sistemas, el tipo de relación con las demás áreas y el aporte que brinda a la Organización en general. Evaluar la estructura administrativa y organizacional del área de Sistemas.
SELECCIONE
✘
COMENTARIO
0
30
0
0
10
0
0
70
0
0
50
0
0
90
0
0
30
0
no; 100%
si
0 0
0
0
0
0
0
0.00
0
0
0
0
0
0
0
0
0
100.00 10 0%
0 0
no
0.00
100.00
0
100%
0 0 0 0
0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0
0.00
si
100.00
no
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
si
no
si
no
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
✘
30 10 10
1
1 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
90
420
si
no
si
no
1
16.67
83.33
0 0 0 0 0 0
0.00
100.00
Peso
Ref P/T Comentarios
ACEPTABLE
TOLERABLE
SUMAS 7 21 TOLERABLE
7
-
7.1
ACEPTABLE
2.4
2.4
-
IMPORTANTE
16.7
-
-
MODERADO
11.9
-
-
INACEPTABLE
21.4
-
-
TOLERABLE
7.1
-
7.1
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE
-
-
-
CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
-
-
-
CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
-
-
-
CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE TOLERABLE ACEPTABLE ACEPTABLE CALIFIQUE CALIFIQUE CALIFIQUE
7.1 2.4 2.4 -
2.4 2.4 -
7.1 -
CALIFIQUE
-
-
-
21.4 -
-
-
INACEPTABLE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
MODERADO
IMPORTANTE
INACEPTABLE
TOTAL
12 17 43 100.0 -
-
-
-
-
-
-
16.7
-
11.9
-
-
-
-
21.4
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
21.4 -
AUDITORIA DE SISTEMAS SEGURIDAD INFORMATICA SISTEMA DE CONTROL INTERNO METODOLOGIA: AUTODIAGNÓSTICO (iso 27001) POLÍTICAS DE SEGURIDAD •Existen documento(s) de políticas de seguridad de SI •Existe normativa relativa a la seguridad de los SI •Existen procedimientos relativos a la seguridad de SI •Existe un responsable de las políticas, normas y procedimientos •Existen mecanismos para la comunicación a los usuarios de las normas •Existen controles regulares para verificar la efectividad de las políticas
ORGANIZACIÓN DE LA SEGURIDAD •Existen roles y responsabilidades definidos para las personas implicadas en la seguridad •Existe un responsable encargado de evaluar la adquisición y cambios de SI La Dirección y las áreas de la Organización participa en temas de seguridad •Existen condiciones contractuales de seguridad con terceros y outsourcing •Existen criterios de seguridad en el manejo de terceras partes •Existen programas de formación en seguridad para los empleados, clientes y terceros •Existe un acuerdo de confidencialidad de la información que se accesa. •Se revisa la organización de la seguridad periódicamente por una empresa externa
ADMINISTRACIÓN DE ACTIVOS •Existen un inventario de activos actualizado •El Inventario contiene activos de datos, software, equipos y servicios •Se dispone de una clasificación de la información según la criticidad de la misma
SEGURIDAD DE LOS RRHH •Se tienen definidas responsabilidades y roles de seguridad •Se tiene en cuenta la seguridad en la selección y baja del personal •Se plasman las condiciones de confidencialidad y responsabilidades en los contratos •Se imparte la formación adecuada de seguridad y tratamiento de activos
SEGURIDAD FÍSICA Y DEL AMBIENTE Existe perímetro de seguridad física(una pared, puerta con llave).
Existen controles de entrada para protegerse frente al acceso de personal no autorizado
GESTIÓN DE COMUNICACIONES Y OPERACIONES CONTROL DE ACCESOS DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS ADMINISTRACIÓN DE INCIDENTES GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
✘✘
Existen procesos para la gestión de la continuidad. Existe un plan de continuidad del negocio y análisis de impacto Existe un diseño, redacción e implantación de planes de continuidad Existe un marco de planificación para la continuidad del negocio Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio.
CUMPLIMIENTO Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas Existe el resguardo de la propiedad intelectual Existe el resguardo de los registros de la organización Existe una revisión de la política de seguridad y de la conformidad técnica Existen consideraciones sobre las auditorías de los sistemas
RESULTADOS AUTODIAGNÓSTICO GENERAL
POR ÁREAS POLÍTICAS DE SEGURIDAD
ORGANIZACIÓN DE LA SEGURIDAD
no; 33%
si; 38% si; 67%
no; 63%
no; 33%
si; 38% si; 67%
no; 63%
CLASIFICACIÓN Y CONTROL DE ACTIVOS
SEGURIDAD DEL PERSONAL
no; 83% si; 17%
no; 78% si; 22%
SEGURIDAD FÍSICA Y DEL ENTORNO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
2; 45%
2; 35% 1; 65%
1; 55%
CONTROL DE ACCESOS
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
2; 31% 1; 69%
ADM. DE INCIDENTES
no; 60%
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
si; 40%
si; 40% no; 60%
si; 40%
no; 60%
si; 40%
si; 40% no; 60%
no; 60%
CONFORMIDAD
si; 40% no; 60%
OBJETIVO
Roesga & CO.
Evaluar el cumplimiento de la norma estandar de seguridad informatica ISO 27001, Por parte del area de sistemas y sus skatehorlders internos y externos.
SELECCIONE
✘ ✘
✘ ✘ ✘
COMENTARIO
10 10 70 50 90 30
0 1 0 1 1 1
0 1 0 1 1 1
no; 33% si; 67%
si
4
✘
✘ ✘
0
0
1 0 1 1
1 0 1 1
10 0
90
66.67
no; 63% si
3
✘
0 0 1 0 0 0
0 0 1 0 0 0
✘
✘
0 0 0 1 0 1 0 0 0
2 ✘
1
10
si; 38%
no
37.50
62.50
si; 17% no; 83% si
1 0 0 0 1 0 1 0 0 0
33.33
0 0 0
0 0
no
no
16.67
83.33
si; no; 22% 78% si
no
22.22
77.78
1
si; 17% no; 83%
✘
✘
✘ ✘ ✘ ✘
✘✘
0
70
0
0 0 1 1 1 1 1 0 0
90 50 10 30 30 10 10 70 70
0 0 1 1 1 1 1 0 0
✘
✘✘
✘✘ ✘ ✘ ✘
✘
✘ ✘ ✘✘ ✘
✘ ✘
✘ ✘✘
6 13 11
54.55 65.00 68.75
5
62.50
2
40.00
45.45 35.00 31.25 37.50 60.00
s i;
n 6s i o ; 3 ; 4 % 6 0 0 % %
✘
✘
si; 17% no; 83%
✘
✘
1 0 1 0
10 10
1 0 1 0 0
0
2
✘
✘
0 0 1 0 1
90
950
0 0 1 0 1 2
85 51 40 60 si no
DE LA SEGURIDAD
si; 38%
si; 40% no; 60%
si
no
40.00
60.00 si; 40%
no; 60%
40.00
60.00
si; 38%
D DEL PERSONAL
78% si; 22%
OMUNICACIONES Y RACIONES
5% 1; 65%
MANTENIMIENTO DE TEMAS
%
si; 40%
TINUIDAD DEL NEGOCIO
si; 40%
si; 40%
Peso
Ref P/T Comentarios
ACEPTABLE
TOLERABLE
SUMAS 9 13 ACEPTABLE ACEPTABLE IMPORTANTE MODERADO INACEPTABLE TOLERABLE
1 1.1 7.4 5.3 9.5 3.2
1.1 1.1 -
3.2
CALIFIQUE CALIFIQUE CALIFIQUE ACEPTABLE CALIFIQUE
1.1 -
1.1 -
-
INACEPTABLE CALIFIQUE CALIFIQUE
9.5 -
-
-
CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
-
-
-
CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
-
-
-
ACEPTABLE
1.1
1.1
-
IMPORTANTE INACEPTABLE MODERADO ACEPTABLE TOLERABLE TOLERABLE ACEPTABLE ACEPTABLE IMPORTANTE IMPORTANTE
7.4 9.5 5.3 1.1 3.2 3.2 1.1 1.1 7.4 7.4
1.1 1.1 1.1 -
3.2 3.2 -
ACEPTABLE ACEPTABLE CALIFIQUE CALIFIQUE
1.1 1.1 -
1.1 1.1 -
-
CALIFIQUE
-
-
-
9.5 -
-
-
INACEPTABLE CALIFIQUE CALIFIQUE CALIFIQUE CALIFIQUE
MODERADO
IMPORTANTE
INACEPTABLE
TOTAL
11 29 38 100.0 5.3 -
7.4 -
9.5 -
-
-
-
-
-
9.5 -
-
-
-
-
-
-
-
-
-
5.3 -
7.4 7.4 7.4
9.5 -
-
-
-
-
-
-
-
-
9.5 -
AUDITORIA DE SISTEMAS SEGURIDAD INFORMATICA (ISO 27001) METODOLOGIA: AUTODIAGNÓSTIC
VALORACION RIESGO ISO 27001 EN P
29
13 9
ACEPTABLE
TOLERABLE
11
MODERADO
IMPORTANTE
IA DE SISTEMAS AD INFORMATICA SO 27001) A: AUTODIAGNÓSTICO
SGO ISO 27001 EN PORCENTAJES 38
29
11
MODERADO
IMPORTANTE
INACEPTABLE
CUESTIONARIO AUDITORIA DE SISTEMAS PARA PLANES DE TRABAJO OBJETIVOS:
1. Evaluar la funcionalidad del área de Sistemas, el tipo de relación con las demás áreas y el aporte que brinda a la Organización en gen Programa de auditoría
ORGANIZACIÓN ADMINISTRATIVA OBJETIVO: Evaluar la estructura administrativa y organizacional del área de Sistemas.
CONTROLES GENERALES Organigrama 1. Se encuentra incluida el Área de Sistemas en el organigrama de la entidad ? 2. Se cumple el organigrama en su totalidad dentro del Área ? 3. Los cambios o modificaciones al organigrama de Sistemas son debidamente aprobados por los niveles competentes ? 4. Se reportan los nuevos cambios del organigrama a los usuarios pertinentes ? 5. Es este organigrama funcional ? 6. Es el Área de Sistemas independiente de los demás ? Políticas del área de Sistemas 7. Se cuenta con un Manual de Políticas para el Departamento ? 8. Se encuentra aprobado dicho Manual por el Director del área ? 9. Se cumplen cabalmente las funciones descritas en el manual ?
Manual de funciones y procedimientos 10. Dispone la Entidad de un manual de funciones para el área sistemas ? 11. Incluye este manual las funciones de cada sección dentro del Área ? 12. Se encuentra actualizado el manual ? 13. Se encuentran aprobadas las funciones por el Director del área ? 14. De acuerdo con el manual, se distribuyen adecuadamente las funciones del área ? 15. Se cumplen cabalmente las funciones descritas en el manual ? 16. Está justificado y documentado el número de cargos por función para el Departamento ? 17. Es óptima la cantidad de cargos establecida para el Departamento ? 18. Existen manuales procedimientos que regulen la actividad del Área ? 19. Se cumplen esos procedimientos realmente ? Seguridad del área y de los sistemas 20. Se encuentra ubicada el área de sistemas en un lugar estratégico dentro del edificio ? 21. Cuenta el área de sistemas con sistemas de seguridad especial tales como: vigilancia, puertas de seguridad, demarcació 22. Se encuentran los componentes del PC’s y los equipos en uso en un lugar seguro y bajo llave ? 23. Cuentan dichos equipos con una placa o algún otro medio visible para el propósito del control de inventarios ? 24. Cuentan los sistemas con un efectivo control de acceso a los programas y datos ? 25. Existe conciencia dentro de la empresa sobre la seguridad que debe poseer la información del sistema ? 26. Se cuenta con políticas de seguridad en el manejo de la información establecida por la Entidad o el área de Sistemas ? 27. Son adecuadas las políticas de seguridad establecidas ? 28. Se cumplen las acciones definidas por esta política ? 29. Se dispone de un único sistema de seguridad con cubrimiento para los diferentes aplicativos de la Entidad ? 31. Se caso cuenta con un son documento oficiallos quediferentes relacioneesquemas los usuarios de los diferentes sistemas existentes de la Entidad 30. En contrario, homogéneos de seguridad de los sistemas ? así como el re nivel de atribución dentro de los mismos ? 33. Se inhabilitan oportunamente las )claves de acceso del personal queusuario se ausenta temporal o definitivamente de sus labor 32. Las claves de acceso (passwords al sistema son únicas para cada ? Empresa ? 34. Se cuenta con una copia de las claves de acceso de los usuarios en sobre lacrado dentro de una caja de seguridad ?
35. Son confidenciales y restrictivas las claves de acceso de los usuarios ? 37. Permiteuna el carta sistema las operaciones de se adición, modificación,por consulta, y reporte de información de 36. Existe de individualizar compromiso donde cada usuario haga responsable el buenborrado uso de las diferentes claves de acc las opciones del sistema y asignar estas operaciones a usuarios específicos ? 38. Permite el sistema restringir el acceso de procesos o acciones específicas del sistema a usuarios no autorizados ? 39. Se encuentran implementados dentro del sistema de seguridad tales restricciones ? 40. Una vez liberado (puesto en producción) un sistema, se restringe el acceso de los empleados del área de Sistemas al mis 41. Se encuentra implementado el cambio periódico y forzoso de las claves de acceso a todos los usuarios del sistema ? 43. El administrador de un seguridad sistema lleva un control periódico los usuarios que se ausentan temporal o definitiv 42. Controla el sistema número del determinado de intentos de acceso al de sistema ? de la Entidad a fin de inhabilitarlos ? 45. tiene establecido como política a los queenenque caso ausencia temporal o definitiva de los 44. Se cuenta con procedimientos claros parausuarios los casos losde usuarios olviden su clave de acceso ? puestos de trabaj salir del sistema ? 46. Se inhabilitan dentro del sistema las claves de acceso asignadas a usuarios retirados de la Empresa ? 47. Cuenta el sistema con un sólo administrador, con permisos de excepción sobre las operaciones ? 48. Dispone la Entidad de un administrador para cada sistema ? 49. Cuentan los diferentes sistemas de un administrador de seguridad ? 50. Dispone la Entidad de un administrador de la información para cada sistema ? 52. Cuenta elel sistema un archivo de pistas auditoría registre 51. Participa personal con de sistemas en labores de de digitación o deque usuario finallas ? acciones efectuadas por los usuarios de sistema ? 53. Se activa la opción de cargar información dentro de este archivo ? 55. manejan criterios y políticas diferentes y copias?de respaldo de la información de seguridad arrojad 54. Se llevan a cabo copias de respaldo del logdedeadministración auditoría mencionado 56. Existe sistema ? sólo una clave de acceso a las funciones de mantenimiento del sistema, la cual está impedida de llevar a cab acciones dentro del sistema ? 57. Incluye el archivo de pistas de auditoría como mínimo la siguiente información: § Nombre y/o código del usuario. § Nombre y/o código de la aplicación ejecutada. § Nombre y/o código de la opción del sistema ejecutada. § Nombre del archivo accedido. § Tipo de operación realizada (adición, modificación, borrado, etc.)
58. Es confiable la seguridad que brinda el sistema ? 59. Impide el sistema que el Administrador pueda conocer las claves de acceso de los demás usuarios ? 60. Existe sólo un único empleado con privilegios especiales de administración del sistema ? 61. Permite el sistema a los usuarios cambiar su clave de acceso cuando éstos lo desean ? 62. Son autónomos los usuarios para cambiar su clave dentro del sistema (no requieren del administrador para hacerlo) ? 63. Se mantiene un registro dentro del sistema de la ejecución de programas por los usuarios ? 64. Se revisa este registro de manera periódica ? 65. Se reportan, controlan y manejan oportunamente las excepciones de la debida ejecución de procesos y programas ? 66. Se restringe el uso del disco duro a los usuarios autorizados únicamente ? 67. Se definen subdirectorios para cada usuario de tal manera que se mantenga la integridad de sus archivos ? 68. Se encuentran instalados solamente programas o utilidades de uso constantes, cuales ? 69. Se cuenta con alguna técnica para prevenir y detectar la instalación de software pirata en los computadores de la Entidad
70. Cuando se presenta rotación del personal se inhabilitan las claves de acceso de los usuarios que ya no utilizan el sistema 71. Se controlan los riesgos de utilización indebida de la información existente en los sistemas ? 72. Se limita el uso del equipo a los usuarios autorizados únicamente? 73. Se capacita periódicamente a los usuarios en el adecuado manejo de los equipos y de los aplicativos ? 74. Es suficiente el plan de capacitación establecido para los usuarios ? 75. Son competentes los encargados de la capacitación ? 76. Es suficiente la periodicidad con que se lleva a cabo la capacitación de los empleados ? 77. Cubre la capacitación a personal de todas las unidades de la Entidad ? 79. Se cuenta limita el a los programasde y manejo archivosdemediante el uso 78. Se conacceso manuales o instructivos los equipos ? de contraseñas y terminales restringidas para el programas específicos? 81. cambian los atributos derespaldo los archivos de datos y programas tal forma? que se asegure la integridad de la informació 80. Se llevan a cabo copias de de todos los aplicativos de de la Entidad a intentos de hurto o modificación no autorizada ? 82. Se cuenta con procedimientos para autorizar el ingreso al sistema de nuevos usuarios ? 83. Se activan las claves de acceso del setup en todos los microcomputadores ? 84. Se cuenta con programas de software para la detección de intrusos en el sistema ?
85. Se han adquirido programas utilitarios que permitan la recuperación de datos/ programas en caso de fallas en los equipos Control del personal 86. Cuenta la Entidad con un plan para el manejo de personal y en particular para el área de Sistemas que incluya:
§ Procedimientos para selección § Procedimientos para contratación § Procedimientos para entrenamiento técnico § Procedimientos para ascensos y § Procedimientos para retiros 88. llevanaacabo cabodicho de manera los diferentes procesos para el manejo del personal vinculado (contratación, entrena 87. Se lleva plan enrigurosa la actualidad ? ascensos y retiros) ? 89. El personal asignado al área se encuentra suficiente y adecuadamente capacitado para el desempeño de sus labores ? 90. Se examina el perfil y la calidad del personal durante el proceso de selección y contratación ? Personal temporal 91. Se encuentra personal temporal vinculado al área de Sistemas ? 92. Maneja este personal algún tipo de responsabilidad especial o ejecución de procesos vitales de la Entidad ? 93. Los contratos con personal temporal incluyen cláusulas de penalización y demás responsabilidades que frente a la Entida Comunicación interna 94. Existen canales de comunicación claramente definidos dentro del Área ? Planeación del trabajo 95. Cuenta el área de Sistemas con un documento de planeación estratégica ? 96. Se encuentra alineado dicho plan con la planeación estratégica corporativa ? 97. Es coherente la planeación estratégica trazada ? 98. Se viene llevando a la práctica ? 99. Se cuenta con los recursos suficientes para asegurar su cumplimiento ? 100. Se realiza seguimiento a su ejecución de manera periódica ? 101. Dispone el área de Sistemas de un plan para la ejecución de las principales actividades asignadas a las diferentes secc 102. Se realiza seguimiento a su ejecución de manera periódica ? 103. Se toman medidas oportunas y adecuadas para corregir desviaciones y asegurar el cumplimiento del mismo ? Organización del trabajo – Definición de estándares y metodologías 104. Se dispone de estándares documentados para la realización de los trabajos ? 105. Se encuentran actualizados ? 106. Son suficientes para asegurar la homogeneización de tareas ? 107. Se asegura la aplicación de estándares permanentemente ? 108. Se dispone de metodologías de trabajo documentadas 109. Se encuentran actualizadas ? 110. Son suficientes para asegurar la calidad de las tareas realizadas ? 111. Se asegura la aplicación de dichas metodologías permanentemente ? 112. Se tiene como política la instauración de comités de sistemas en la Entidad ? 113. Es miembro de dicho comité el auditor de sistemas ? 114. Se llevan actas de los comités ? 115. Copia de estas actas son enviadas a la auditoría ? 116. Se dispone de metodologías aprobadas por la Entidad para el desarrollo de sistemas ? 117. Son adecuadas las metodologías mencionadas ? 118. Se cumplen en la realidad ? 119. Se dispone de metodologías aprobadas por la Entidad para la realización de pruebas a los sistemas ? 120. Son adecuadas las metodologías mencionadas ? 121. Se cumplen en la realidad ? 122. Se dispone de metodologías aprobadas por la Entidad para las entregas parciales o definitivas de los sistemas ? 123. Son adecuadas las metodologías mencionadas ? 124. Se cumplen en la realidad ? Dirección del trabajo 125. Las diferentes tareas de las secciones son dirigidas en forma permanente ? 126. El proceso de dirección de tareas se realiza de manera adecuada ? 127. Es competente el personal dedicado a la dirección de tareas ?
128. Se asegura que los encargados de la dirección de tareas no realicen labores operativas ? Supervisión y control 129. Se cuenta con una adecuada supervisión del trabajo en cada una de las secciones del área ? 130. Es adecuada la supervisión ejercida sobre los diferentes trabajos ? 131. Se cumplen en forma oportuna las tareas, metas y objetivos asignados al Departamento ? 132. Se cumplen con exactitud los horarios de entrada y salida del personal ? 133. Se tienen políticas claras para administrar la sobrecarga de trabajo en ciertas secciones ? 134. Es frecuente la sobrecarga de trabajo en el área ? 135. Existen cronogramas que permitan regular la entrega de trabajos internamente para permitir su trámite de revisión y ent 136. Se cumplen con puntualidad dichos cronogramas ? 138. Se supervisa periódicamente el trabajo cumplimiento de ?tareas y se llevan a cabo los ajustes y correctivos que garan 137. Cómo se administran las colas de en el área aseguramiento de las metas del área ? 139. Se dispone de controles efectivos para el acceso a la documentación de la Entidad ? 140. Se tienen en cuenta criterios adecuados para la asignación de trabajos y prioridad de los mismos ? 141. Se utilizan técnicas de control administrativo para verificar el cumplimiento de los trabajos ? 142. Existe una adecuada rotación de trabajo dentro de cada área del Área ? 143. Existen políticas de costos para procesamiento y desarrollo de Sistemas ? 144. Son adecuadas estas políticas ? 145. Se cumplen en la realidad ? 146. Se evalúa la razonabilidad de dichos costos ? 147. Las políticas de la Entidad incluyen vacaciones obligatorias para el personal del Área de Sistemas ? 148. Se cumplen estas políticas ? 149. Se pagan ocasionalmente las vacaciones en dinero ? 151. lasuna políticas de la entidad controlespara parael mantener la seguridad 150. Incluyen Se prepara planeación de vacaciones personal del Área? de los sistemas cuando se retira un empleado ? 152. Se cumplen dichas políticas ? 154. Se reciben los las cargos mediante acta de entrega del estado de los trabajos, así como de los diferentes elementos 153. Son adecuadas políticas ? 155. Se previene o se toman requieren para su desarrollo ? medidas para que los usuarios de los equipos mantengan el computador limpio, libre de c 156. Seclips, protegen ceniza, etc. los equipos con cubiertas plásticas o de otro material que no permitan el paso de polvo, agua, humedad solares? 157. Se limpia y aspira periódicamente el teclado? POLITICAS DEL ÁREA DE SISTEMAS 1. La Entidad dispone de políticas para el mantenimiento de los equipos de cómputo ? 2. Se cumplen estas políticas ? 3. Se encuentran debidamente aprobadas las políticas ? 4. Estas políticas contemplan metodologías para llevar a cabo el mantenimiento tanto de hardware como de software ? 5. Existen contratos de mantenimiento con compañías especializadas? 6. Se encuentran vigentes ? 7. Quién administra el cumplimiento de tales contratos ? 8. Se hacen exigibles la pólizas de los contratos a los contratistas que no cumplen ? 9. Se ha adquirido legalmente todo el Software instalado en los equipos de la Entidad ? 10. Se sigue alguna metodología de adquisición del Software? 11. Se ha adquirido legalmente todas las partes del equipo? 13. controla que metodología solo se encuentren instalados 12. Se sigue alguna de adquisición de aquellos equipos?programas de uso constante, además de no permitirse la duplic instalaciones o de archivos ? 14. Se encuentra debidamente licenciada la totalidad del software que usa la Entidad ? 16. Se cuenta con porlaparte del personal maneja la aplicación para la detectar erroresenu la omisiones enlos el momen 15. Contemplan lascontroles políticas de Entidad controlesque administrativos que aseguren confiabilidad captura de datos ? captura? 17. Cuentan los sistemas con rutinas de verificación de la información que se está capturando ? 18. Son efectivas tales rutinas ? 19. Rechaza definitivamente la aplicación aquellas transacciones invalidas? 21. Existeny yson son efectivos controles proporcionados por la aplicación paraenprevenir errores endeellosprocesamient 20. Existen efectivos los los controles administrativos que permitan la confiabilidad el procesamiento datos? 22. Se cuenta con controles por parte del personal que maneja la aplicación para detectar errores u omisiones en el mom información? procesamiento? 23. Cuenta la aplicación con rutinas de verificación de la información que se está procesando? 24. Son efectivos los procedimientos usados para corregir los datos procesados erradamente ? 25. Existen y son efectivos los controles administrativos que permitan la confiabilidad en la salida de los datos?
26. Se cuenta con controles por parte del personal que maneja la aplicación para detectar errores u omisiones en la s información? 27. Cuenta la aplicación con rutinas de verificación de la información que sale del sistema?
ORGANIZACIÓN DEL CENTRO DE COMPUTO (Principal y alterno) Seguridades 1. Se encuentra ubicado el Centro de Cómputo en un sitio seguro dentro de la Entidad ? 2. Es estructuralmente seguro el Centro de Cómputo (paredes, pisos, techo y ventanas ? 3. Es apropiada la distribución interna del área del Centro de Cómputo ? 4. Se cuenta con medidas efectivas para el control de acceso al centro de cómputo ? 5. Se dispone de vigilancia especial para el Centro de Cómputo ? 6. Se registra en una bitácora las entradas y salidas de personal al Centro de Cómputo ? 7. Cuenta el Centro de Cómputo con claves de acceso asignadas al personal que labora en su interior ? 9. Se mantiene en caja fuerte copia o duplicado de ladellave así comopersonales el registro ?escrito de la clave de acceso al Ce 8. Cuenta el personal del Centro de Cómputo con claves identificación Cómputo ? 10. Se encuentra dicha clave dentro de sobre lacrado dentro de la caja fuerte ? 11. Se controlan los accesos del personal al Centro de cómputo durante los días y horas no laborables ? 12. Se garantiza la seguridad del Centro de Cómputo frente a retiros del personal que laboró internamente ? 14. Se identifica y adecuadamente el personal que al Centro Cómputodey vacaciones en particulardellospersonal técnicosinterno que rea 13. Son efectivosprevia los controles a la seguridad del Centro deingresa Cómputo durantede el período ? mantenimiento de los equipos ? 15. Se exige a los visitantes una autorización del Director del Área de Sistemas ? 16. Porta el personal del Centro de Cómputo un carné de identificación? 17. El almacenamiento de papelería se hace en un cuarto aislado del Centro de Cómputo ? 18. Cuenta el Centro de Cómputo con salidas de emergencia ? 19. Las puertas, pisos, techos y separadores son de material no combustible ? 21. Disponelaselventanas Centro devidrios Cómputo de dispositivos para la detección de imanes o metales que puedan afectar la informació 20. Tienen de seguridad ? equipos ? 22. Se dispone de un plan de evacuación del personal frente a posibles contingencias ? 23. Se encuentra dicho plan debidamente actualizado y documentado ? 24. Se ha probado la efectividad de dicho plan ? 25. Conoce cada persona del Centro de Cómputo su función frente a un caso de contingencia ? 27. llevan a cabo simulacros de evacuación y protección de adecuadamente la información residente en caso los equipos del Centro 26. Se encuentra preparado (entrenado) el personal para actuar frente a un de contingencia ? de Cóm como de los diferentes medios de almacenamiento y listados ? 28. Se cuenta con extintores de “Halón” dentro del Centro de Cómputo ubicados estratégicamente ? 29. Se colocan en lugar visible y accesible los extintores ? 30. Su carga se encuentra vigente ? 31. Conoce el personal del Centro de Cómputo la forma de operarlos en caso de emergencia ? 32. Se han realizado simulacros que aseguren que el personal puede operarlos adecuadamente ? 33. Se dispone de alarmas que se activen automáticamente frente a un eventual incendio ? 34. Se dispone de alarmas para detección de humos ? 35. Se controla adecuadamente que no exista material combustible dentro del Centro de Cómputo ? 36. Se dispone de alarmas para detección de humedad ? 37. Se prueban las alarmas periódicamente ? 38. Se encuentran amparados todos los equipos de cómputo por una póliza de seguros contra todo riesgo ? 39. Dicha póliza se encuentra vigente ? 40. Cubren los equipos por su valor real ? 41. Se encuentra regulada la corriente eléctrica de los computadores que forman parte del Centro de Cómputo ? 42. Se encuentra la planta eléctrica conectada al sistema de restauración de electricidad ? 43. Es suficiente la carga eléctrica generada por la planta considerando los equipos de cómputo de la Entidad ? 45. disponecon de una UPSU.P.S. para garantizar la continuidad del fluido eléctrico aallos diferentes equiposexistente? de la Entidad y en particula 44. Se cuenta que garantice el normal flujo de electricidad equipo de cómputo 46. Es de suficiente Centro Cómputo el? tiempo de reposición de corriente proporcionado por la UPS para asegurar que puedan a adecuadamente los equipos ? 47. Recibe mantenimiento periódico la planta eléctrica y la UPS ? 48. Se prueba periódicamente la planta eléctrica y la UPS ? 49. Se encuentran los cables de electricidad dentro de tubos a prueba de fuego ? 50. Se encuentra ubicada la caja de control eléctrico dentro del Centro de Cómputo ? 51. Se cuenta con cámaras de vídeo que registren constantemente los movimientos internos del Centro de Cómputo ? 52. Queda registro dentro la película, de la fecha y hora de grabación ?
53. Se encuentran operando dichas cámaras correctamente ? 54. Reciben mantenimiento periódico ? 56. Existen prevenirdedaños accidentales causados por un usuario, una falla eléctrica o cualquiera manifestaci 55. Se lleva técnicas un controlpara adecuado las películas obtenidas ? naturaleza ? 58. Se cuenta con medidas efectivas para accidentales prevenir adulteraciones de un la información contenida oenlalamaquina base de?datos de la Enti 57. Existen técnicas para prevenir errores causados por usuario, un programa 59. Contemplan losporcontratos queprogramas la Entidad ha suscrito con proveedores y/o fabricantes de software, cláusula pudieran efectuarse fuera de los oficiales (p. ej. haciendo uso del lenguaje SQL) ? 60. Se dispone civil de procedimientos parauso llevar a cabo mantenimiento de archivos responsabilidad y penal por el buen de la información bajo su custodia ? susceptibles de ser depurados, fraccio administrados ? Planeación 61. Se planean adecuadamente las operaciones que se realizan en el Centro de Cómputo ? 62. Se cumple la planeación establecida ? 64. cuenta con un sitiode alterno fuera delpara edificio que asegure continuidad pronta con restauración los sistemas en caso d 63. Se dispone de planes contingencia los casos en que no es posibleo contar el sistemadedurante un tiempo prolon 65. Los archivos de datos y/o programas almacenados en el sitio alterno se pueden recuperar en un tiempo tal que no interru del equipo? 66. Se dispone de planes contingencia para los casos en que se presenten fallas en la generación de corriente eléctric operaciones normales de ladeempresa ? planta y/o de la UPS ? 67. Ha sido probado el sistema de contingencia con el centro de cómputo alterno ? 68. Han sido exitosas las pruebas realizadas ? Organización 69. Dispone el Centro de Cómputo con aire acondicionado ? 71. la Centro Entidaddecon políticascon para 70. Dispone el Cómputo pisoasegurar falso ? el mantenimiento preventivo, detectivo y correctivo de los equipos del Ce Cómputo ? 72. Cuenta la Entidad con políticas para llevar a cabo copias de respaldo dentro del Centro de Cómputo ? 74. contratosdederespaldo mantenimiento preventivo y correctivo delcontingencia equipo tecnológico de la Entidad y en particular de 73. Se dispone de equipos que puedan utilizarse en caso de ? 75. Se han logrado convenios con estas empresas para la reposición oportuna de partes del equipo de cómputo cua de Cómputo ? presentan fallas en los mismos ? 76. Se evalúa la competencia de las empresas que llevan a cabo el mantenimiento de los equipos en el Centro de Cómputo ? 77. Se entrena periódicamente al personal del Centro de Cómputo tanto en el uso adecuado ? 78. Se dedica el operador y demás personal del Centro de Cómputo en forma exclusiva a las actividades propias de su trabaj 79. En caso de ausencia temporal o definitiva por parte del actual operador, es factible su reemplazo en el corto tiempo ? 80. Se lleva a cabo un control de turnos del personal operador del Centro de Cómputo ? 81. Se cuenta con técnicas de replicación en línea de la información contenida en los discos duros del servidor principal ? 82. Ha sido probada por la Entidad la efectividad de tales técnicas ? 83. Se tienen establecidos procedimientos documentados que cubran las operaciones del Centro de Cómputo ? 84. Se encuentran actualizados ? 85. Se cumplen en la realidad ? 86. Se encuentran aprobados por la jefatura del Departamento ? 87. Existe una división de funciones entre operaciones del Centro de Cómputo y las demás secciones ? 88. Se capacita al personal de operación y supervisión para el adecuado manejo del equipo ? 89. Se prohibe comer, beber y fumar dentro del área del Centro de Cómputo ? Supervisión 90. Se controlan los horarios de entrada y salida del personal del Centro de Cómputo ? 91. Se supervisa el tipo de trabajo realizado por los técnicos sobre los equipos de cómputo durante el período de mantenimie 92. Se lleva a cabo un control escrito de los cambios de partes efectuados sobre los equipos ? Dirección 93. Se lleva a cabo una adecuada dirección de las tareas y procesos que deben ejecutarse en el Centro de Cómputo ? Control 94. Se cuenta con una bitácora que registre los procesos ejecutados ? 95. Se utiliza esta bitácora para llevar a cabo labores de supervisión y control ? 96. Es periódica la supervisión de la bitácora ? 97. Se encuentran aprobados todos los procesos que debe ejecutar diariamente el operador ? 98. Tienen los operadores acceso restringido a datos e información de los programas ? 99. Deja evidencia el log de la fecha, hora y tipo de acción tomada ? 100. Los logs diarios son revisados por el jefe del Centro de Cómputo ? 102. Se totalidad dejan observaciones en el de la elconsola para las se acciones correctivas 101. La de los procesos quelogrealiza operador enmostrar el sistema registran en el log ?cuando se presentan interrupci programa, no planeadas ? 104. un funcionario autorizado que listados consola para detectar problemas 103. Existe una persona determinada paraexamine imprimir los el listado deldelogla en circunstancias específicas ? del operador o interve no autorizadas ?
105. Para el inicio de un proceso es indispensable una orden de proceso autorizada ? 106. Hay algún tipo de operación que indique todas las corridas realizadas por el operador ? 107. Hay restricciones de manejo de computador por cuenta de los operadores para corrida de programas externos ? 108. Los operadores envían los listados al área de la mesa de control ? 109. Se dispone de controles efectivos para impedir que personal del Centro de Cómputo pueda instalar software pirata ? 110. Puede el personal que trabaja en el Centro de Cómputo acceder a programas, opciones o información no permitida ? ORGANIZACIÓN EN LA CINTOTECA 2. Es estructuralmente seguraseguridades la cintotecade (con pisos,físicas techosa ylaparedes frente a hechos contingentes tales como in 1. Se cuenta con adecuadas acceso cintotecaseguros) ? 3. Son ideales inundación, etc. ?las condiciones ambientales de la cintoteca para asegurar la conservación de las cintas y de la informac éstas contienen ? 4. Se almacenan las copias de respaldo de la Empresa en cajas de seguridad ? 5. Se dispone de planes de contingencia para la salvaguarda de la información contenida en las cintas, por parte del cintotec 6. Se han realizado simulacros para comprobar la efectividad del plan ? 7. Existe un operador único que maneje la cintoteca ? 8. Posee el cintotecario contrato laboral a término fijo ? 9. Se lleva un adecuado control de los turnos del cintotecario ? 10. Se lleva un adecuado control de las vacaciones del cintotecario ? 11. En caso de ausencia temporal o definitiva del cintotecario, es posible su reemplazo en el breve término ? 13. Se exigelaalgún tipocon de políticas póliza deadecuadas seguros alpara cintotecario para yasegurar un manejo adecuado? de las cintas y de la informac 12. Cuenta Entidad la selección contratación del cintotecario éstas contienen ? 14. Puede el cintotecario acceder y manipular la información contenida en las cintas magnéticas ? 15. La entrega de cintas se realiza a personal debidamente autorizado ? 16. Se cuenta con un registro de firmas del personal autorizado para retirar las cintas de la cintoteca ? 18. toman efectivas asegurar la custodia de custodia las cintas? cuando éstas se encuentran en tránsito hacia otra 17. Se lleva unmedidas registro del ingresopara y entrega de las cintas bajo 19. Los área de lacontratos Entidad ? de trabajo del personal encargado del transporte interno y externo de las cintas posee cláus responsabilidad civil y penal frente al manejo inadecuado de las mismas o de su información ? 21. Existen instalaciones del área del computador parapuedan almacenar copias de todos los archivos, librerías y documenta 20. Se obtienen copias defuera respaldo adicionales en cinta que ser mantenidas en custodia en un sitio externo a la Entid general? 22. Se mantiene un registro permanentes de los discos y las cintas existentes ? 23. Se lleva un control separado de las cintas nuevas y usadas ? 24. Se mantiene un control especial de las cintas donde residen los programas y los datos ? 25. Se mantiene registro del estado de las cintas y los discos ? 26. Todas las cintas y/o discos poseen rótulos internos o externos que identifiquen: * Nombre del archivo * Número de serie de volumen * Fecha de creación * Fecha de expiración * Número de revisión 27. Se cuenta con políticas para el control y rotación de las cintas ? 28. En oportunidades el cintotecario realiza simultáneamente la labor de operación del equipo ? 29. Se dedica la cintoteca exclusivamente a las labores de custodia y administración de cintas ?
SEGURIDAD EN LOS ARCHIVOS ELECTRÓNICOS Y BASES DE DATOS CUESTIONARIO S/N Ref. P/T 2. Se cuenta con unque manual que describa los yprocedimientos mantenimiento fusión, corte, copia de re 1. Existe un manual describa el contenido la estructura depara los el archivos de datos (depuración, ? de los archivos de datos que posee el sistema ? 3. Dejan los procesos ejecutados evidencias de: § Fecha de ejecución § Nombre y/o número de trabajo § Nombre y/o número del programa § Hora de iniciación y terminación del mismo § Archivos utilizados 6. Se llevanelcontroles (supervisión de procesos, restricciones sistema operativo, eliminación de co 4. Permite sistema aadicionales los operadores y/o usuarios en general, manipular de losacceso archivosaltipo reporte ? peligrosos dentro eldelacceso sistema operativo) impedir 5. Es restringido a este tipo depara archivos ? la adulteración de información arrojada por el sistema mediante repo medio magnético ? 7. Se rotulan e identifican cronológicamente los archivos que se encuentran en los medios de almacenamiento ?
8. Se cuenta con una única persona responsable de llevar a cabo las copias de respaldo ? 9. Se cuenta con una política de copias de respaldo dentro de la Empresa ? 10. Es adecuada esta política para garantizar una oportuna y completa recuperación de la información de respaldo ? 11. Se cumple la política establecida ? 12. Existe un registro escrito de la biblioteca de programas del sistema ? 13. Se encuentra actualizada ? 14. Se lleva a cabo un efectivo control de los programas fuente existentes en los equipos ? 15. Se dispone de técnicas de digitalización de documentos ? 16. Se cuenta con políticas para el ahorro y reutilización de papel ? 17. Se cuenta con un sistema de microfilmación de documentos ? 18. Se tienen procedimientos de manejo y almacenamiento de los archivos por microfilmación ? 19. Se dispone de códigos de seguridad a los archivos con el objeto de restringir el acceso a los mismos ? 20. Se utiliza algún tipo de técnica criptográfica para almacenar y transportar los datos y en especial la información de segurid 21. Existe un registro por operario donde se identifiquen los usuarios que ejecutaron diariamente aplicaciones o procesos ? 22. Se toman medidas de control que impidan el acceso físico y lógico de los archivos ? 25. De cuenta acuerdocon consoftware el numeral del reglamento de concesión 23. Se para33 el desarrollo de aplicaciones ? – pág. 7 (obligaciones del concesionario), se advierte que concluida su gestión, debe hacerse entrega fuentes respectivos. Se adquirieron los programas fuente a la 24. Desarrolla directamente la Entidad algún de tipolos deprogramas software para su uso ? 26. Se dispone proveedoras ? de controles para prevenir que al finalizar la jornada de recaudo y registro de trámites en el sistema puedan a recibos o trámites ya emitidos ? OBJETIVO: Evaluar los controles sobre los cambios a los programas
DESARROLLO DE SISTEMAS (CAMBIOS A PROGRAMAS): CUESTIONARIO S/N Ref. P/T 1. Se mantiene un funcionamiento apropiado que abarque la detección integral y confiable de errores incluyendo la prepara informes que les revelen? 2. Existe una política uniforme de desarrollo de sistemas? 3. Existe una política uniforme para todos los cambios a los programas existentes? 4. Existe participación activa de los usuarios en las fases importantes de desarrollo, o de cambio, incluyendo una aprobación 5. Se encuentra documentado el manejo de cada uno de los sistemas? 6. Se encuentra documentado el manejo de la operación del equipo? 7. Se encuentra documentado el manejo de las aplicaciones por parte de los usuarios? 8. Existen los estándares del PED una documentación uniforme para los formatos de registros e informes? 9. Se encuentran documentados los programas fuente? 11. un registro en el que quede evidencia de las ?entradas y salidas realizadas a los archivos por parte de los usu 10. Existe personal autorizado para modificar programas general ? 12. En el desarrollo de aplicaciones, se sigue algún estándar de programación ? 13. Se encuentran dichos estándares debidamente documentados, y son plenamente conocido por los programadores ? 14. Se encuentran documentadas todas las aplicaciones que forman parte del sistema ? 15. Son debidamente autorizadas las modificaciones puntuales y estructurales que deben realizarse a los programas ? 16. Se lleva un registro de las aplicaciones a cargo de cada programador ? 18. Se actualiza almacenan los medios de respaldo de la de información en sitios seguros ?y protegidos contra el fuego, la humedad 17. Se oportunamente la documentación los programas modificados condiciones ambientales nocivas ? 19. Se cuenta con un archivo de estos medios en un sitio externo al edificio de la empresa ? 20. Se restringe el acceso de estos elementos, a las personas no autorizadas ? 21. Se cuenta con formularios preimpresos con el fin de registrar las modificaciones a los archivos maestros ? 22. Se diligencian estos formularios con cada modificación al archivo maestro ? 23. Existen procedimientos escritos para el diligenciamiento y aprobación de estos formularios ? 24. Se realizan pruebas de control al archivo maestro una vez ha sufrido modificaciones generadas por las novedades ? 25. Durante el desarrollo, se documentan internamente los programas fuente cumpliendo un estándar definido previamente ?
TRANSCRIPCION DE DATOS CUESTIONARIO S/N Ref. P/T 2. Existen lamanuales quepolíticas registrenadministrativas el procedimiento transcripción de todas atención las modalidades de trámites 1. Cuenta Entidad con paradeasegurar una adecuada de los usuarios ? que se presta Paus ? 3. Facilita el sistema la detección de errores durante la captura (p. ej. inclusión de dígito de chequeo en campos claves) ? 4. Se lleva un control que asegure que el trámite pagado corresponde al trámite solicitado ?
5. Se lleva un adecuado control de los recibos emitidos fuera del Pau ? 6. Fue probado el diseño del aplicativo por parte del personal de Sett (área de tecnología y usuarios) ? 7. Participó el personal de Sett en el diseño de los requerimientos funcionales de los programas de captura ? 8. Se ajusta dicho diseño a las necesidades de Sett ? 9. Las adiciones y cambios al diseño del sistema se realizan con la participación o aprobación de personal de Sett ? 10. Se cuenta con una metodología para llevar a cabo pruebas a los sistemas ? 11. Se cumple con dicha metodología antes de poner en marcha los sistemas o de liberar nuevas versiones ? 12. Queda un registro escrito (acta) de las pruebas efectuadas junto con los resultados del mismo ? 13. Se corrige la totalidad de los errores o inconsistencias reveladas durante las pruebas antes de poner en marcha los sistem 15. Controla el sistema los queprogramas, los auxiliares de servicios el registro de trámites) 14. Una vez corregidos se llevan a cabo (para nuevamente las pruebas a losúnicamente mismos ? puedan acceder al sistem estaciones de trabajo que les fueron asignadas ? 17. En caso negativo, tal procedimiento puede realizado directamente por elestación Jefe deldeárea de tecnología o por el Opera 16. Está facultada la Administradora del Pau paraserhabilitar o inhabilitar cualquier trabajo ? centro de cómputo ? 18. Se habilitan las estaciones de trabajo de los Paus únicamente dentro de los días y horario establecido ? 19. Son concordantes tales procedimientos con el Reglamento de Concesión aprobado por el D.E. para la prestación del serv 20. Se da una capacitación continuada al personal que se vincula con la Entidad ? 21. Se lleva a cabo una adecuada evaluación del personal que labora en los Paus para determinar su grado de competencia 22. Se evalúa la efectividad operativa del personal que labora en los Paus ? 23. Se toman medidas correctivas para mejorar el grado de efectividad del personal ? 24. Cuenta el Pau con suficiente personal operativo y administrativo para prestar un servicio efectivo ? 26. Queda registrado dentropara del reporte por el sistema identificación delalusuario que registra el trámite, núme 25. Se cuenta con controles registrargenerado trámites soportados con la recibos diferentes Banco Andino ? terminal, fecha y hora de atención ? 28. SeAdministradora cuenta con undel procedimiento llevar a cabo devoluciones dinero?a los clientes cuando media la 27. La Pau autoriza,oficial revisa,para puntea y supervisa la anulación dederecibos pertinente ? 29. El sistema controla que el número de placa digitado en el sistema haya sido expedida en la ciudad de Santa Fe de Bogotá 31. Permite el permite sistema conocer conocer las el estado de losde trámites solicitados (de acuerdo con la rutainconvenientes que deben seguir) 30. El sistema estadísticas los trámites atendidos, por atender y con parade sumanera atenciónin 32. En los de estadísticas trámites en realizados a partir de reportes las estaciones de trabajode existentes los Pauspor ? día y por estación de trabajo se registra el valor cobrado al cli 33. Seque dispone un adecuado de turnoscon delos lasreportes auxiliares de servicio que atienden en?ventanilla durante la jorn forma dicha de información puedacontrol ser conciliada generados por el Banco Andino 34. Se tiene almuerzos ? establecido como política que durante los períodos de ausencia por parte de las auxiliares de servicio, deban sistema ? 35. Se cuenta con personal capacitado y disponible para suplir ausencias temporales o definitivas del personal en los Paus ? 36. Se reponen tanto los equipos de cómputo o partes dañadas de manera oportuna ? 37. Se lleva a cabo de manera regular y adecuada el mantenimiento que requieren los equipos de cómputo ? 39. Es óptima seguralay configuración adecuada la técnica forma como efectúadeelcómputo envío deempleados documentos desde 38. Es de losseequipos en los Pauslos? Paus al Centro Logístico de Ser viceversa ? 41. Permite el las sistema a cabotanto cortes parciales cajaauxiliares del Banco Andino como 40. Son únicas clavesllevar de acceso de los cajerostanto comode de los de servicio de Settde? las terminales para cap trámites ? 42. Genera el sistema estadísticas de trámites rechazados ? 43. Genera el sistema estadísticas de errores por cajero ? 45. Los digitadores deestadísticas las diferentes ventanillas de atención marcan 44. Genera el sistema de registros anulados por cajero ? con el sello de grabación los documentos procesado captura ? 46. El diseño de los documentos frente a las pantallas de captura facilitan una rápida transcripción de los datos ? 47. Es revisada y aprobada la corrección de errores por personas diferentes a los grabadores ? 49. Se autorizado dispone deelprocedimientos paraaeldar control registros anulados tanto en las ventanillas de caja como en las de reg 48. Es personal asignado estas de aprobaciones ? trámites ? 50. El sistema genera un reporte diario de trámites efectuados por terminal ? 52. Cuando dentro del de mismo día secometidos encuentran o se prevén posibles inconvenientes para la realización de trá 51. Se lleva un registro los errores en errores este proceso ? 53. De ser afirmativa respuesta a la pregunta dispone de medidas administrativas para el registro y control localiza al cliente paralasolicitarle la corrección o laanterior, soluciónse correspondiente ? casos de manera diaria ? 54. Se cuenta con formatos prediseñados para el registro de tales situaciones ? 55. Cuenta la administradora con facultades para modificar la información registrada en el sistema ? 56. Se registran tales modificaciones en un archivo log del sistema ? 57. Se lleva un control y supervisión del log generado por el sistema ? 58. Son revisados por la Administradora del PAU los registros de trámites grabados diariamente ? 59. La revisión de datos es efectuada por personas diferentes a los que graban y operan el computador ? 60. Se prohibe a los grabadores efectuar las funciones asignadas a los operadores ? 61. Existen formatos estandarizados para la elaboración de JOBS ?
62. Existen manuales de instrucción para la creación de JOBS ? 63. Están determinados privilegios de acceso a los archivos y programas para los operadores y grabadores ? 64. Se cumple con las funciones establecidas en el manual para el desempeño del cargo de grabadores y procesadores ? 65. Existe un Manual de Procedimientos para los operadores ? 67. Sepersonal dispone que de una bitácora el personal de vigilancia a cada Pau registreemitidas su horaendelos ingreso 66. El labora en losdonde Paus tienen conocimiento de lasasignado Circulares Reglamentarias Paus ?y salida e diaria ? MESA DE CONTROL CUESTIONARIO S/N Ref. P/T 1. Existen manuales actualizados de procedimientos para preparación, revisión y aprobación ? 2. Se aceptan solamente documentos que corresponden a formatos preestablecidos, debidamente diligenciados ? 3. Existen controles para evitar que los documentos revisados no hayan sido procesados anteriormente ? 4. Se rechazan aquellos documentos fuente que presenten enmendaduras, borrones, repisados y espacios en blanco ? 5. Se verifica que los documentos vengan en el orden de secuencia respectivo ? 6. Al momento de recibir documentación para proceso, se firma la remisoria entregada por el usuario y se devuelve la copia 7. Se deja evidencia escrita de las inconsistencias encontradas ? 8. Existen y se cumplen horarios y calendarios para recibir los documentos y entregar los resultados ? 9. Se cuenta con un registro de firmas y sellos de autorización de las áreas remitentes internas ? 10. Se verifica el registro mencionado contra las firmas y sellos de los documentos recibidos ? 11. Se tienen asignadas funciones y responsabilidades por escrito, de cada funcionario ? 12. Existen controles para asegurar la integridad de la información que se envía para la transcripción ? 13. El control sobre las funciones de codificación, grabación y verificación se realiza por una única persona ?
OBJETIVO: Evaluar los controles de seguridad a los archivos del sistema OBJETIVO: Evaluar los mecanismos de control del sistema tales como listados, empleados como herramienta de detección de errores.
INFORMES DEL SISTEMA SOBRE LOS ERRORES DE CAPTURA
CUESTIONARIO S/N Ref. P/T 1. Genera el sistema un listado de errores con la suficiente información para poderlos detectar ? 2. Existe un log o informe de errores para cada aplicación durante la etapa de captura de datos ? 3. Se lleva algún registro adecuado y actualizado de transacciones rechazadas por el sistema ? 4. Se cuenta con manuales de descripción de los errores arrojados por las aplicaciones ? 5. En el proceso de captura, se utilizan totales de control para rastrear posibles errores ? 6. Incluyen los programas del computador los siguientes tipos de prueba de validez para la captura de datos: § Código § Caracter § Campo § Transacción § Relación de Campos § Datos Faltantes § Dígitos de Chequeo § Secuencia § Prueba de límite de razonabilidad § Signo § Totales en referencia cruzada de datos Existe dentro del programa un programa que genere la aplicación de los mensajes errados, indicando el tipo de error ? 7. Generan las aplicaciones cifras de control tales como: § Conteo de Registros Capturados § Totales de Control § Totales de Control de paquetes de documentos Quedan en algún archivo de errores los datos errados, después de que éstos se envían a los usuarios para su corrección ? 8. Contempla el listado de validación, errores por duplicación de registros ? 9. Existe algún control lógico que impida modificar los archivos maestros a personal no autorizado ? 10. Se registran en un formato destinado para ello, los ajustes a los acumuladores del archivo maestro ? 11. Se archivan en lugar seguro los listados de validación ? DISTRIBUCION DE INFORMES Y PRIVACIDAD DE LA INFORMACIÓN CUESTIONARIO S/N Ref. P/T
12. Los informes se distribuyen acompañados de una hoja remisoria ? 13. Los reportes de salida son entregados a personas debidamente autorizadas por las áreas del usuario ? 14. Se prohibe a los funcionarios de la mesa de control entregar informes a usuarios no autorizados ? 15. Se cumple efectivamente con esta prohibición ? 16. Se mantiene un registro de los informes y documentos que deben ser producidos por el sistema para su distribución ? 17. Existe un manual de control para la distribución de informes a los usuarios ? 18. Se restringe el acceso a las opciones del sistema que genera los informes ? 19. Existe una única persona encargada de la distribución de informes? 20. Se ha establecido algún tipo de control para casos de pérdida de reportes ? 21. Se realiza en forma oportuna la generación y entrega de listados a los usuarios pertinentes ? 22. Se controla la fuga de información hacia el exterior de la empresa por parte de los usuarios respectivos ? 23. Se asegura convenientemente la información microfilmada ? 24. Existe un formato estándar en los listados generados por el sistema?
.
CUESTIONARIO
S/N
Ref. P/T
EMPRESA AUDITORIA INTERNA CALIFICACION Y CUESTIONARIO DE LAS SALAS DE COMPUTO AUDITORIA DE SISTEMAS - PRESTACION SERVICIOS EDUCACION
OBJETIVO: Identificar el estado de la infraestructura tecnológica y la salvaguarda de la información de las salas de computo y las demás Unidades; además verificar el cumplimiento de los estandares de seguridad física y seguridad de la información.
ACTIVIDAD: Visitar las salas de computo y verificar las respuestas dadas; dar a su criterio una calificación de 10 hasta 90 se (10 Aceptable, 30 Tolerable, 50 Moderado, 70 Importante y 90 Inaceptable), si se amerita escribir comentarios y ligar a algún p P/T). Las preguntas abiertas contestarlas en el campo de comentarios.
No.
PREGUNTAS LISTA DE CHEQUEO PARA LA SALA DE COMPUTO
1 2 3 4 5 6 7
No. De Equipos en el área No. De Impresoras de matriz de punto en el área No. De Impresoras de inyección en el área No. De Impresoras Laser en el área No. De Puntos de Voz en el área No. De Puntos de Datos en el área
Cuantos usuarios han sido creados para el manejo de archivos en red Cuantos usuarios han sido creados para el manejo del correo 8 corporativo El espacio y el ambiente es apropiado para trabajar los equipos de 9 computo en esta área? Con que prontitud le son atentidos los requerimientos hechos al área 10 de sistemas, y que tienen que ver con soporte técnico 11 Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con los aplicativos. 12 Con que seguridad cuentan los equipos de computo para controlar el acceso de virus, codigo malicioso, o cualquier otro intruso informático 13 Con que seguridad cuenta la sala de computo para controlar el acceso de personas no autorizada? 14 Cuentan los implementos de sistema con algún tipo de seguridad? (mouse, UPS´s, Monitores) 15 Quienes manejan las llaves para el acceso a la sala de computo? 16 Cuenta con un inventario actualizado del software de la sala de computo? Cuenta con un inventario actualizado del hardware de la sala de 17 computo? 18
La sala de computo tiene otras destinaciones aparte de la educación? La sala de computo incurre en algún gasto externo por mantenimiento, 19 aseo, implementos, etc? ADMINISTRADOR DE LA SALA
20 Le fue entregado el manual de competencias al ingreso a la empresa? 21 Conoce el código del buen gobierno de Empresa? 22 Conoce el reglamento interno de trabajo? 23 Conoce las políticas de seguridad informática de Empresa? Conoce que equipos de computo tiene a cargo en el módulo de control 24 de activos de la Caja?
Si/No/N. Calif A.
%
Peso
EMPRESA AUDITORIA INTERNA CALIFICACION Y CUESTIONARIO DE LAS SALAS DE COMPUTO AUDITORIA DE SISTEMAS - PRESTACION SERVICIOS EDUCACION
OBJETIVO: Identificar el estado de la infraestructura tecnológica y la salvaguarda de la información de las salas de computo y las demás Unidades; además verificar el cumplimiento de los estandares de seguridad física y seguridad de la información.
ACTIVIDAD: Visitar las salas de computo y verificar las respuestas dadas; dar a su criterio una calificación de 10 hasta 90 se (10 Aceptable, 30 Tolerable, 50 Moderado, 70 Importante y 90 Inaceptable), si se amerita escribir comentarios y ligar a algún p P/T). Las preguntas abiertas contestarlas en el campo de comentarios.
No.
PREGUNTAS
Esta de acuerdo con los datos del inventario registrado en el sistema? corresponden al real como el serial del PC, puntos de voz y datos, 25 cantidad de equipos 26 Cambia sus claves de acceso al sistema periodicamente? 27 Ha recibido algún tipo de capacitación por parte del área de sistemas? Necesita alguna orientación o capacitación de parte del área de 28 sistemas? 29 Maneja clave de acceso a la planta telefónica para llamadas externas? 30 Recibió copia del acta de entrega del saliente administrador de la sala? 31 Su tipo de contrato laboral es: Tiene la relación de cursos dictados, proyectados a dictar y los que 32 actualmente se dictan en la sala de computo? Tiene la relación de alumnos de los cursos dictados, y los que 33 actualmente reciben clase en la sala de computo? Sabe qué hacer en caso de que ocurra una emergencia ocasionada por fuego, 34 terremoto, inundación o sabotaje? 35 Se le ha adiestrado o tiene conocimiento en el manejo de los extintores? Diligencia el formato de control de entrega de la sala por turnos junto 36 con los instructores y Jefe inmediato? Tiene un registro de las claves de acceso al sistema de cada equipo de 37 computo? 38 Maneja algún reporte de "malfuncionamiento" de hardware o software? 39 ¿Utiilza internet? ¿Qué consulta? OBSERVACIONES AL AREA
Se le hace mantenimiento preventivo e higiene de los equipos de 40 computo? 41 Existe una hoja de vida por cada equipo de computo? Registra las novedades y el mantenimiento en cada hoja de vida de los 42 equipos de computo? 43 Se limpia con frecuencia el polvo acumulado sobre el techo falso? 44 Poseen forros de protección los equipos de computo? 45 La sala cuenta con suficiente luz? La sala cuenta con una publicación del reglamento para el buen uso de 46 la misma? Esta publicado el horario de uso de la sala relacionando cursos, 47 profesores, días y horas? 48 La instalación de cables eléctricos en la sala es apropiada? 49 Utiliza en la sala UPS, cortapicos, reguladores, Extensiones, otro?
Si/No/N. Calif A.
%
Peso
EMPRESA AUDITORIA INTERNA CALIFICACION Y CUESTIONARIO DE LAS SALAS DE COMPUTO AUDITORIA DE SISTEMAS - PRESTACION SERVICIOS EDUCACION
OBJETIVO: Identificar el estado de la infraestructura tecnológica y la salvaguarda de la información de las salas de computo y las demás Unidades; además verificar el cumplimiento de los estandares de seguridad física y seguridad de la información.
ACTIVIDAD: Visitar las salas de computo y verificar las respuestas dadas; dar a su criterio una calificación de 10 hasta 90 se (10 Aceptable, 30 Tolerable, 50 Moderado, 70 Importante y 90 Inaceptable), si se amerita escribir comentarios y ligar a algún p P/T). Las preguntas abiertas contestarlas en el campo de comentarios.
No.
PREGUNTAS
Si/No/N. Calif A.
%
Peso
50 Como es el estado de la Canaleta para voz, datos, energía eléctrica? Estan etiquetados los puntos de datos en los equipos, canaletas, y 51 rack? 52 Cuenta la sala de computo con una cartelera informativa? Señale el inventario de aplicativos con que cuenta la sala de computo: Messenger, Mozilla firefox, Mozilla thunderbird, office, Internet explorer, juegos office, Informa, Salomon, SGA, sistema operativo 53 ______________ 54 La sala de computo tiene archivador? 55 La sala de computo cuenta con otro implemento o maquina? Cuales La sala cuenta con aplicativos no licenciados por Empresa y que se 56 están utilizando? 57 Los puerto de enlace para internet en los P.C. son: 58 Existe salida de emergencia? 59 La sala de computo tiene salida directa a la calle, pasillo o es interna 60 Existen extintores de fuego solkaflam 123? ¿Cuántos? 61 Se encuentran vigentes las fechas de vencimiento de los extintores? Existe alarma para detectar condiciones anormales del ambiente como 62 fuego, movimiento, humedad?
PARTICIPANTES
PARTICIPANTES
S DE COMPUTO IOS EDUCACION
mación de las salas de computo de Empresa en Tunja seguridad de la información.
na calificación de 10 hasta 90 según el nivel de riesgo, ir comentarios y ligar a algún papel de trabajo (Ref
Comentarios
Ref P/T
S DE COMPUTO IOS EDUCACION
mación de las salas de computo de Empresa en Tunja seguridad de la información.
na calificación de 10 hasta 90 según el nivel de riesgo, ir comentarios y ligar a algún papel de trabajo (Ref
Comentarios
Ref P/T
S DE COMPUTO IOS EDUCACION
mación de las salas de computo de Empresa en Tunja seguridad de la información.
na calificación de 10 hasta 90 según el nivel de riesgo, ir comentarios y ligar a algún papel de trabajo (Ref
Comentarios
Otros:
PARTICIPANTES
Ref P/T
CAJA DE COMPENSACION FAMILAR DE BOYACA Empresa AUDITORIA DE SISTEMAS LISTA DE CHEQUEO DEL AREA AUDITADA ____________________ OBSERVACIONES No. De Empleados en el área No. De Equipos en el área No. De Impresoras de matriz de punto en el área No. De Impresoras de inyección en el área No. De Impresoras Laser en el área No. De Puntos de Voz en el área No. De Puntos de Datos en el área Cuantos usuarios para el manejo de archivos en red han sido creados en esta área Cuantos usuarios para el manejo de correo corporativo han sido creados en ésta área
SOLICITAN
REQUIEREN
Quienes manejan las llaves para el acceso a la oficina El espacio y el ambiente es apropiado para trabajar los equipos de computo en esta área? Cuantas claves y quien las maneja para el acceso a la planta telefónica? _______________________________ Estan etiquetados los puntos de datos en los equipos, canaletas, y rack? Existen extintores de fuego solkaflam 123? ¿Cuántos? Se encuentran vigentes las fechas de vencimiento de los extintores? Existe alarma para detectar condiciones anormales del ambiente como fuego, movimiento, humedad?
LISTA DE CHEQUEO PARA EL USUARIO DEL AREA AUDITADA _______________________ Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con soporte técnico Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con los aplicativos. El mantenimiento e higiene del equipo de computo es La instalación de cables eléctricos en el módulo de trabajo es apropiada? Utiliza en las instalaciones eléctricas… Cortapicos, Extensiones, reguladores, otro? El estado de la Canaleta para voz, datos, energía eléctrica es Esta de acuerdo con el inventario asignado en logistica y sistemas? cuenta con aplicativos no licenciados por Empresa y que se están utilizando? Cuenta su equipo de computo con messenger y correo corporativo? Observaciones Dirección Ip de la Red _________________ puerto de enlace_______
CAJA DE COMPENSACION FAMILAR DE BOYACA Empresa AUDITORIA DE SISTEMAS LISTA DE CHEQUEO PARA EL USUARIO DEL AREA AUDITADA _______________________
LISTA DE CHEQUEO PARA EL USUARIO DEL AREA AUDITADA _______________________ Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con soporte técnico Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con los aplicativos. El mantenimiento e higiene del equipo de computo es La instalación de cables eléctricos en el módulo de trabajo es apropiada? Utiliza en las instalaciones eléctricas… Cortapicos, Extensiones, reguladores, otro? El estado de la Canaleta para voz, datos, energía eléctrica es Esta de acuerdo con el inventario asignado en logistica y sistemas? cuenta con aplicativos no licenciados por Empresa y que se están utilizando? Cuenta su equipo de computo con messenger y correo corporativo? Observaciones Dirección Ip de la Red _________________ puerto de enlace_______
CAJA DE COMPENSACION FAMILAR DE BOYACA Empresa AUDITORIA DE SISTEMAS LISTA DE CHEQUEO PARA EL USUARIO DEL AREA AUDITADA _______________________ Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con soporte técnico Con que prontitud le son atentidos los requerimientos hechos al área de sistemas, y que tienen que ver con los aplicativos. El mantenimiento e higiene del equipo de computo es La instalación de cables eléctricos en el módulo de trabajo es apropiada? Utiliza en las instalaciones eléctricas… Cortapicos, Extensiones, reguladores, otro? El estado de la Canaleta para voz, datos, energía eléctrica es Esta de acuerdo con el inventario asignado en logistica y sistemas? cuenta con aplicativos no licenciados por Empresa y que se están utilizando? Cuenta su equipo de computo con messenger y correo corporativo?
Observaciones Dirección Ip de la Red _________________ puerto de enlace_______
EMPRESA AUDITORIA INTERNA
CUESTIONARIO No.1 DE AUDITORIA DE SISTEMAS – SEGURIDAD EN LA INFORM
OBJETIVO: Verificar el estado del área de sistemas en cuanto a la salvaguarda de la información y el los estandares de seguridad informática. Si/ No/ N.A.
No.
PREGUNTAS
1
Cuenta la Empresa con un manual de políticas para el departamento de Sistemas?
2 3 4 5
Se encuentra aprobado dicho manual por el Director Administrativo? Se cumplen cabalmente las funciones descritas en el manual? Cada cuanto se actualizan las políticas en informática? Cuentan los sistemas con un efectivo control de acceso a los programas y datos?
SI NO SI SI SI
6
Cuentan los sistemas con un seguro control de acceso a los correos electrónicos?
SI
7
Se cuenta con políticas de seguridad en el manejo de la información establecidas por el área de Sistemas?
SI
8
Se cuenta con un documento oficial que relacione los usuarios de los diferentes sistemas de la entidad junto con sus atributos?
NO
9
Las claves de acceso (passwords) al sistema son únicas para cada usuario?
SI
10
Las claves de los usuarios en los diferentes sistemas están encriptadas?
SI
11
Se inhabilitan oportunamente las claves de acceso del personal que se ausenta temporal o definitivamente de sus labores en la Empresa?
NO
12
Son confidenciales y restrictivas las claves de acceso de los usuarios?
SI
13
Se cuenta con procedimientos claros para los casos en que los usuarios olviden su clave de acceso?
SI
14
Permite el sistema restringir el acceso a procesos o acciones específicas del sistema a usuarios no autorizados?
SI
15
Se tienen bajo custodia las claves de acceso al sistema?
NO
16
El sistema detecta de inmediato los accesos no autorizados o la incursión de posibles códigos maliciosos?
NO
17
Una vez puesta en producción una aplicación, se restringe el acceso de los empleados del área de Sistemas al mismo?
NO
18
Se encuentra implementado un procedimiento para el cambio periódico y forzoso de las claves de acceso a todos los usuarios del sistema?
SI
19
Controla el sistema un número determinado de intentos de acceso al sistema (red y aplicaciones)?
SI
20
El sistema permite a los usuarios cambiar su clave de acceso cuando éstos lo desean?. Permite el sistema duplicar claves entre diferentes usuarios?
SI
21
Cuando se presenta rotación del personal se inhabilitan las claves de acceso de los usuarios que ya no utilizan el sistema?
NO
22
Cuenta el sistema con un solo administrador, con todos los permisos y control total del manejo de la tecnología de la información desde el área de sistemas?
NO
23
Dispone de un administrador para cada sistema? (aplicativo y/o sistema operativo).
SI
24
Se cuenta con algún procedimiento para evitar la fuga de información del área de sistemas?
N.A
25
Cuenta la Entidad con una persona que administre la seguridad informática?
SI
26
Participa el personal de sistemas en labores de digitación o de usuario final?
NO
27
Cuenta el sistema con un archivo de pistas de auditoría que registre las acciones efectuadas por los usuarios dentro del sistema? (Aplicaciones, correo, red). Mensione las que sí cuentan.
SI
28 29 30 31 32 33 34 35 36
Se llevan a cabo copias de respaldo del log de auditoría mencionado?
NO
Incluyen las pistas de auditoría la siguiente información: § Nombre y/o código del usuario. § Nombre y/o código de la aplicación ejecutada. § Nombre o código de la opción del sistema ejecutada. § Nombre del archivo accedido. § Tipo de operación realizada (adición, modificación, borrado, impresión, etc.)
NO
Es confiable la seguridad que brindan los sistemas operativos? Se limita el uso del equipo a los usuarios autorizados únicamente?
SI SI
37
Se capacita periódicamente a los usuarios en el adecuado manejo de los equipos y de los aplicativos?
SI
38
Es suficiente el plan de capacitación establecido para los usuarios?
NO
39
Hay establecido un programa de capacitación para los colaboradores de la empresa del área de informática?
SI
Se encuentra personal temporal vinculado al área de Sistemas? Maneja este personal algún tipo de responsabilidad especial o ejecución de procesos vitales de la Entidad?
N.A
42
Se tiene un plan de continuidad para los casos de abandono de cargo de los analistas de sistemas?
NO
43
Existen metodologías aprobadas por la Entidad para la realización de pruebas de seguridad a los sistemas?
NO
40 41
44 45 46
Son adecuadas las metodologías mencionadas? Se cumplen en la realidad las metodologías establecidas? Se tiene un registro de los usuarios autorizados para el manejo de Messenger?
NO
N.A N.A NO
47
Se tiene un registro de los usuarios autorizados para el manejo de cada aplicación?
SI
48
Se tiene un registro de los usuarios autorizados para el ingreso a nuestro correo corporativo?
SI
49
Existen Instrucciones sobre el manejo de la red y sus carpetas compartidas?
SI
50 51 52 53 54
Se tiene inventario actualizado de las licencias antivirus? Se tiene inventario actualizado de las licencias de los sistemas operativos?
SI
Se tiene inventario actualizado de las licencias de los aplicativos? Se tienen actualizados los equipos con las vacunas y medios de protección autorizados?
SI
Existe un instructivo para los usuarios y que les permita realizar la actualización de vacunas por Internet?
SI
SI N.A
El registro de copias de seguridad esta actualizado? Se almacenan las copias de respaldo (Back Ups) de la Empresa en lugares diferentes al área de sistemas?
NO
57
Se mantiene un control especial de los Back Ups que soportan o donde residen los programas y los datos?
SI
58
Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta o disco, el cual fue inadvertidamente destruido?
SI
55 56
59 60
En los procesos que manejan archivos en línea, ¿Existen procedimientos para recuperar los archivos? Existe un procedimiento para registrar los archivos que se prestan o salen de la empresa y que tienen que ver con nuestra base de datos?
SI
N.A NO
61
Se cuenta con una política escrita de copias de respaldo dentro de la Empresa?
62
Que política se utiliza para la conservación de archivos? (Ej. hijo-padreabuelo)
63
Es adecuada y se cumple esta política para garantizar una oportuna y completa recuperación de la información de respaldo? (para la Empresa, para la auditoría y/o para alguna dependencia)
SI
64
Se lleva a cabo un efectivo control de los programas fuente existentes en los equipos?
SI
65
Se dispone de equipos de respaldo que soporte la información y que puedan utilizarse en caso de contingencia?
SI
66
Se han ejecutado pruebas sobre la funcionalidad contingencias?
67
Con que software cuenta la Empresa para el desarrollo de aplicaciones?
-------
68
Que adquisiciones, arriendos o desarrollos de software están pendientes de legalizar?
N.A
69
Se tiene en cuenta la opinión de los usuarios en el desarrollo de aplicaciones?
SI
70
Son debidamente autorizadas por escrito las modificaciones puntuales y estructurales que deben realizarse a los programas?
SI
71
Se actualiza oportunamente la documentación de los programas modificados?
NO
72
Que aplicaciones no cuentan con los manuales normalmente exigidos y aceptados por la Empresa?
73
Facilitan todas las aplicaciones la detección de errores de integridad (reglas que definen la consistencia de la base de datos) durante la captura de información?
SI
74
Controla el sistema que los usuarios de las aplicaciones, únicamente puedan acceder al sistema en las estaciones de trabajo que les fueron asignadas?
NO
75 76
del plan de
Se registran tales accesos en un archivo log del sistema? Existe dentro de las aplicaciones un proceso que genere mensajes de error?
SI
NO
N.A SI
77
Se cuenta con manuales de descripción de los errores arrojados por las aplicaciones?
NO
78
Se cuenta con un archivo log del sistema que registre los accesos externos a nuestra empresa por medio de la red corporativa o Internet?
SI
79
Se cuenta con un archivo log del sistema que registre las impresiones generadas en las diferentes aplicaciones?
NO
80
Se tiene controlado el uso de programas no autorizados para la Empresa y que son utilizados por usuarios empleados?
NO
81 82
Se cuenta con unas políticas de control de acceso a Internet? Se cuenta con un manual normativo, instructivo o políticas de manejo del correo electrónico?
SI SI
83
Se tiene un registro de usuarios por grupos que utilizan los diferentes puertos de enlace y direcciones del servidor Proxy?
SI
84
Se tiene controlado el acceso a Internet para direcciones prohibidas o no autorizadas por la empresa?
SI
85
El sistema cuenta con un log o programa que registre los equipos y direcciones de Internet a las cuales accede el usuario y que son prohibidas en la empresa?
SI
86
Se tiene un documento donde se especifiquen las topologías y los protocolos utilizados por la Empresa?
SI
87
Se tiene un documento donde se especifiquen las reglas de firewalls, utilizados por la Empresa?
SI
88
Se tiene un documento donde se especifiquen la configuración de servidores utilizados por la Empresa?
SI
89
Se tiene un documento donde se especifiquen el software en uso, en desarrollo y proximas adquisiciones para ser utilizados por la Empresa?
NO
90
La Empresa cuenta con herramientas en su sistema que encriptan los archivos que se transfieren por la red? Cuales.
NO
91
La empresa cuenta con algún filtro web que administre la protección completa contra amenazas de seguridad? Cual.
SI
92
Se cuenta con los procedimientos de contingencia en caso de incursiones o amenazas dañinas o inapropiadas a nuestros sistemas por algún medio externo? (destrucción física, código malicioso, pérdida de información o claves, huelgas o problemas laborales …)
NO
93
Permanece la información de la empresa protegida contra incidentes las 24 horas y también antes de que éstos ocurran?
NO
94
Enumere los recursos informáticos lógicos activos que tienen pólizas de seguros (S.O., Aplicativos…).
95
Se cuenta con algún procedimiento para el uso de pólizas de seguros y que se utilizan en el respaldo de los recursos informáticos lógicos?
96 97
Qué bases de datos se utilizan en la Empresa? Qué lenguajes de programación se utilizan en la Empresa?
NO
RNA SEGURIDAD EN LA INFORMACION
lvaguarda de la información y el cumplimiento de
OBSERVACIONES
Esta pendiente por aprobar en conjunto con los procedimeintos del área Anualmente
Cada aplicación permite el registro de usuarios y accesos a los diferentes módulos, además se encuentra con un sistema para el manejo de usuarios
Por sistema operativo No seinforma oportunamente al área de sistemas los retiros de personal
Los ingenieros son los encargados de administrar los sistemas de información
Se encuentra con un administrador de sistema operativo y Base de Datos y por sistemas de informacion un Administrador
En caso excepcional por la complejidad del requerimiento. Sistema operativo Base de Datos, correo
Sistema operativo Base de Datos, SI correo
Ver plan capacitación de Gestión Humana
Backup incremental. Nivel 0, Nivel 1, Nivel 2 (Cuando es requerido)
Aportes y Subsidio, Siarec Servicio al Cliente.
Firewall
Servidores,Upss, Impresoras, Routers, Switch, Hubs.
Informix, Postgresql, Oracle, Internase, MSD. Delphi, Informix 4gl, Java, php.
EMPRESA AUDITORIA INTERNA
CUESTIONARIO No.2 DE AUDITORIA DE SISTEMAS – SEGURIDAD FISICA Y DE ENTOR
OBJETIVO: Identificar el estado de la infraestructura tecnológica de la empresay las demás Unidades verificar el cumplimiento de los estandares de seguridad del hardware.
ACTIVIDAD: Visitar el área auditada y verificar las respuestas dadas; dar a su criterio una calificaci 1 hasta 100 según el nivel de riesgo, 1 para riesgo bajo y 100 para el más alto, si se amerita escribir comentarios y ligar a algún papel de trabajo. Las pregntas abiertas contestarlas en el campo de comen No. 1 2 3 4 5 6 7 8 9 10 11 12 13
14 15
16
PREGUNTAS ¿Se han adoptado y documentado las medidas de seguridad física apropiadas en el área de informática? ¿Existe una persona responsable de la seguridad física dentro del área de sistemas? ¿Existe algún documento o manual que reglamente normas de seguridad físicas a tener en cuenta? ¿Existen funciones específicas y documentadas sobre seguridad para el personal que tiene a cargo el manejo de servidores, ups, y equipos de comunicaciones? ¿Existe algún tipo de vigilancia en el cuarto de servidores durante las 24 horas del día? ¿Se controla y registra el acceso de personal al cuarto de servidores? ¿El ambiente en cuanto a iluminación, aire, aseo, ubicación es el adecuado en el cuato de servidores y toda el área de sistemas? ¿El área de sistemas está situada a salvo de: a) Inundación? ( ) b) Terremotos? ( ) c) Fuego? ( ) d) Sabotaje? ( ) ¿Se ha instruido al personal del área de sistemas sobre las medidas a tomar en caso de alguna amenaza como insendio, terremoto, inundación o sabotaje? ¿La instrucción al personal del área de sistemas sobre las medidas a tomar en caso de alguna amenaza como insendio, terremoto, inundación o sabotaje esta registrada en algín medio? ¿Existe alarma para a) Detectar fuego /calor o humo) en forma automática? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnetos? ( ) e) No existe ninguna? ( ) ¿Estas alarmas están a) En el área de ooperación de sistemas? ( )
Si/No/N.A.
17
18 19
20 21 22 23
24 25 26 27
28 29 30 31
32 33 34 35 36
b)En la cintoteca y discoteca? ( ) c) En el área de servidores ? ( ) ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el área de operación de sistemas? ( ) b) En la cintoteca y discoteca? ( ) c) En el área de servidores? ( ) ¿La alarma es perfectamente audible? ¿Esta alarma también está conectada? a) Al puesto de guardias? ( ) b) A la estación de bomberos? ( ) c) A ningún otro lado? ( ) Otro ( ) Existen extintores de fuego solkaflam 123? ¿Cuántos? ¿Se encuentran activas las fechas de vencimiento de los extintores? ¿Se ha adiestrado el personal en el manejo de los extintores? ¿Los extintores, manuales o automáticos son a base de TIPO SI NO a) Agua? ( ) ( ) b) Gas? ( ) ( ) c) Otros? ( ) ( ) Cual? ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? ¿Saben qué hacer los miembros del área de sistemas en caso de que ocurra una emergencia ocasionada por fuego, terremoto, inundación o sabotaje? ¿Existe salida de emergencia? La puerta de acceso general sólo es posible abrirla: a) Desde el interior? ( ) b) Desde el exterior? ( ) c) Ambos lados ( ) ¿Se revisan y con que frecuencia, la puerta y las ventanas, que sirven de acceso o ventilación? ¿Quién posee llaves de las puertas del área de sistemas? ¿Se ha adiestrado a todo el personal del área de sistemas en la forma en que se deben desalojar las instalaciones y equipos en caso de emergencia? ¿Se han tomado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el cuarto de máquinas? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el Sistema eléctrico? ( ) d) No se ha previsto? ( ) ¿Se limpia con frecuencia el polvo acumulado sobre el techo falso? ¿Se limpia con frecuencia el polvo acumulado sobre las máquinas? ¿Se tiene alguna programación sobre mantenimineto preventivo y/o correctivo de maquinas y equipos que hacen parte de la infraestructura tecnológica? Existe un registro de los mantenimientos preventivos y correctivos de las maquinas y equipos que hacen parte de la infraestructura tecnológica? ¿Esta clasificada y ubicada la información vital, esencial, no esencial, etc. En la cintoteca y/o Discoteca?
37 38 39
Están protegidas físicamente las copias (en bóveda, Empresas de seguridad, etc.) que garantice su integridad en caso de incendio, inundación, terremoto, etc. ¿Se tienen establecidos y escritos los procedimientos sobre la rotación de copias de seguridad? ¿Tienen asegurados con alguna compañía aseguradora los equipos informáticos? Cuales.
40
El inventario de equipos esta distribuido por seccional, dependencia y usuario?
41
Recibe o Emite reportes de o para el area de Gestión compras Bienes y servicios sobre los equipos nuevos y los equipos para dar de baja?
42
Existe un procedimiento de revisión (mensual, trimestral,...)con el área de Gestión compras bienes y servicios sobre el inventario de la infraestructura tecnologica?
43
44 45 46
Cuentan con un inventario de puntos de voz y datos en Tunja y las demás seccionales? El inventario de puntos de voz y datos tiene asignado el nombre del usuario a cargo? Cuentan con un inventario de plantas eléctricas, ups y demás equipos eléctricos que reposan en Tunja y las demás seccionales? El área de sistemas cuenta con un inventario de equipos de computo actualizado? Las hojas de vida de los equipos se encuentran actualizadas?
49
¿Están etiquetados los puntos de voz y datos en los puestos de cada usuario y el rack? ¿Se realizan visitas externas y demostraciones en el centro de cómputo a personas ajenas que lo solicitan? ¿Cómo son controladas las visitas, se registran en algún medio?
50
Que tipo de reparaciones se efectúan en el área de sistemas?
51
Que tipo de reparaciones son contratadas por técnicos externos?
52
¿Con que periodicidad le son solucionados los requerimientos de hardwariente?
53
Al retirar los equipos del puesto de trabajo relacionan y firman en una planilla de control, u hoja de vida, previo diagnostico que amerite recoger el equipo?
54
Que morosidad máxima tienen los requerimientos de hardware efectuados por funcionarios de la empresa y que pueden tener solución en el área de sistemas?
47 48
55 56 57 58 59 60
Se tiene un registro de los puntos de energia que proveen de corriente regulada a los equipos y que se encuentran en cada seccional? El cableado que transmite energía eléctrica, voz y datos se encuentra protegido por las canaletas en cada puesto de trabajo? Existe un procedimiento que administra los medios informáticos removibles? Existe un registro de los medios informáticos eliminados como cintas, discos Duros, Cabezas de impresoras, etc.? Existe un registro de los implementos informáticos que salen del área de sistemas para efectuar reparaciones y otros trabajos fuera de Tunja? El área de informática tiene contratos de outsourcing?
61 62 63 64
El archivo de la documentación de área de sistemas se encuentra en un lugar seguro y apropiado? Permanecen documentos en los puestos de trabajo que deberían estar en el archivo? El área de sistemas tiene un registro o control de depreciación de los equipos de computo? El área de sistemas tiene un registro y/o control de pagos y saldos por concepto de compra de equipos y licenciamiento?
NA
EGURIDAD FISICA Y DE ENTORNO
a de la empresay las demás Unidades; y ware.
dadas; dar a su criterio una calificación de el más alto, si se amerita escribir as contestarlas en el campo de comentarios. OBSERVACIONES
EMPRESA AUDITORIA INTERNA CUESTIONARIO No.2 DE AUDITORIA DE SISTEMAS – SEGURIDAD FISICA Y DE ENTORNO OBJETIVO: Identificar el estado del sistema de información en cuanto al estado de los aplicativos, su operatividad, documentación y los reportes generados. No. 1 2 3 4 5 6 7
PREGUNTAS ¿Existen controles y medidas de seguridad sobre las siguientes operaciones? ¿Cuáles son?
( ) Recepción de documentos ________________________________ ( ) Información confidencial _________________________________ ( ) Captación de documentos _________________________________
8
( ) Cómputo electrónico ____________________________________ ( ) Programas 9 _____________________________________________ ( ) Distotecas y cintotecas 10 ___________________________________ ( ) Documentos de salida 11 ____________________________________ 12 13 14 15 16 17 18 19 20
( ) Archivos magnéticos ____________________________________ ( ) Operación del equipo de computación ______________________ ( ) En cuanto al acceso de personal ___________________________
21
( ) Identificación del personal _______________________________ ( ) Policía 22 ________________________________________________ 23
( ) Seguros contra robo e incendio ____________________________ 24 ( ) Cajas de seguridad ______________________________________
Si/No/N.A.
25 ( ) Otras (especifique) ______________________________________ 26 27 28 Se sigue alguna norma o estandarizacion Ej. iso 17799 29 30 Derechos de propiedad intelectual 31 administracion de la continuidad de la empresa terceros 32 63 33 34 10 DESARROLLO Y MANTENIMIENTO DE SISTEMAS. 10.1 Requerimientos de seguridad de los sistemas. 35 10.1.1 Análisis y especificaciones de los requerimientos 36 10.2 Seguridad en los sistemas de aplicación 37 10.2.1 Validación de datos de entrada 38 10.2.2 Controles de procesamiento interno. 39 10.2.3 Autenticación de mensajes 40 10.2.4 Validación de los datos de salida 41 10.3 Controles criptográficos 42 10.3.1 Política de utilización de controles criptográficos. 43 10.3.2 Cifrado 44 10.3.3 Firma digital 45 10.3.4 Servicios de no repudio 46 10.3.5 Administración de claves 47 10.4 Seguridad de los archivos del sistema 48 10.4.1 Control del software operativo 49 10.4.2 Protección de los datos de prueba del sistema 50 10.4.3 Control de acceso a las bibliotecas de programa 51 10.5 Seguridad de los procesos de desarrollo y soporte 52 10.5.1 Procedimientos de control de cambios 53 10.5.2 Revisión técnica de los cambios en el sistema ope 54 10.5.3 Restricción del cambio en los paquetes de softwa 55 10.5.4 Canales ocultos y código troyano 56 10.5.5 Desarrollo externo de software 57 58 11 ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS 11.1 Aspectos de la administración de la continuidad de los 59 11.1.1 Proceso de administración de la continuidad de l 60 11.1.2 Continuidad del negocio y análisis del impacto 61 11.1.3 Elaboración e implementación de planes de conti 62 11.1.4 Marco para la planificación de la continuidad de l 63 11.1.5 Prueba, mantenimiento y reevaluación de los plan 64 65 12 CUMPLIMIENTO 12.1 Cumplimiento de requisitos legales 66 12.1.1 Identificación de la legislación aplicable 67 12.1.2 Derechos de propiedad intelectual (dpi) 68 12.1.3 Protección de los registros de la organización 69 12.1.4 Protección de datos y privacidad de la informació 70 12.1.5 Prevención del uso inadecuado de los recursos d 71 12.1.6 Regulación de controles para el uso de criptograf 72
18
64 64 64 65 65 65 66 66 67 67 67 68 68 68 70 70 70 71 71 71 72 72 73 73
73 73 74 74 74 75 75
77 77 77 77 78 79 79 79
12.1.7 Recolección de evidencia 73 12.2 Revisiones de la política de seguridad y la compatibilid 74 12.2.1 Cumplimiento de la política de seguridad 75 12.2.2 Verificación de la compatibilidad técnica 76 12.3 Consideraciones de auditoria de sistemas 77 12.3.1 Controles de auditoria de sistemas 78 12.3.2 Protección de las herramientas de auditoría de s 79 80 Anexo A (Informativo) Bibliografía 81 Anexo B (Informativo) Integrantes del organismo de estud 82 83 84
80 81 81 81 82 82 82
83 84
Guías de Clasificación. •Manipulación y marcación de Información •existen
85 86 87
“Capacity Planning” – Planeamiento de capacidades •Aceptación del sistema •
88 89 90 91 92
Registro de Usuarios •Administrración de privilegios •Administración de Constraseñas •Revisión de derechos de acceso de usuarios •
93
Control de Acceso de Aplicaciones
94
•
95
•
96
Restricción de Acceso a información •Aislamiento de sistemas sensitivos
97
Monitoreo de Uso y Acceso a Sistemas
98
•
99 100 101
Loggin por eventos •Identificación automática de terminales •Monitoreo de uso del sistema •Sincronización de reloj
Computación Móvil y Teletrabajo
102
•
103
•
104
Computación Móvil •Teletrabajo
105 106 107
Requerimientos de Seguridad de Sistemas
• •
Rquerimientos, Análisis y Especificaciones de Seguridad
108
Seguridad en Aplicaciones
109
•
110 111 112
Validación de ingreso de datos •Control de procesamiento •Autenticación de mensajes •Validación de salida de datos
Controles de Encripción
113
•
114
•
115 116 117 118
Política de uso de controles de encripción •Encripción •Firmas digitales •Servicios de No repudiación •Administración de claves PKI
119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149
Los equipos cuentan con “Terminal Time-out” Límites de tiempo a estaciones; cuando están conectados a algun aplicativo sin usarlo?
150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199
200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222
RNA SEGURIDAD FISICA Y DE ENTORNO
n cuanto al estado de los aplicativos, su OBSERVACIONES
apacidades
plicaciones
so a Sistemas
letrabajo
uridad de Sistemas
s de Seguridad
EMPRESA AUDITORIA INTERNA
CUESTIONARIO No.2 DE AUDITORIA DE SISTEMAS – SEGURIDAD FISICA Y DE ENTORNO
OBJETIVO: El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en mat seguridad de la información. No. PREGUNTAS Si/No/N.A. 1 2 3
•
Requisitos en Contratos con 3ros
4 5 6 7 8
Incluir la Seguridad en la responsabilidad de roles •Política de perfiles en funciones y cargos •Acuerdos de confidencialidad •Términos y condiciones del contrato de trabajo •
9 10
Entrenamiento y Educación en SI
11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
Reportes de Iincidentes de Seguridad •Debilidades de reportes de Seguridad •Reportes de “Malfuncionamiento” de software •Aprendiendo de los incidentes •Proceso Disciplinario •
36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61
SA NTERNA
MAS – SEGURIDAD FISICA Y DE ENTORNO
n los elementos necesarios para mitigar el riesgo esponsabilidades por parte del personal en materia de
ad de roles
e trabajo
oftware
OBSERVACIONES