Auditoria

Auditoria

jueves, 10 de noviembre de 2011

CheckList Seguridad

Checklist de Seguridad Física




No.
Criterio

Proceso ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Existen políticas de seguridad de la información?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002

Justificación 17



2
¿Cuentan con plan de prevención en caso de algún desastre?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 1



3
¿Cuenta con botiquín de primeros auxilios con el material mínimo para realizar una atención de primeros auxilios?
Libro 1
Gestión financiera
NOM – 020 – STPS – 1994

Justificación 16



4
¿Cuenta con extintores dentro de la organización?
Libro 1
Gestión financiera
NOM – 002 – STPS – 2000

Justificación 9



5
¿Los extintores con que se cuentan son de fuego clase “C”? 
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-100-SPTS-1994

Justificación 10



6
¿Cuenta con políticas de seguridad de los equipos respecto al uso de alimentos, líquidos o cualquier tipo de sustancia que dañe los equipos?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 13



7
¿Cuenta con señalamientos de rutas de evacuación?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 3



8
¿Están documentadas las políticas de seguridad?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002

Justificación 17



9
¿El personal conoce métodos y procedimientos que ayuden a ser frente a las emergencias o riesgos por desastres?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 2



10
¿Se cuenta con señalamientos que ayuden a identificar zonas restringidas, donde solo personal autorizado pueda ingresar?
Libro 2
Gestión de la seguridad de la información
NOM-003-SEGOB-2008

Justificación 6



11
¿Existe un señalamiento que obligue al registro de la persona para el acceso a las instalaciones?
Libro 2
Gestión de la seguridad de la información
NOM-003-SEGOB-2008

Justificación 6



12
¿Se le da un seguimiento a las pólizas de garantías de los equipos utilizados en la organización?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 14



13
¿Existe un control de las pérdidas de información dentro de la organización?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 12



14
¿Cuenta con alarmas de incendio?
Libro 2
Gestión de la seguridad de la información
NOM-002-STPS-2000

Justificación 8



15
¿Las instalaciones cuentan con la iluminación adecuada que permita a los trabajadores desempeñar su trabajo?
Libro 1
Gestión financiera
NOM – 025 – STPS – 1994

Justificación 11



16
¿Las áreas de trabajo se encuentran delimitadas o seccionadas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM – 001 – STPS – 1999

Justificación 22



17
¿Las zonas donde exista alto voltaje se encuentran señalizadas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 5



18
¿Las condiciones eléctricas, de iluminación y climáticas son adecuadas para el buen funcionamiento de los equipos de cómputo?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 12



19
¿Cuenta con las herramientas necesarias para dar el mantenimiento a los equipos?
Libro 1
Gestión financiera
ISO/IEC 17799

Justificación 12



20
¿Se asigna al personal una carta responsiva por el equipo que está utilizando?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002.

Justificación 18



21
¿Se documenta la entrega-recepción a la organización por parte de los empleados que dejan de formar parte de la organización?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002.

Justificación 18



22
¿Cuenta con cámaras monitoreando el site de la organización?
Libro 1
Gestión financiera
HDCCTV

Justificación 23




Checklist de Seguridad Lógica




No.
Criterio

Proceso ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Existen metodologías de respaldo de información?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 1



2
¿Se realizan respaldos de información periódicamente?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 2



3
¿Existe un administrador de sistemas que controle las cuentas de los usuarios?
Libro 4
ISO/IEC 17799

Justificación 5



4
¿Existe algún estándar para la creación de contraseñas?
Libro 2
Gestión de la seguridad de la información
Data Encryption Standard (DES)

Justificación 9



5
¿Las contraseñas cuentan con letras, números y símbolos?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 10



6
¿Se obliga, cada cierto tiempo a cambiar la contraseña?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 11



7
¿La organización cuenta con un proceso para dar mantenimiento preventivo  al software?
Libro 2
Gestión de la continuidad de los servicios de TI
IEEE1219

Justificación 13



8
¿La organización cuenta con un proceso para dar mantenimiento correctivo  al software?
Libro 2
Gestión de la continuidad de los servicios de TI
IEEE1219

Justificación 14



9
¿Se tienen software antivirus instalados en los equipos de cómputo?
Libro 2
Gestión de la seguridad de la información
ISO 17799

Justificación 17



10
¿Cuentan con antivirus actualizado?
Libro 3
Gestión de cambios
ISO 17799

Justificación 17



11
¿Se tienen instalados anti malware en los equipos de cómputo?
Libro 3
Gestión de cambios
SGSI SISTESEG

Justificación 18



12
¿Cuenta con licencias de software?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 19



13
¿Existe un proceso para mantener las licencias actualizadas?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 20



14
¿Existe un proceso para adquirir nuevas licencias?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 20



15
¿Se sanciona al integrante del departamento si instala software no permitido?
Libro 2
Gestión de la seguridad de la información
NEG001

Justificación 22



16
¿Los usuarios de bajo nivel tienen restringido el acceso a las partes más delicadas de las aplicaciones?
Libro 4
ISO/IEC 17799

Justificación 5



17
¿Realizan mantenimiento preventivo al equipo de cómputo?  
Libro 2
Gestión de la Disponibilidad
NOM-004-STPS-1999

Justificación 23



18
¿Realizan mantenimiento correctivo al equipo de cómputo?
Libro 2
Gestión de la Disponibilidad
NOM-004-STPS-1999

Justificación 23



19
¿El equipo de cómputo cuenta con suficiente espacio en HD en función de los servicios que otorga?   
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24



20
¿El equipo de cómputo cuenta con suficiente memoria RAM en función de los servicios que otorga?        
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24



21
¿La velocidad del procesador es el adecuado para los programas que son utilizados en los equipos?                 
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24









Checklist de Seguridad en Redes




No.
Criterio
Proceso
ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Las salidas de corriente eléctrica son trifásicas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



2
¿Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



3
¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



4
¿Los firewalls están configurados conforme a las necesidades de la organización?
Libro 2
Gestión de la seguridad de la información

Justificación 1



5
¿El acceso de la red inalámbrica es a través de contraseñas?
Libro 2
Gestión de la seguridad de la información

Justificación 2



6
¿El tráfico de la red por medio inalámbrico se encuentra protegido (encriptado)?
Libro 2
Gestión de la seguridad de la información

Justificación 2



7
¿Los dispositivos inalámbricos intermediarios están físicamente protegidos?
Libro 2
Gestión de la seguridad de la información

Justificación 2



8
¿Cada PC cuenta con un regulador de energía?
Libro 1
Gestión financiera
NOM-001-SCFI-1993

Justificación 4



9
¿El cableado del edificio es accesible para una revisión física?
Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/EIA/TIA-569

Justificación 3



10
¿Los cables de los equipos se encuentran debidamente aislados del paso de personas?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



11

¿Se cuenta con la administración de la red y la documentación en cuanto se han hecho cambios en la misma?

Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/TIA/EIA-606

Justificación 8



12
¿Se apega a alguna estándar para asignar el cableado eléctrico al inmueble?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



13
¿Se cumple con el estándar de tierra física en cuanto a los  requisitos establecidos en las normas bajo las cuales se rige?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-022-STPS-1999
ANSI/TIA/EIA-607

Justificación 6



14
¿La topología de cableado está definida bajo un estándar establecido?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



15
¿El cableado cuenta con una debida administración en cuanto a la identificación de etiquetas?
Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/TIA/EIA-606

Justificación 8



16
¿Los tipos de cables, distancias, conectores, arquitecturas, terminaciones de cables y características de rendimiento están  definidos por un estándar?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



17
¿Cuentan con un sistema de protección de descargas electro atmosféricas para el área de servidores?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-022-STPS-1999

Justificación 6









Checklist de Seguridad en Sistemas




No.
Criterio
Proceso
ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Las bases cuentan con un modelo o esquema de organización de los datos?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27001

Justificación 1



2
¿Existe backup para respaldar información de las bases de datos?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



3
¿El cuentan con un administrador del sistema?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



4
¿Cuenta con una póliza de seguridad en caso de fallos?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO 9001

Justificación 2



5
¿Las bases de datos son seguras?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



6
¿El sistema fue creado bajo un modelo para la mejora y evaluación de los procesos de desarrollo y mantenimiento de sistemas?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



7
¿Se cuenta con personal especializado para que monitoree  el rendimiento del sistema?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



8
¿Se realiza adecuadamente la documentación del sistema, manuales de usuario, mantenimiento y recomendaciones?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



9
¿Se utiliza encriptación para la información que se almacena en las bases de datos?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



10
¿El sistema es escalable para nuevas aplicaciones?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



7 comentarios:

  1. Excelente material, gracias

    ResponderEliminar
  2. genial para trabajar

    ResponderEliminar
  3. muy buen material, gracias

    ResponderEliminar
  4. Muchas gracias, me fue de mucha ayuda!

    ResponderEliminar
  5. Vaya que buen aporte... Gracias....!!!

    ResponderEliminar