Auditoria

Auditoria

jueves, 10 de noviembre de 2011

CheckList Seguridad

Checklist de Seguridad Física




No.
Criterio

Proceso ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Existen políticas de seguridad de la información?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002

Justificación 17



2
¿Cuentan con plan de prevención en caso de algún desastre?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 1



3
¿Cuenta con botiquín de primeros auxilios con el material mínimo para realizar una atención de primeros auxilios?
Libro 1
Gestión financiera
NOM – 020 – STPS – 1994

Justificación 16



4
¿Cuenta con extintores dentro de la organización?
Libro 1
Gestión financiera
NOM – 002 – STPS – 2000

Justificación 9



5
¿Los extintores con que se cuentan son de fuego clase “C”? 
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-100-SPTS-1994

Justificación 10



6
¿Cuenta con políticas de seguridad de los equipos respecto al uso de alimentos, líquidos o cualquier tipo de sustancia que dañe los equipos?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 13



7
¿Cuenta con señalamientos de rutas de evacuación?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 3



8
¿Están documentadas las políticas de seguridad?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002

Justificación 17



9
¿El personal conoce métodos y procedimientos que ayuden a ser frente a las emergencias o riesgos por desastres?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 2



10
¿Se cuenta con señalamientos que ayuden a identificar zonas restringidas, donde solo personal autorizado pueda ingresar?
Libro 2
Gestión de la seguridad de la información
NOM-003-SEGOB-2008

Justificación 6



11
¿Existe un señalamiento que obligue al registro de la persona para el acceso a las instalaciones?
Libro 2
Gestión de la seguridad de la información
NOM-003-SEGOB-2008

Justificación 6



12
¿Se le da un seguimiento a las pólizas de garantías de los equipos utilizados en la organización?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 14



13
¿Existe un control de las pérdidas de información dentro de la organización?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 12



14
¿Cuenta con alarmas de incendio?
Libro 2
Gestión de la seguridad de la información
NOM-002-STPS-2000

Justificación 8



15
¿Las instalaciones cuentan con la iluminación adecuada que permita a los trabajadores desempeñar su trabajo?
Libro 1
Gestión financiera
NOM – 025 – STPS – 1994

Justificación 11



16
¿Las áreas de trabajo se encuentran delimitadas o seccionadas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM – 001 – STPS – 1999

Justificación 22



17
¿Las zonas donde exista alto voltaje se encuentran señalizadas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-003-SEGOB-2008

Justificación 5



18
¿Las condiciones eléctricas, de iluminación y climáticas son adecuadas para el buen funcionamiento de los equipos de cómputo?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO/IEC 17799

Justificación 12



19
¿Cuenta con las herramientas necesarias para dar el mantenimiento a los equipos?
Libro 1
Gestión financiera
ISO/IEC 17799

Justificación 12



20
¿Se asigna al personal una carta responsiva por el equipo que está utilizando?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002.

Justificación 18



21
¿Se documenta la entrega-recepción a la organización por parte de los empleados que dejan de formar parte de la organización?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27002.

Justificación 18



22
¿Cuenta con cámaras monitoreando el site de la organización?
Libro 1
Gestión financiera
HDCCTV

Justificación 23




Checklist de Seguridad Lógica




No.
Criterio

Proceso ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Existen metodologías de respaldo de información?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 1



2
¿Se realizan respaldos de información periódicamente?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 2



3
¿Existe un administrador de sistemas que controle las cuentas de los usuarios?
Libro 4
ISO/IEC 17799

Justificación 5



4
¿Existe algún estándar para la creación de contraseñas?
Libro 2
Gestión de la seguridad de la información
Data Encryption Standard (DES)

Justificación 9



5
¿Las contraseñas cuentan con letras, números y símbolos?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 10



6
¿Se obliga, cada cierto tiempo a cambiar la contraseña?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 17799

Justificación 11



7
¿La organización cuenta con un proceso para dar mantenimiento preventivo  al software?
Libro 2
Gestión de la continuidad de los servicios de TI
IEEE1219

Justificación 13



8
¿La organización cuenta con un proceso para dar mantenimiento correctivo  al software?
Libro 2
Gestión de la continuidad de los servicios de TI
IEEE1219

Justificación 14



9
¿Se tienen software antivirus instalados en los equipos de cómputo?
Libro 2
Gestión de la seguridad de la información
ISO 17799

Justificación 17



10
¿Cuentan con antivirus actualizado?
Libro 3
Gestión de cambios
ISO 17799

Justificación 17



11
¿Se tienen instalados anti malware en los equipos de cómputo?
Libro 3
Gestión de cambios
SGSI SISTESEG

Justificación 18



12
¿Cuenta con licencias de software?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 19



13
¿Existe un proceso para mantener las licencias actualizadas?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 20



14
¿Existe un proceso para adquirir nuevas licencias?
Libro 3
Gestión de cambios
ISO/IEC 19770

Justificación 20



15
¿Se sanciona al integrante del departamento si instala software no permitido?
Libro 2
Gestión de la seguridad de la información
NEG001

Justificación 22



16
¿Los usuarios de bajo nivel tienen restringido el acceso a las partes más delicadas de las aplicaciones?
Libro 4
ISO/IEC 17799

Justificación 5



17
¿Realizan mantenimiento preventivo al equipo de cómputo?  
Libro 2
Gestión de la Disponibilidad
NOM-004-STPS-1999

Justificación 23



18
¿Realizan mantenimiento correctivo al equipo de cómputo?
Libro 2
Gestión de la Disponibilidad
NOM-004-STPS-1999

Justificación 23



19
¿El equipo de cómputo cuenta con suficiente espacio en HD en función de los servicios que otorga?   
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24



20
¿El equipo de cómputo cuenta con suficiente memoria RAM en función de los servicios que otorga?        
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24



21
¿La velocidad del procesador es el adecuado para los programas que son utilizados en los equipos?                 
Libro 2
Gestión de la Disponibilidad
ISO/IEC 20000

Justificación 24









Checklist de Seguridad en Redes




No.
Criterio
Proceso
ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Las salidas de corriente eléctrica son trifásicas?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



2
¿Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



3
¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



4
¿Los firewalls están configurados conforme a las necesidades de la organización?
Libro 2
Gestión de la seguridad de la información

Justificación 1



5
¿El acceso de la red inalámbrica es a través de contraseñas?
Libro 2
Gestión de la seguridad de la información

Justificación 2



6
¿El tráfico de la red por medio inalámbrico se encuentra protegido (encriptado)?
Libro 2
Gestión de la seguridad de la información

Justificación 2



7
¿Los dispositivos inalámbricos intermediarios están físicamente protegidos?
Libro 2
Gestión de la seguridad de la información

Justificación 2



8
¿Cada PC cuenta con un regulador de energía?
Libro 1
Gestión financiera
NOM-001-SCFI-1993

Justificación 4



9
¿El cableado del edificio es accesible para una revisión física?
Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/EIA/TIA-569

Justificación 3



10
¿Los cables de los equipos se encuentran debidamente aislados del paso de personas?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



11

¿Se cuenta con la administración de la red y la documentación en cuanto se han hecho cambios en la misma?

Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/TIA/EIA-606

Justificación 8



12
¿Se apega a alguna estándar para asignar el cableado eléctrico al inmueble?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-001-SCFI-1993

Justificación 4



13
¿Se cumple con el estándar de tierra física en cuanto a los  requisitos establecidos en las normas bajo las cuales se rige?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-022-STPS-1999
ANSI/TIA/EIA-607

Justificación 6



14
¿La topología de cableado está definida bajo un estándar establecido?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



15
¿El cableado cuenta con una debida administración en cuanto a la identificación de etiquetas?
Libro 2
Gestión de la continuidad de los servicios de TI
ANSI/TIA/EIA-606

Justificación 8



16
¿Los tipos de cables, distancias, conectores, arquitecturas, terminaciones de cables y características de rendimiento están  definidos por un estándar?
Libro 2
Gestión de la continuidad de los servicios de TI
TIA/EIA-568

Justificación 7



17
¿Cuentan con un sistema de protección de descargas electro atmosféricas para el área de servidores?
Libro 2
Gestión de la continuidad de los servicios de TI
NOM-022-STPS-1999

Justificación 6









Checklist de Seguridad en Sistemas




No.
Criterio
Proceso
ITIL
Norma /
Estándar
Cumple el criterio
Observaciones


Si
No
1
¿Las bases cuentan con un modelo o esquema de organización de los datos?
Libro 2
Gestión de la seguridad de la información
ISO/IEC 27001

Justificación 1



2
¿Existe backup para respaldar información de las bases de datos?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



3
¿El cuentan con un administrador del sistema?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



4
¿Cuenta con una póliza de seguridad en caso de fallos?
Libro 2
Gestión de la continuidad de los servicios de TI
ISO 9001

Justificación 2



5
¿Las bases de datos son seguras?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



6
¿El sistema fue creado bajo un modelo para la mejora y evaluación de los procesos de desarrollo y mantenimiento de sistemas?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



7
¿Se cuenta con personal especializado para que monitoree  el rendimiento del sistema?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



8
¿Se realiza adecuadamente la documentación del sistema, manuales de usuario, mantenimiento y recomendaciones?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



9
¿Se utiliza encriptación para la información que se almacena en las bases de datos?
Libro 2
Gestión de la seguridad de la información
ISO 9001

Justificación 2



10
¿El sistema es escalable para nuevas aplicaciones?
Libro 3
Gestión de entregas y despliegues
ISO 9001

Justificación 2



11 comentarios: