CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS RESPONSABLE : Alex Picón Berrocal ITEM ACTIVIDADES 1.0 SEGURIDAD FISICA 1.1 Relacionados con la Infeaestructura Existe personal de vigilancia en la institución? Existen una persona responsable de la seguridad? SI N/A OBSERVACIÓN X X Se controla el trabajo fuera de horario? Existe alarma para detectar fuego? El área de computo cuenta con equipo acondicionado? Existen exintores de fuego de PQS? 1.2 Relacionados con las Instalaciones Eléctricas Tiene la empresa contratado un electricista? En el último año se han revisado todas las instalaciones eléctricas? En alguna ocasión se ha generado algún corto circuito dentro de las instalaciones? Los tomas en los que conectan los equipos están estabilizados? ¿Los interruptores de energía están debidamente protegidos y etiquetados sin obstaculos para alcanzarlos? 1.3 Relacionados al Hw. Cada componente de su computadora y periféricos tiene la numeración respectiva del inventario? Los equipos informáticos has sido asignados a cada empleado? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Se lleva un control de los equipos en garantía? NO posible fuga de información operativa de la organización X X X X no se encontro evidencia de capacitacion exsite cetificado de INDECI X X X X X X no se presento evidencia X adquisicion de equipos inadecuados X X se tiene para los más críticos, lo demás son manttos correctivos no se mostro evidencia al respecto, el area no cuenta con historico Existe un programa de mantto preventivo para los equipos informático? X Se notifican las fallas? X ¿Se posee de bitácoras de fallas detectadas en los equipos? X no se conoce performance del equipo Existen definidos tiempos de respuesta para las reparaciones? X las reparaciones son efectuadas por proveedores externos 1.4 Relacionados con los Dispositivos de Almacenamiento Existe un control estricto de las copias de seguridad? Estas copias estan almacenadas en el mismo departamento? cada departamento es responsable de la infromación que generan perdida de información operativa X X Se tienen identificados los archivos con información confidencial? es responsabilidad de cada area X ¿Se cuenta con algún procedimiento de eliminación segura de unidades de almacenamiento? X no se ubico al responsable ¿Existen políticas sobre el uso de medios de almacenamiento? X son utilizados particularmente ¿Existen políticas para el uso de los puertos para unidades externas? X los puertos no estan regulados 2.0 SEGURIDAD LOGICA 2.1 Relacionados con los Accesos/Usuarios ¿Existe un administrador de sistemas que controle el acceso a los usuarios? X este rol recae sobre el jefe de sistemas ¿Gestiona los perfiles de los usuarios dicho administrador? X no se encontro evidencia de los perfiles de usuarios. ¿Se pide clave de acceso apara iniciar sesión en el equipos? ¿Es auto cambiable la clave de acceso al sistema? ¿Solicitan los administradores cambiar la contraseña periodicamente? ¿Se obliga a renovar periódicamente la contraseña? ¿Si no se renueva la contraseña, te permite el acceso restringiendo algunos servicios? ¿Se bloquea la cuenta con determinado número de intentos fallidos? ¿Existen políticas para el desbloqueo de cuentas de usuario? 2.2 Aspectos Relacionados al Sw. Los programas ofimáticos u otros programas utilizados en la empresa cuentan con las licencias correspondientes? Para el resguardo de los diversos discos de programas, se tiene un archivadero adecuado? X X X X son claves estáticas X X X X X se solicita directamente a sistemas CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS RESPONSABLE : Alex Picón Berrocal ITEM ACTIVIDADES Hay una persona nombrada como responsable de resguardar el software comprado por la empresa? 3.0 SALA DE SERVIDORES 3.1 Relacionados con la Infraestructura El área de servidores contiene solamente equipos informáticos? Están separados los circuitos eléctricos de los circuitos que alimentan los equipos? Está instalada una alarma para detectar fuego (calor o humo) en forma automática? La cantidad y tipo de extintores automáticos en el área de servidores es la adecuada? El personal del área de servidores ha recibido capacitación del uso de extintores manuales? Se verifica cada cierto tiempo que los extintores manuales estén cargados y funcionando correctamente? Existe en el área de servidores el uso de materiales antiinflamables? 4.0 SEGURIDAD EN RED WIFI 4.1 Relacionados con la Infraestructura ¿Cuentan con un inventario de los equipos existentes? ¿El ancho de banda es acorde con las necesidades de la organización? ¿Presenta fuentes de interferencia en la señal inalámbrica? ¿Los puntos de acceso están apagados durante parte del día cuando no esté en uso? ¿Todas las contraseñas administrativas se cambian con regularidad? ¿Se almacena de forma segura? ¿Los Puntos de acceso se encuentran ubicados en zonas seguras, de tal forma que se pueda evitar la sustracción por personas ajenas? 4.2 Relacionados con la Politica ¿Se tiene políticas de seguridad para la red inalámbrica? ¿Se monitorea la correcta ejecución de las políticas de seguridad? ¿Se lleva un control del % de cumplimiento con políticas de seguridad? ¿Se manejan prácticas y procedimientos para manejar incidentes de seguridad inalámbrica? ¿Se ha implementado herramientas de monitoreo en la red inalambrica? 4.3 Relacionados con los Accesos/Usuarios ¿Se proporciona a los usuarios una declaración escrita de sus derechos de acceso a la red inalámbrica? ¿Todos los usuarios tienen su cuenta de usuario? ¿Todos los clientes inalámbricos tienen firewall instalado? ¿Existe un procedimiento formal para registrar y suprimir el acceso de usuarios a la red inalámbrica? ¿Los empleados son conscientes y reportan los eventos de seguridad inalámbrica? ¿Se hace un seguimiento a un empleado que genera un incidente de seguridad inalámbrica? ¿Se advierte a los empleados de la responsabilidad legal que intenten manipular las debilidades de la seguridad inalámbrica? SI NO N/A OBSERVACIÓN X se observa equipos ajenos al area linea electrica estabilizada, falta de evidencia de las inpsecciones X X X X se ubico extintor PQS de 10 kg X no se entregó evidencia X existe tarjeta de control de extintores se observo muebles de melamina X X X X X no se tiene historio de accesos X se observó en recepción un access point sobre el escritorio X X no se encontró evidencia X X X X X personal no esta capacitado X no se aplica X X es de libre acceso no se encontró evidencia X lo define el jefe del area X no es conocido por los empleados X no se aplica en la organización X no se aplica en la organización