Subido por jose viola

checklist auditoria seguridad

Anuncio
CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS
RESPONSABLE : Alex Picón Berrocal
ITEM
ACTIVIDADES
1.0 SEGURIDAD FISICA
1.1 Relacionados con la Infeaestructura
Existe personal de vigilancia en la institución?
Existen una persona responsable de la seguridad?
SI
N/A
OBSERVACIÓN
X
X
Se controla el trabajo fuera de horario?
Existe alarma para detectar fuego?
El área de computo cuenta con equipo acondicionado?
Existen exintores de fuego de PQS?
1.2 Relacionados con las Instalaciones Eléctricas
Tiene la empresa contratado un electricista?
En el último año se han revisado todas las instalaciones eléctricas?
En alguna ocasión se ha generado algún corto circuito dentro de las
instalaciones?
Los tomas en los que conectan los equipos están estabilizados?
¿Los interruptores de energía están debidamente protegidos y etiquetados sin
obstaculos para alcanzarlos?
1.3 Relacionados al Hw.
Cada componente de su computadora y periféricos tiene la numeración
respectiva del inventario?
Los equipos informáticos has sido asignados a cada empleado?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se lleva un control de los equipos en garantía?
NO
posible fuga de información operativa de la
organización
X
X
X
X
no se encontro evidencia de capacitacion
exsite cetificado de INDECI
X
X
X
X
X
X
no se presento evidencia
X
adquisicion de equipos inadecuados
X
X
se tiene para los más críticos, lo demás son
manttos correctivos
no se mostro evidencia al respecto, el area no
cuenta con historico
Existe un programa de mantto preventivo para los equipos informático?
X
Se notifican las fallas?
X
¿Se posee de bitácoras de fallas detectadas en los equipos?
X
no se conoce performance del equipo
Existen definidos tiempos de respuesta para las reparaciones?
X
las reparaciones son efectuadas por
proveedores externos
1.4 Relacionados con los Dispositivos de Almacenamiento
Existe un control estricto de las copias de seguridad?
Estas copias estan almacenadas en el mismo departamento?
cada departamento es responsable de la
infromación que generan
perdida de información operativa
X
X
Se tienen identificados los archivos con información confidencial?
es responsabilidad de cada area
X
¿Se cuenta con algún procedimiento de eliminación segura de unidades de
almacenamiento?
X
no se ubico al responsable
¿Existen políticas sobre el uso de medios de almacenamiento?
X
son utilizados particularmente
¿Existen políticas para el uso de los puertos para unidades externas?
X
los puertos no estan regulados
2.0 SEGURIDAD LOGICA
2.1 Relacionados con los Accesos/Usuarios
¿Existe un administrador de sistemas que controle el acceso a los usuarios?
X
este rol recae sobre el jefe de sistemas
¿Gestiona los perfiles de los usuarios dicho administrador?
X
no se encontro evidencia de los perfiles de
usuarios.
¿Se pide clave de acceso apara iniciar sesión en el equipos?
¿Es auto cambiable la clave de acceso al sistema?
¿Solicitan los administradores cambiar la contraseña periodicamente?
¿Se obliga a renovar periódicamente la contraseña?
¿Si no se renueva la contraseña, te permite el acceso restringiendo algunos
servicios?
¿Se bloquea la cuenta con determinado número de intentos fallidos?
¿Existen políticas para el desbloqueo de cuentas de usuario?
2.2 Aspectos Relacionados al Sw.
Los programas ofimáticos u otros programas utilizados en la empresa cuentan
con las licencias correspondientes?
Para el resguardo de los diversos discos de programas, se tiene un
archivadero adecuado?
X
X
X
X
son claves estáticas
X
X
X
X
X
se solicita directamente a sistemas
CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS
RESPONSABLE : Alex Picón Berrocal
ITEM
ACTIVIDADES
Hay una persona nombrada como responsable de resguardar el software
comprado por la empresa?
3.0 SALA DE SERVIDORES
3.1 Relacionados con la Infraestructura
El área de servidores contiene solamente equipos informáticos?
Están separados los circuitos eléctricos de los circuitos que alimentan los
equipos?
Está instalada una alarma para detectar fuego (calor o humo) en forma
automática?
La cantidad y tipo de extintores automáticos en el área de servidores es la
adecuada?
El personal del área de servidores ha recibido capacitación del uso de
extintores manuales?
Se verifica cada cierto tiempo que los extintores manuales estén cargados y
funcionando correctamente?
Existe en el área de servidores el uso de materiales antiinflamables?
4.0 SEGURIDAD EN RED WIFI
4.1 Relacionados con la Infraestructura
¿Cuentan con un inventario de los equipos existentes?
¿El ancho de banda es acorde con las necesidades de la organización?
¿Presenta fuentes de interferencia en la señal inalámbrica?
¿Los puntos de acceso están apagados durante parte del día cuando no esté
en uso?
¿Todas las contraseñas administrativas se cambian con regularidad?
¿Se almacena de forma segura?
¿Los Puntos de acceso se encuentran ubicados en zonas seguras, de tal
forma que se pueda evitar la sustracción por personas ajenas?
4.2 Relacionados con la Politica
¿Se tiene políticas de seguridad para la red inalámbrica?
¿Se monitorea la correcta ejecución de las políticas de seguridad?
¿Se lleva un control del % de cumplimiento con políticas de seguridad?
¿Se manejan prácticas y procedimientos para manejar incidentes de seguridad
inalámbrica?
¿Se ha implementado herramientas de monitoreo en la red inalambrica?
4.3 Relacionados con los Accesos/Usuarios
¿Se proporciona a los usuarios una declaración escrita de sus derechos de
acceso a la red inalámbrica?
¿Todos los usuarios tienen su cuenta de usuario?
¿Todos los clientes inalámbricos tienen firewall instalado?
¿Existe un procedimiento formal para registrar y suprimir el acceso de usuarios
a la red inalámbrica?
¿Los empleados son conscientes y reportan los eventos de seguridad
inalámbrica?
¿Se hace un seguimiento a un empleado que genera un incidente de
seguridad inalámbrica?
¿Se advierte a los empleados de la responsabilidad legal que intenten
manipular las debilidades de la seguridad inalámbrica?
SI
NO
N/A
OBSERVACIÓN
X
se observa equipos ajenos al area
linea electrica estabilizada, falta de evidencia
de las inpsecciones
X
X
X
X
se ubico extintor PQS de 10 kg
X
no se entregó evidencia
X
existe tarjeta de control de extintores
se observo muebles de melamina
X
X
X
X
X
no se tiene historio de accesos
X
se observó en recepción un access point
sobre el escritorio
X
X
no se encontró evidencia
X
X
X
X
X
personal no esta capacitado
X
no se aplica
X
X
es de libre acceso
no se encontró evidencia
X
lo define el jefe del area
X
no es conocido por los empleados
X
no se aplica en la organización
X
no se aplica en la organización
Descargar