Escolar Documentos
Profissional Documentos
Cultura Documentos
EXAMEN ESPECIAL TI
CUMPLIMIENTO NTP ISO 17799
3 POLITICA DE SEGURIDAD
3.1 Politica de seguridad de la informacion
3.1.1 Desarrollo del documento de politica de seguridad de la informacion
3.1.2 Publicacion del documento de politica de seguridad de la informacion
4 SEGURIDAD ORGANIZACIONAL
4.1 Infraestructura de la seguridad de la informacion
4.1.1 Gestion de comite de seguridad de la informacion
4.1.2 Coordinacion de la seguridad de la informacion
4.1.3 Asignacion de responsabilidades de seguridad de la informacion
4.1.4 Proceso de autorizacion para instalaciones de seguridad de la informacion
1/28
2/28
3/28
4/28
5/28
8.4 Respaldo
8.4.1 Respaldo de la informacion
6/28
9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de accesos
9.1.1 Poltica de control de accesos
9.2 Gestin de acceso de usuarios
9.2.1 Registro de usuarios
9.2.2 Gestin de privilegios
7/28
8/28
9/28
10/28
9.8.2 Teletrabajo
11/28
10.3.2 Encriptamiento
12/28
13/28
12. CUMPLIMIENTO
12.1 Cumplimiento con los requisitos legales
12.1.1 Identificacin de la legislacin aplicable
14/28
CONSULTOR:
FECHA :
S ___
N ___
S ___
N ___
Un marco de gestion debe ser establecido para iniciar y controlar la implementacion de la seguridad de la informacion dentro de la organizacin
Existe un comit para supervisar y representar la seguridad de la informacion?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
15/28
Las instalaciones y activos de informacion organizacionales que controlan el acceso de terceras partes deben ser mantenidos seguros
Han sido analizados los riesgos de conexiones de terceros?
S ___
N ___
S ___
N ___
S ___
N ___
La seguridad de la informacion debe ser mantenida incluso cuando la responsabilidad por el procesamiento ha sido tercerizado a otra organizacin
Los requisitos de seguridad de la informacion han sido detallados en los
contratos con terceros?
S ___
N ___
S ___
N ___
Deben ser usadas clasificaciones de seguridad para indicar la necesidad de, las prioridades para, seguridad de los activos de informacion.
Han sido creadas las guias para indicar la necesidad de, las prioridades para, la S ___
seguridad de la informacion?
N ___
Ha sido implementado un proceso para etiquetar informacion que requiere
proteccion de seguridad?
S ___
N ___
La seguridad debe ser incluida en la etapa de reclutamiento, incluidos los contratos y descripciones de las funciones, y el monitoreo correspondiente
durante el empleo de un individuo
Se incluyen las responsabilidades de seguridad en las descripciones de las
S ___
funciones de los empleados?
N ___
La seleccin de personal, requiere acceso a informacion sensible?
S ___
16/28
S ___
N ___
S ___
N ___
Los usuarios deben ser entrenados en procedimientos de seguridad y el correcto uso de las instalaciones TI
Antes que tengan acceso a las instalaciones TI, los usuarios son entrenados en S ___
politicas y procedimientos de seguridad de la informacion, requisitos de
N ___
seguridad, controles del negocio y uso correcto de las instalaciones TI?
Los incidentes que afectan la seguridad deben ser reportados a traves de canales de gestion tan rapido como sea posible.
Existen procedimientos formales de respuesta y reporte de incidentes para
identificar acciones a ejecutar al recibir dichos reportes?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Las instalaciones TI que soportan actividades del negocio criticas o sensibles estan en areas seguras
Existe proteccion de seguridad fisica, basada en parametros definidos a traves
de barreras localizadas estrategicamente en la organizacion?
S ___
17/28
N ___
S ___
N ___
S ___
N ___
Son usados controles adicionales para personal o terceros trabajando en areas S ___
seguras?
N ___
Se aislan los cuartos de computadoras o centros de datos o areas de carga para S ___
prevenir acceso no autorizado?
N ___
Los equipos deben estar fisicamente protegidos de las amenzas de seguridad y del medio ambiente
Estan localizados adecuadamente los equipos para reducir riesgos de
amenazas ambientales y accesos no autorizados?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Los equipos usados fuera de los locales de la organizacin, estan provistos del
mismo grado de proteccion que aquellos que son usados dentro de la
organizacion?
S ___
N ___
La informacion y las instalaciones para su procesamiento deben estar protegidas para evitar su divulgacion, modificacion, por personal no autorizado.
Ademas, deben establecerse controles para minimizar su prdida o dao.
Existen politicas claras de pantalla y escritorio "limpio" de material sensible para S ___
reducir riesgos de acceso no autorizado, perdida o dao, fuera de las horas
N ___
normales de trabajo?
Es requerido personal para tener documentada la autorizacion para disponer de S ___
equipos, datos o software fuera de los locales de la organizacion?
18/28
Deben existir responsabilidades y procedimientos para la gestion y operacin de todas las computadoras y redes
Los procedimientos operacionales estan claramente documentados para todos
los sistemas, para asegurar su operacin correcta y segura?
S ___
N ___
Existe un proceso para controlar los cambios en instalaciones y sistemas TI para S ___
garantizar el control satisfactorio de todos los cambios al equipamiento, software N ___
o los procedimientos?
Los procedimientos y responsabilidades de gestion de incidentes estan en
S ___
lugares que aseguren una rapida, efectiva respuesta a incidentes de seguridad? N ___
Son las zonas sensibles mantenidas responsablemente aisladas para reducir
oportunidades de modificacion no autorizada o maluso de datos o servicios?
S ___
N ___
S ___
N ___
Aplicar precauciones para prevenir y detectar la introduccion de software malicioso puede salvaguardar la integridad de software y datos.
Han sido implementados procedimientos de concientizacion de usuarios y
medidas de prevencion y deteccion de virus?
S ___
N ___
19/28
Deben existir procedimientos rutinarios para hacer backups de datos, registro de eventos y fallas, y donde sea apropiado monitorear el ambiente de los
equipos.
Existe un procedimiento para hacer copias de seguridad regularmente de los
S ___
datos del negocio esenciales y del software para asegurar que estos puedan ser
N ___
recuperados luego de un desastre o falla de medios o equipos?
Se mantienen logs de todo el trabajo realizado?
S ___
N ___
S ___
N ___
La seguridad de la red de computadoras dentro de fronteras de la organizacion deben ser gestionada para salvaguardar la informacion y proteger la
infraestructura soportada
Controles apropiados en redes y la proteccion de servicios los aseguran de
S ___
accesos no autorizados?
N ___
Los medios de computadoras deben ser controlados y fisicamente protegidos para prevenir dao a activos e interrupciones a actividades del negocio
Existen procedimientos para la gestion de medios de computadora removibles
tales como tapes, discos, cassettes y reportes impresos?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Los intercambios de datos y software entre organizaciones o sedes deben ser controlados para prevenir perdidas, modificacion o mal uso de los datos.
Existen acuerdos formales, incluyendo acuerdos de garantia del software
cuando sea apropiado, para intercambio de datos y software (electronica o
manualmente) entre organizaciones o sedes?
S ___
S ___
N ___
20/28
N ___
Se aplican controles de seguridad donde sea necesario para proteger comercio S ___
electronico (intercambio electronico de datos, correo electronico, y transacciones
en linea a traves de una red publica tal como el internet) contra intercepcion o
modificacion no autorizada?
N ___
Se aplican controles donde sea necesario para reducir los riesgos de seguridad S ___
asociados con correo electronico incluyendo interceptacion, modificacion y
N ___
errores?
Existen politicas y guias claras para controlar los riesgos de seguridad asociados S ___
con los sistemas ofimatica?
N ___
Hay un procedimiento de autorizacion formal antes que la informacion est
disponible publicamente?
S ___
N ___
S ___
N ___
Politicas para diseminacion de informacion deben controlar el acceso a servicios de computo y datos con base en los requisitos del negocio.
Existen los requisitos del negocio para controlar el acceso?
S ___
N ___
Se necesitan procedimientos formales para controlar la asignacion de derechos de acceso a los servicios TI
Hay un registro formal de usuario y procedimientos de cancelacion de registro
para accesar todos los servicios TI?
S ___
N ___
S ___
N ___
21/28
Existe un proceso formal para periodicamente revisar los derechos de acceso de S ___
los usuarios?
N ___
Los usuarios deben conocer sus responsabilidades para mantener controles de acceso efectivos, particularmente con respecto al uso de contraseas y
seguridad del equipo del usuario.
Los usuarios han sido entrenados en buenas practicas de seguridad en la
S ___
seleccion y uso de contraseas?
N ___
Estan todos los usuarios y contratistas conscientes de los requisitos y
procedimientos de seguridad para proteger equipos desatendidos?
S ___
N ___
S ___
N ___
Las conexiones a servicios de red deben ser controladas para garantizar que los usuarios conectados o los servicios de computo no comprometen la
seguridad de algun otro servicio de red
Existe un proceso para asegurar que la red y los servicios de computo que
S ___
pueden ser accesados por un usuario o desde un terminal especifico son
N ___
consistentes con la politica de control de acceso del negocio?
Han sido incorporados los controles que restringen la ruta entre un terminal de
usuario y los servicios de computo que su usuario est autorizado a accesar?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
22/28
S ___
N ___
S ___
N ___
Id de usuario
S ___
N ___
Gestion de contraseas
S ___
N ___
Alarma de intrusion
S ___
N ___
timeout de terminal
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
23/28
Todos los usuarios tienen un identificador unico para su uso personal, para
asegurar que sus actividades puedan ser rastreadas oportunamente?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Los terminales de "alto riesgo" tienen activado el timeout para prevenir acceso
de personas no autorizadas?
S ___
N ___
S ___
N ___
Deben estipularse controles de acceso logico para proteger aplicaciones y datos de accesos no autorizados.
El accesso a aplicaciones y funciones est restringido de acuerdo con las
politicas de acceso y, con base en requisitos individuales?
S ___
N ___
S ___
N ___
Los sistemas deben ser monitoreados para asegurar su conformidad con estandares y politicas de acceso, para detectar actividades no autorizadas, y
para determinar la efectividad de las medidas de seguridad adoptadas.
Existen huellas de auditoria que registren excepciones y otros eventos de
S ___
seguridad relevantes, producidos y mantenidos para asistir a investigaciones
N ___
futuras y monitorear el control de accesos?
Existen procedimientos para monitorear el uso de sistemas para asegurar que
los usuarios solo ejecutan procesos para los que han sido explicitamente
autorizados?
S ___
N ___
S ___
24/28
N ___
Cuando se usa informatica movil y teletrabajo, la organizacion debe examinar los riesgos y aplicar la proteccion apropiada.
Existen las politicas para direccionar los riesgos de trabajar con informatica
movil, incluyendo los requisitos de proteccion fisica, controles de acceso,
tecnicas de criptografia, respaldos y proteccion contra virus?
S ___
S ___
N ___
N ___
Para garantizar que la seguridad sea parte de los sistemas TI, los requisitos de seguridad deben ser identificados, justificados, acordados, y
documentados como parte de la definicion de requisitos de todos los proyecto TI desarrollados.
El analisis de los requisitos de seguridad es parte del analisis de requisitos de
S ___
un proyecto de desarrollo?
N ___
Los controles de seguridad que conforman los estandares comunmente aceptados en la industria TI deben ser diseados dentro de las aplicaciones
para prevenir perdida, modificacion, o mal uso de los datos de usuario.
Los datos de entrada en las aplicaciones son validados para asegurar que son S ___
correctos y apropiados?
N ___
Los chequeos de validacion han sido incorporados en los sistemas para detectar S ___
corrupcion causadas por errores de procesamientos o a traves de actos
N ___
deliberados?
Se han considerado mensajes de autenticacion para aplicaciones que implican
transmision de datos sensibles o criticos?
S ___
N ___
Se validan los datos de salida de las aplicaciones para asegurar que son
correctos y apropiados?
S ___
N ___
Para proteger la confidencialidad, autenticidad o integridad de la informacion, deben ser usadas tecnicas y sistemas criptograficos para la proteccion
completa de la informacion "riesgosa".
25/28
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Existe un sistema de gestion para que la organizacion soporte el uso de tecnicas S ___
criptograficas, incluyendo las tecnicas de clave secreta y las de clave publica?
N ___
Para asegurar que los proyectos TI y las actividades de soporte son conducidas de una manera segura, la responsabilidad del control de acceso a
archivos de aplicaciones debe ser asignada y llevada por el usuario propietario de la funcion o grupo de desarrollo.
Se ejerce control sobre la implementacion de software en sistemas
S ___
operacionales?
N ___
Los sistemas para pruebas estan protegidos y controlados?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
S ___
N ___
26/28
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Los planes de continuidad del negocio deben estar disponibles para contrarrestar las interrupciones de las actividades de la organizacion.
Existen un proceso de gestion del mantenimiento/desarrollo de los planes de
continuidad del negocio en la organizacion?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Se pruebas regularmente los planes de continuidad del negocio para garantizar S ___
su efectividad y aplicabilidad?
N ___
27/28
Todos los requisitos relevantes para cada sistema TI debe ser identificado y documentado
Todas las regulaciones legales pertinentes y requisitos contractuales son
definidas y documentadas explicitamente para cada sistema de informacion?
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
S ___
N ___
Para asegurar el cumplimiento de los sistemas TI con las politicas y estandares de seguridad, deben ejecutarse regularmente , revisiones de
cumplimiento.
Se considera todas las areas dentro de la organizacion para la revision regular y S ___
asegurar de esta manera el cumplimiento de las politicas y estandares de
N ___
seguridad?
Las instalaciones TI son regularmente checkadas para el cumplimiento de los
estandares de implementacion?
S ___
N ___
Deben haber controles en sistemas operacionales y herramientas de auditoria para minimizar la interferencia y proteger la integridad y prevenir el mal
uso de herramientas de auditoria.
Se planean cuidadosamente las auditorias y checkeos en sistemas
S ___
operacionales?
N ___
Se controla el acceso a las herramientas de auditoria de sistemas?
S ___
N ___
28/28