EMPRESA XXXXXX

EXAMEN ESPECIAL TI
CUMPLIMIENTO NTP ISO 17799
3 POLITICA DE SEGURIDAD
3.1 Politica de seguridad de la informacion
3.1.1 Desarrollo del documento de politica de seguridad de la informacion
3.1.2 Publicacion del documento de politica de seguridad de la informacion

4 SEGURIDAD ORGANIZACIONAL
4.1 Infraestructura de la seguridad de la informacion
4.1.1 Gestion de comite de seguridad de la informacion
4.1.2 Coordinacion de la seguridad de la informacion
4.1.3 Asignacion de responsabilidades de seguridad de la informacion
4.1.4 Proceso de autorizacion para instalaciones de seguridad de la informacion

4.1.5 Asesor especialista en seguridad de la informacion

4.1.6 Cooperacion entre organizaciones

4.1.7 Revision independiente de la seguridad de la informacion

1/28

4.2 Seguridad de acceso de terceros

4.2.1 Identificacion de riesgos de accesos de terceros
Combatiendo riesgos de accesos de terceros
4.2.2 Condiciones de seguridad en contratos de terceros
4.3 Outsourcing
4.3.1 Requerimientos de seguridad en contratos de Outsourcing

5 CONTROL Y CLASIFICACION DE ACTIVOS

5.1 Contabilidad de activos
5.1.1 Inventario de activos
5.2 Clasificacion de la informacion
5.2.1 Directrices de clasificacion
5.2.2 Etiquetado y manipulacion de la informacion

6. SEGURIDAD DEL PERSONAL

6.1 Seguridad antes del empleo
6.1.1 Seguridad en las responsabilidades y funciones laborales
6.1.2 Seleccin y poltica de personal

2/28

6.1.2 Seleccin y poltica de personal

6.1.3 Acuerdos de confidencialidad
6.1.4 Terminos y condiciones de empleo

6.2 Entrenamiento de usuarios

6.2.1 Educacion y entrenamiento en seguridad de la informacion

6.3 Respuesta a funcionamientos defectuosos e incidentes en seguridad de la

informacion
6.3.1 Reportando incidentes de seguridad

6.3.2 Reportando debilidades de seguridad

6.3.3 Reportando funcionamiento defectuoso del software

6.3.4 Aprendiendo de los incidentes
6.3.5 Proceso disciplinario

7 SEGURIDAD FISICA Y DEL AMBIENTE

7.1 Areas seguras
7.1.1 Perimetro de seguridad fisica

3/28

7.1.1 Perimetro de seguridad fisica

7.1.2 Controles de entrada fisica

7.1.3 Seguridad de oficinas, ambientes e instalaciones

7.1.4 Trabajando en areas seguras
7.1.5 Acceso pblico, reas de carga y descarga
7.2 Seguridad de equipos
7.2.1 Instalacin y proteccin de equipos

7.2.2 Suministro de energia

7.2.3 Seguridad en el cableado
7.2.4 Mantenimiento de equipos

7.2.5 Seguridad de equipos fuera de los locales de la organizacin

7.3 Controles generales

7.3.1 Seguridad en el rehso o eliminacin de equipos

7.3.2 Retiro de la propiedad

4/28

7.3.2 Retiro de la propiedad

8 GESTION DE LAS OPERACIONES Y LAS COMUNICACIONES

8.1 Procedimientos y responsabilidades de operacin
8.1.1 Documentacin de procedimientos operativos

8.1.2 Gestin de Cambios

8.1.3 Procedimientos de gestion de incidentes

8.1.4 Segregacin de tareas

8.1.5 Separacin de los recursos para desarrollo y para produccin

8.2 Planeamiento y aceptacion de sistemas

8.2.1 Planeamiento de la capacidad

8.2.2 Aceptacion de sistemas

8.3 Proteccion de software malicioso

8.3.1 Controles contra software malicioso

5/28

8.4 Respaldo
8.4.1 Respaldo de la informacion

8.4.2 Logs de operacin

8.4.3 Logging de fallas

8.5 Gestion de redes

8.5.1 Controles de red
8.6 Seguridad y manipulacion de medios
8.6.1 Gestion de medios removibles

8.6.2 Eliminacion de medios

8.6.3 Procedimientos de manipulacion de la informacion
8.6.4 Seguridad de documentacion de sistemas
8.7 Intercambio de informacion y software
8.7.1 Acuerdos de intercambio de informacion y software

8.7.2 Seguridad de medios en transito

6/28

8.7.2 Seguridad de medios en transito

8.7.3 Seguridad de comercio electronico

8.7.4 Seguridad de mail electronico

8.7.5 Seguridad de sistemas de ofimatica

8.7.6 Sistemas disponibles publicamente
8.7.7 Otras formas de intercambio de informacion

9 CONTROL DE ACCESO
9.1 Requisitos de negocio para el control de accesos
9.1.1 Poltica de control de accesos
9.2 Gestin de acceso de usuarios
9.2.1 Registro de usuarios
9.2.2 Gestin de privilegios

9.2.3 Gestin de contraseas de usuario

7/28

9.2.4 Revisin de los derechos de acceso de los usuarios

9.3 Responsabilidades de los usuarios
9.3.1 Uso de contraseas
9.3.2 Equipo informtico de usuario desatendido

9.3.3 Poltica de pantalla y escritorio limpio

9.4 Control de acceso a la red
9.4.1 Poltica de uso de los servicios de la red

9.4.2 Reformamiento de rutas

9.4.3 Autentificacin de usuario para conexiones externas

9.4.4 Identificacin de equipos en las redes
9.4.5 Diagnostico remoto y configuracin de proteccin de puertos
9.4.6 Segregacin en las redes

9.4.7 Control de conexin a las redes

8/28

9.4.8 Control de enrutamiento en la red

9.4.9 Seguridad en servicios de red

9.5 Control de acceso al sistema operativo

9.5.1 Identificacion automatica de terminales

9.5.2 Procedimientos de conexin de terminales

9/28

9.5.3 Identificacin y autenticacin del usuario

9.5.4 Sistema de gestin de contraseas

9.5.5 Utilizacin de las facilidades del sistema
9.5.6 Alarma de coaccion para proteccion de usuarios

9.5.7 Desconexin automtica de sesiones

9.5.8 Limitacin del tiempo de conexin
9.6 Control de acceso a las aplicaciones y la informacin
9.6.1 Restriccin de acceso a la informacin

9.6.2 Aislamiento de sistemas sensibles

9.7 Monitoreo de uso y acceso al sistema
9.7.1 Event Logging

9.7.2 Monitoreo de uso del sistema

9.7.3 Sincronizacion del reloj

10/28

9.7.3 Sincronizacion del reloj

9.8 Informtica mvil y teletrabajo

9.8.1 Informtica mvil y comunicaciones

9.8.2 Teletrabajo

10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

10.1 Requisitos de seguridad de los sistemas
10.1.1 Anlisis y especificacin de los requisitos de seguridad
10.2 Seguridad de las aplicaciones del sistema
10.2.1 Validacin de los datos de entrada
10.2.2 Control del proceso interno

10.2.3 Integridad de mensajes

10.2.4 Validacin de los datos de salida

10.3 Controles criptogrficos

11/28

10.3.1 Poltica de uso de los controles criptogrficos

10.3.2 Encriptamiento

10.3.3 Firmas digitales

10.3.4 Servicios de prueba de integridad y autenticidad
10.3.5 Gestin de claves

10.4 Seguridad de los archivos del sistema

10.4.1 Control del software en produccin
10.4.2 Proteccin de los datos de prueba del sistema
10.4.3 Control de acceso a los cdigos de programas fuente
10.5 Seguridad en los procesos de desarrollo y soporte
10.5.1 Procedimientos de control de cambios
10.5.2 Revisin tcnica de los cambios en el sistema operativo
10.5.3 Restricciones en los cambios a los paquetes de software
10.5.4 Fuga de Informacin

12/28

10.5.4 Fuga de Informacin

10.5.5 Desarrollo externo del software

11 GESTION DE CONTINUIDAD DEL NEGOCIO

11.1 Aspectos de la gestin de continuidad del negocio
11.1.1 Proceso de gestion de la continuidad del negocio
11.1.2 Continuidad del negocio y analisis del impacto

11.1.3 Redactando e implementando planes de continuidad

11.1.4 Marco de planeamiento de continuidad del negocio

11.1.5 Prueba, mantenimiento, y re-evaluacion de los planes de continuidad del

negocio

13/28

12. CUMPLIMIENTO
12.1 Cumplimiento con los requisitos legales
12.1.1 Identificacin de la legislacin aplicable

12.1.2 Derechos de propiedad intelectual (DPI)

12.1.3 Salvaguarda de los registros de la organizacin

12.1.4 Proteccin de los datos y de la privacidad de la informacin personal

12.1.5 Prevencin en el mal uso de los recursos de tratamiento de la
informacin
12.1.6 Regulacin de los controles criptogrficos
12.1.7 Recoleccion de evidencia
12.2 Revisiones de la poltica de seguridad y de la conformidad tcnica
12.2.1 Conformidad con la poltica de seguridad y los estndares

12.2.2 Comprobacin de la conformidad tcnica

12.3 Consideraciones sobre la auditoria de sistemas
12.3.1 Controles de auditoria de sistemas
12.3.2 Proteccin de las herramientas de auditoria de sistemas

14/28

CONSULTOR:
FECHA :

La Gestion y el soporte para la seguridad de la informacion debe estar claramente establecido

Ha sido desarrollado un documento de politicas de seguridad?

S ___
N ___

Ha sido publicado el documento de politicas de seguridad?

S ___
N ___

Un marco de gestion debe ser establecido para iniciar y controlar la implementacion de la seguridad de la informacion dentro de la organizacin
Existe un comit para supervisar y representar la seguridad de la informacion?

S ___
N ___

Existe un proceso para coordinar la implementacion de medidas de seguridad

de la informacion?

S ___
N ___

Las responsabilidades para el logro de los requerimientos de seguridad de la

informacion estan claramente definidos?

S ___
N ___

Existe un proceso de gestion aprobado para autorizar nuevas instalaciones IT

desde el punto de vista tecnico y del negocio?

S ___
N ___

Existe la prestacion que provee asesoramiento especializado en seguridad de la S ___

informacion?
N ___
Hay algun vinculo con personal y organizaciones externas en seguridad de la
informacion, incluyendo especialistas en el marco legal, proveedores de
servicios y telecomunicaciones?

S ___
N ___

Se han hecho revisiones periodicas de la seguridad de la informacion (por parte S ___

de terceros), para garantizar la efectividad, factibilidad y cumplimiento de las
N ___
politicas de seguridad existentes?

15/28

Las instalaciones y activos de informacion organizacionales que controlan el acceso de terceras partes deben ser mantenidos seguros
Han sido analizados los riesgos de conexiones de terceros?

S ___
N ___

Han sido identificadas medidas de seguridad especificas para combatir riesgos

de conexin de terceros?

S ___
N ___

En los contratos formales de terceros se incluyen requisitos de seguridad?

S ___
N ___

La seguridad de la informacion debe ser mantenida incluso cuando la responsabilidad por el procesamiento ha sido tercerizado a otra organizacin
Los requisitos de seguridad de la informacion han sido detallados en los
contratos con terceros?

S ___
N ___

La contabilizacion apropiada de los activos organizacionales deben ser establecidas

Han sido creados inventarios de los principales activos asociados con cada
sistema de informacion?

S ___
N ___

Deben ser usadas clasificaciones de seguridad para indicar la necesidad de, las prioridades para, seguridad de los activos de informacion.
Han sido creadas las guias para indicar la necesidad de, las prioridades para, la S ___
seguridad de la informacion?
N ___
Ha sido implementado un proceso para etiquetar informacion que requiere
proteccion de seguridad?

S ___
N ___

La seguridad debe ser incluida en la etapa de reclutamiento, incluidos los contratos y descripciones de las funciones, y el monitoreo correspondiente
durante el empleo de un individuo
Se incluyen las responsabilidades de seguridad en las descripciones de las
S ___
funciones de los empleados?
N ___
La seleccin de personal, requiere acceso a informacion sensible?

S ___

16/28

La seleccin de personal, requiere acceso a informacion sensible?

N ___
Se requieren acuerdos de no-divulgacion?

S ___
N ___

Los terminos y condiciones de empleo, incluyen las responsabilidades del

empleado en seguridad de la informacion, incluyendo la duracion y
consecuencias de fallos en este sentido?

S ___
N ___

Los usuarios deben ser entrenados en procedimientos de seguridad y el correcto uso de las instalaciones TI
Antes que tengan acceso a las instalaciones TI, los usuarios son entrenados en S ___
politicas y procedimientos de seguridad de la informacion, requisitos de
N ___
seguridad, controles del negocio y uso correcto de las instalaciones TI?
Los incidentes que afectan la seguridad deben ser reportados a traves de canales de gestion tan rapido como sea posible.
Existen procedimientos formales de respuesta y reporte de incidentes para
identificar acciones a ejecutar al recibir dichos reportes?

S ___
N ___

Se le pide a los usuarios anotar y reportar todas las debilidades o amenazas

observadas (o de las que se sospecha) en los sistemas o servicios?

S ___
N ___

Se le pide a los usuarios anotar o reportar el soporte TI o software que no

funciona correctamente?

S ___
N ___

Existen los mecanismos para monitorear los tipos, volumenes y costos de

incidentes y funcionamiento indebido?

S ___
N ___

Existe un procedimiento disciplinario formal para tratar con empleados que

violan politicas y procedimientos de seguridad?

S ___
N ___

Las instalaciones TI que soportan actividades del negocio criticas o sensibles estan en areas seguras
Existe proteccion de seguridad fisica, basada en parametros definidos a traves
de barreras localizadas estrategicamente en la organizacion?

S ___

17/28

Existe proteccion de seguridad fisica, basada en parametros definidos a traves

de barreras localizadas estrategicamente en la organizacion?

N ___

Se aplican controles de entradas a areas seguras para garantizar que solo

personal autorizado puede obtener acceso?

S ___
N ___

Es la seguridad fisica para los centros de datos y salas de computadoras

proporcional a las amenazas?

S ___
N ___

Son usados controles adicionales para personal o terceros trabajando en areas S ___
seguras?
N ___
Se aislan los cuartos de computadoras o centros de datos o areas de carga para S ___
prevenir acceso no autorizado?
N ___
Los equipos deben estar fisicamente protegidos de las amenzas de seguridad y del medio ambiente
Estan localizados adecuadamente los equipos para reducir riesgos de
amenazas ambientales y accesos no autorizados?

S ___
N ___

El equipo electronico esta protegido contra fallas de suministro y otras

anomalias electricas?

S ___
N ___

El cableado del suministro y de las telecomunicaciones est protegido de

interceptacion o dao?

S ___
N ___

Existen procedimientos para mantener correctamente el equipamiento TI, para

garantizar su continuidad, disponibilidad e integridad?

S ___
N ___

Los equipos usados fuera de los locales de la organizacin, estan provistos del
mismo grado de proteccion que aquellos que son usados dentro de la
organizacion?

S ___
N ___

La informacion y las instalaciones para su procesamiento deben estar protegidas para evitar su divulgacion, modificacion, por personal no autorizado.
Ademas, deben establecerse controles para minimizar su prdida o dao.
Existen politicas claras de pantalla y escritorio "limpio" de material sensible para S ___
reducir riesgos de acceso no autorizado, perdida o dao, fuera de las horas
N ___
normales de trabajo?
Es requerido personal para tener documentada la autorizacion para disponer de S ___
equipos, datos o software fuera de los locales de la organizacion?

18/28

Es requerido personal para tener documentada la autorizacion para disponer de

equipos, datos o software fuera de los locales de la organizacion?
N ___

Deben existir responsabilidades y procedimientos para la gestion y operacin de todas las computadoras y redes
Los procedimientos operacionales estan claramente documentados para todos
los sistemas, para asegurar su operacin correcta y segura?

S ___
N ___

Existe un proceso para controlar los cambios en instalaciones y sistemas TI para S ___
garantizar el control satisfactorio de todos los cambios al equipamiento, software N ___
o los procedimientos?
Los procedimientos y responsabilidades de gestion de incidentes estan en
S ___
lugares que aseguren una rapida, efectiva respuesta a incidentes de seguridad? N ___
Son las zonas sensibles mantenidas responsablemente aisladas para reducir
oportunidades de modificacion no autorizada o maluso de datos o servicios?

S ___
N ___

Las zonas de desarrollo o instalaciones operacionales son segregadas para

S ___
reducir los riesgos de cambios accidentales o accesos no autorizados a software
N ___
operacional y datos del negocio?
El planeamiento y la preparacion avanzada puede asegurar la disponibilidad de recursos y capacidades adecuadas
Los requisitos de capacidad actuales y futuros son monitoreados y proyectados S ___
para reducir el riesgo de sobrecarga de sistemas?
N ___
Los criterios de aceptacion para nuevos sistemas han sido establecidos, y han
sido apropiadamente probados previamente a su aceptacion?

S ___
N ___

Aplicar precauciones para prevenir y detectar la introduccion de software malicioso puede salvaguardar la integridad de software y datos.
Han sido implementados procedimientos de concientizacion de usuarios y
medidas de prevencion y deteccion de virus?

S ___
N ___

19/28

Deben existir procedimientos rutinarios para hacer backups de datos, registro de eventos y fallas, y donde sea apropiado monitorear el ambiente de los
equipos.
Existe un procedimiento para hacer copias de seguridad regularmente de los
S ___
datos del negocio esenciales y del software para asegurar que estos puedan ser
N ___
recuperados luego de un desastre o falla de medios o equipos?
Se mantienen logs de todo el trabajo realizado?

S ___
N ___

Existen procedimientos para logging de fallas reportadas por usuarios con

respecto a problemas con computadores o sistemas de comunicaciones?

S ___
N ___

La seguridad de la red de computadoras dentro de fronteras de la organizacion deben ser gestionada para salvaguardar la informacion y proteger la
infraestructura soportada
Controles apropiados en redes y la proteccion de servicios los aseguran de
S ___
accesos no autorizados?
N ___
Los medios de computadoras deben ser controlados y fisicamente protegidos para prevenir dao a activos e interrupciones a actividades del negocio
Existen procedimientos para la gestion de medios de computadora removibles
tales como tapes, discos, cassettes y reportes impresos?

S ___
N ___

Existe un proceso dispuesto para asegurar y salvaguardar medios de

computadora cuando no son requeridos?

S ___
N ___

Existen procedimientos para manejar datos sensibles y su proteccion de su

maluso o divulgacion no autorizada?

S ___
N ___

La documentacion de sistemas esta protegida de acceso no autorizado?

S ___
N ___

Los intercambios de datos y software entre organizaciones o sedes deben ser controlados para prevenir perdidas, modificacion o mal uso de los datos.
Existen acuerdos formales, incluyendo acuerdos de garantia del software
cuando sea apropiado, para intercambio de datos y software (electronica o
manualmente) entre organizaciones o sedes?

S ___

Se aplican controles para salvaguardar los medios de computadora siendo

transportados entre sedes o lugares para minimizar su vulnerabilidad a acceso
no autorizado, mal uso, o corrupcion durante el transporte?

S ___

N ___

20/28

Se aplican controles para salvaguardar los medios de computadora siendo

transportados entre sedes o lugares para minimizar su vulnerabilidad a acceso
no autorizado, mal uso, o corrupcion durante el transporte?

N ___

Se aplican controles de seguridad donde sea necesario para proteger comercio S ___
electronico (intercambio electronico de datos, correo electronico, y transacciones
en linea a traves de una red publica tal como el internet) contra intercepcion o
modificacion no autorizada?
N ___
Se aplican controles donde sea necesario para reducir los riesgos de seguridad S ___
asociados con correo electronico incluyendo interceptacion, modificacion y
N ___
errores?
Existen politicas y guias claras para controlar los riesgos de seguridad asociados S ___
con los sistemas ofimatica?
N ___
Hay un procedimiento de autorizacion formal antes que la informacion est
disponible publicamente?

S ___
N ___

Existen procedimientos y controles para proteger el intercambio de informacion

a traves de uso de voz, fax e instalaciones de comunicacion por video?

S ___
N ___

Politicas para diseminacion de informacion deben controlar el acceso a servicios de computo y datos con base en los requisitos del negocio.
Existen los requisitos del negocio para controlar el acceso?

S ___
N ___

Se necesitan procedimientos formales para controlar la asignacion de derechos de acceso a los servicios TI
Hay un registro formal de usuario y procedimientos de cancelacion de registro
para accesar todos los servicios TI?

S ___
N ___

Hay restricciones y controles respecto al uso de alguna caracteristica o

S ___
instalacion de un sistema multiusuario que permita a un usuario anular controles N ___
de aplicacion o sistema?
Existe algun proceso formal de gestion de contraseas para controlar las
mismas?

S ___
N ___

21/28

Existe un proceso formal para periodicamente revisar los derechos de acceso de S ___
los usuarios?
N ___
Los usuarios deben conocer sus responsabilidades para mantener controles de acceso efectivos, particularmente con respecto al uso de contraseas y
seguridad del equipo del usuario.
Los usuarios han sido entrenados en buenas practicas de seguridad en la
S ___
seleccion y uso de contraseas?
N ___
Estan todos los usuarios y contratistas conscientes de los requisitos y
procedimientos de seguridad para proteger equipos desatendidos?

S ___
N ___

Estan todos los usuarios y contratistas conscientes de su responsabilidad para

implementar tal proteccion?

S ___
N ___

Las conexiones a servicios de red deben ser controladas para garantizar que los usuarios conectados o los servicios de computo no comprometen la
seguridad de algun otro servicio de red
Existe un proceso para asegurar que la red y los servicios de computo que
S ___
pueden ser accesados por un usuario o desde un terminal especifico son
N ___
consistentes con la politica de control de acceso del negocio?
Han sido incorporados los controles que restringen la ruta entre un terminal de
usuario y los servicios de computo que su usuario est autorizado a accesar?

S ___
N ___

Se autentican las conexiones remotas de usuarios para prevenir acceso no

autorizado a las aplicaciones del negocio?

S ___
N ___

Los sistemas remotos son autenticados para prevenir acceso no autorizado a

las aplicaciones del negocio?

S ___
N ___

Existe un proceso para controlar acceso a los puertos designados para

administracion remota?

S ___
N ___

La red esta segmentada into dominios separados para mitigar el riesgo de

acceso no autorizado a sistemas que corren en red?

S ___
N ___

Se han incorporado controles para restringir la capacidad de conexion de los

S ___
usuarios, en respaldo a los requisitos de politicas de acceso de las aplicaciones
N ___
del negocio que se extienden mas alla de las fronteras de la organizacion?

22/28

Existen controles para redes compartidas mas alla de las fronteras de la

S ___
organizacion para asegurar que las conexiones y flujos de informacion cumplan
N ___
con las politicas de acceso a las unidades de negocio?
Se ha comunicado claramente los atributos de seguridad de los servicios de red S ___
para establecer las implicancias de confidencialidad, integridad y disponibilidad
N ___
de las aplicaciones del negocio?
El acceso a las computadoras debe estar estrictamente limitado a traves del uso de:
Identificacion automatica del terminal

S ___
N ___

Procedimientos de acceso en el terminal

S ___
N ___

Id de usuario

S ___
N ___

Gestion de contraseas

S ___
N ___

Alarma de intrusion

S ___
N ___

timeout de terminal

S ___
N ___

Tiempo de conexin limitada

S ___
N ___

La identificacion automatica de terminal es empleada para autenticar

conexiones a locaciones especificas?

S ___
N ___

Los procedimientos han sido diseados para que el login en un sistema

minimize la oportunidad de acceso no autorizado?

S ___
N ___

23/28

Todos los usuarios tienen un identificador unico para su uso personal, para
asegurar que sus actividades puedan ser rastreadas oportunamente?

S ___
N ___

Un efectiva gestion de contraseas es empleada para autenticar usuarios?

S ___
N ___

Se controla estrictamente el uso de programas utilitarios para evitar que las

aplicaciones puedan ser manipuladas?

S ___
N ___

Con base en la evaluacion de riesgos, existe una alarma de intrusion?

S ___
N ___

Existen responsabilidades para responder a alarmas de intrusion?

S ___
N ___

Los terminales de "alto riesgo" tienen activado el timeout para prevenir acceso
de personas no autorizadas?

S ___
N ___

Existe un periodo de tiempo delimitado durante el cual los terminales pueden

estar conectados a aplicaciones criticas?

S ___
N ___

Deben estipularse controles de acceso logico para proteger aplicaciones y datos de accesos no autorizados.
El accesso a aplicaciones y funciones est restringido de acuerdo con las
politicas de acceso y, con base en requisitos individuales?

S ___
N ___

De acuerdo a los riesgos identificados, las aplicaciones operan en un ambiente

de procesamiento aislado?

S ___
N ___

Los sistemas deben ser monitoreados para asegurar su conformidad con estandares y politicas de acceso, para detectar actividades no autorizadas, y
para determinar la efectividad de las medidas de seguridad adoptadas.
Existen huellas de auditoria que registren excepciones y otros eventos de
S ___
seguridad relevantes, producidos y mantenidos para asistir a investigaciones
N ___
futuras y monitorear el control de accesos?
Existen procedimientos para monitorear el uso de sistemas para asegurar que
los usuarios solo ejecutan procesos para los que han sido explicitamente
autorizados?

S ___
N ___

Para asegurar la precision de logs de auditoria, el reloj de las computadoras o

de los dispositivos de comunicaciones han sido sincronizados?

S ___

24/28

Para asegurar la precision de logs de auditoria, el reloj de las computadoras o

de los dispositivos de comunicaciones han sido sincronizados?

N ___

Cuando se usa informatica movil y teletrabajo, la organizacion debe examinar los riesgos y aplicar la proteccion apropiada.
Existen las politicas para direccionar los riesgos de trabajar con informatica
movil, incluyendo los requisitos de proteccion fisica, controles de acceso,
tecnicas de criptografia, respaldos y proteccion contra virus?

S ___

Existen politicas y procedimientos para control del teletrabajo, que abarquen

instalaciones existentes, el ambiente de teletrabajo propuesto, requisitos de
seguridad de comunicaciones, y los riesgos de acceso no autorizados a los
equipos de la red?

S ___

N ___

N ___

Para garantizar que la seguridad sea parte de los sistemas TI, los requisitos de seguridad deben ser identificados, justificados, acordados, y
documentados como parte de la definicion de requisitos de todos los proyecto TI desarrollados.
El analisis de los requisitos de seguridad es parte del analisis de requisitos de
S ___
un proyecto de desarrollo?
N ___
Los controles de seguridad que conforman los estandares comunmente aceptados en la industria TI deben ser diseados dentro de las aplicaciones
para prevenir perdida, modificacion, o mal uso de los datos de usuario.
Los datos de entrada en las aplicaciones son validados para asegurar que son S ___
correctos y apropiados?
N ___
Los chequeos de validacion han sido incorporados en los sistemas para detectar S ___
corrupcion causadas por errores de procesamientos o a traves de actos
N ___
deliberados?
Se han considerado mensajes de autenticacion para aplicaciones que implican
transmision de datos sensibles o criticos?

S ___
N ___

Se validan los datos de salida de las aplicaciones para asegurar que son
correctos y apropiados?

S ___
N ___

Para proteger la confidencialidad, autenticidad o integridad de la informacion, deben ser usadas tecnicas y sistemas criptograficos para la proteccion
completa de la informacion "riesgosa".

25/28

Existe una politica de desarrollo sobre el uso de controles criptograficos,

incluyendo gestion de claves de encriptamiento, y su implementacion efectiva?

S ___
N ___

Se usa encriptacion de datos para proteger los datos altamente sensibles

durante la transmision o el almacenamiento?

S ___
N ___

Se usan firmas digitales para proteger la autenticidad e integridad de los

documentos electronicos?

S ___
N ___

Existen servicios de prueba de integridad y autenticidad para los sistemas que

usan encriptamiento y firmas digitales?

S ___
N ___

Existe un sistema de gestion para que la organizacion soporte el uso de tecnicas S ___
criptograficas, incluyendo las tecnicas de clave secreta y las de clave publica?
N ___
Para asegurar que los proyectos TI y las actividades de soporte son conducidas de una manera segura, la responsabilidad del control de acceso a
archivos de aplicaciones debe ser asignada y llevada por el usuario propietario de la funcion o grupo de desarrollo.
Se ejerce control sobre la implementacion de software en sistemas
S ___
operacionales?
N ___
Los sistemas para pruebas estan protegidos y controlados?

S ___
N ___

Para reducir la corrupcion de programas, se controla el acceso a los programas S ___

fuente?
N ___
Los ambientes de soporte y proyectos deben estar estrictamente controlados para mantener la seguridad de los sistemas de software y los datos.
Existen procedimientos formales de control de cambios?

S ___
N ___

Se revisan los sistemas cuando ocurren cambios en el sistema operativo?

S ___
N ___

Se controla los cambios en los paquetes de software?

S ___
N ___

Para evitar codigos troyanos, en la organizacion:

S ___

Se adquieren o bajan programas de fuentes respetables?

S ___
N ___

26/28

Se adquieren o bajan codigos fuentes verificables?

S ___
N ___

Se usan solo productos evaluados?

S ___
N ___

Se inspecciona todo el codigo fuente antes de su uso operacional?

S ___
N ___

Se controla el acceso a, y la modificacion de, codigo instalado?

S ___
N ___

Se usa personal de confianza para trabajar en sistemas clave?

S ___
N ___

Cuando el desarrollo de software es tercerizado, se considera la propiedad

intelectual y la prueba de pre-instalacion?

S ___
N ___

Los planes de continuidad del negocio deben estar disponibles para contrarrestar las interrupciones de las actividades de la organizacion.
Existen un proceso de gestion del mantenimiento/desarrollo de los planes de
continuidad del negocio en la organizacion?

S ___
N ___

Existe una estrategia para deteminar el proceso de continuidad del negocio

global y aprobado por la plana gerencial?

S ___
N ___

El proceso de planeamiento de continuidad del negocio identifica y acuerda

todas las responsabilidades y procedimientos de emergencia?

S ___
N ___

Existe un marco metodologico para el plan de continuidad del negocio que

garantize que todos los niveles del plan son consistentes?

S ___
N ___

Se pruebas regularmente los planes de continuidad del negocio para garantizar S ___
su efectividad y aplicabilidad?
N ___

27/28

Todos los requisitos relevantes para cada sistema TI debe ser identificado y documentado
Todas las regulaciones legales pertinentes y requisitos contractuales son
definidas y documentadas explicitamente para cada sistema de informacion?

S ___
N ___

Hay cumplimiento de las restricciones legales respecto a la propiedad intelectual S ___

para garantizar la propiedad del software desarrollado por la organizacion,
N ___
licenciado o provisto por el equipo de desarrollo?
Los registros importantes de la organizacion son mantenidos de forma segura
para cumplir los estatutos y para soportar las actividades del negocio?

S ___
N ___

Los sistemas que procesan datos personales o individuales cumplen con la

legislacion de proteccion de datos?

S ___
N ___

Las instalaciones TI son usadas solo para propositos del negocio?

S ___
N ___

Se ha usado asesoria legal en la organizacion para el cumplimiento de leyes

nacionales o internacionales sobre controles criptograficos?

S ___
N ___

Se considera el marco legal para evidenciar las faltas o incumplimiento de las

personas en el area?

S ___
N ___

Para asegurar el cumplimiento de los sistemas TI con las politicas y estandares de seguridad, deben ejecutarse regularmente , revisiones de
cumplimiento.
Se considera todas las areas dentro de la organizacion para la revision regular y S ___
asegurar de esta manera el cumplimiento de las politicas y estandares de
N ___
seguridad?
Las instalaciones TI son regularmente checkadas para el cumplimiento de los
estandares de implementacion?

S ___
N ___

Deben haber controles en sistemas operacionales y herramientas de auditoria para minimizar la interferencia y proteger la integridad y prevenir el mal
uso de herramientas de auditoria.
Se planean cuidadosamente las auditorias y checkeos en sistemas
S ___
operacionales?
N ___
Se controla el acceso a las herramientas de auditoria de sistemas?

S ___
N ___

28/28