1

2
3
4
5
6
7
8
9

10
11
12
13
14
15
16
17
18
19

20
21
22
23
24
25
26
27
28
29
30
31
32

33
34
35
36
37

38
39
40
41
42
43
44
45
46
40
43
44
45
46

47
48
49
50
51

52
53
54
55

56
57
58
59
60
61

56
57
58
59
60
61
62
63

64

65
66
67

CUESTIONARIO DE EV
PUNTO FRANC

SEGURIDAD DE LA
GESTIN DE LOS SE

Nombre del representante de la Organizacin an

Nombre del mximo

La Organizacin es SuCursal / Filial de algn grupo?

La Organizacin posee Sucursales / Filiales / Delegaciones?
La Organizacin posee algun sistema de gestin certificado?
cual?
Personal total de la Organizacin
Los principales procesos de negocio de la compaa estn soportados por Tecnologas de la Inform
La organizacin tiene necesidades especiales concernientes a seguridad de datos?

La organizacin tiene sistemas dedicados especialmente adems de los recursos mencionados a

La organizacin administra datos externos?

En donde?
La organizacin cuenta con un servicio externo (outsourcing) de procesamiento de datos?
cual?
Cmo documenta este procesamiento de datos?
Las redes de la organizacin cuentan con acceso a Internet?
El acceso a Internet esta limitado por? Cargo Usuario grupo
No esta limitado
no sabe /nore
La organizacin utiliza intranets/extranets con accesos externos?
cual?
Es posible el acceso a las redes en forma remota?
La organizacin cuenta con recursos compartidos con acceso de terceras partes?
La organizacin cuenta con desarrollo de software?
cual?
Su empresa cuenta con algn tipo de seguridad informtica?
Su empresa posee una poltica de seguridad?
Estan documentadas las politicas de seguridad de la informacion?
Existen procedimientos relativos a la S.I.?
hay un responsable de las politicas, normas y procedimientos de S.I?

Existen controles regulares para verificar la efectividad de las politicas de S.I?

Existen roles y responsabilidades definidos para las personas implicadas en el proceso?
Existen criterios de seguridad para el manejo de informacion con terceros?
Que tipo de herramientas de seguridad tiene implantado?
cual? Software Hardware Tcnica
Cuales de estas tcnicas utiliza en su empresa? Virtualizacin Criptologa Backup Discos RAID Otr
Cuales de estos software es utilizada en su empresa? Antivirus AntiSpam Antispyware Cortafuego
Han tenido algn caso de violacin de seguridad de la informacion?
cual?
Fue documentada-existen evidencias?
Posee un registro de eventos detallado?
Se realizo la coreccin a la falla?
Posee su organizacin capacitacin en seguridad informatica para los empleados, clientes y terce
Realizan acuerdos de confidencialidad de la informacion a la que se accede?
GESTION DE PERSONAL
Se tiene en cuenta la seguridad en la seleccin y baja del personal?
Se plasman las condiciones de confidencialidad y responsabilidad en los contratos?
Se imparte la formacion adecuada de seguridad y tratamiento de activos?
Se informa a los usuarios de las vulneravilidades observadas o sospechadas?
Existe un proceso disciplinario de seguridad de la informacion?

GESTION DE ACTIVOS

Existe un inventario de activos actualizado?

El inventario contiene activos de datos, software, equipos y servicios?
Existe una clasificacin de los activos informaticos segn su criticidad?
Existe una hoja guia (vida) para cada equipo de computo?
Se realiza el registro de cada actividad realizada en un equipo?
Su empresa posee un plan de contingencia?
Realiza su organizacin Backup de la informacion?
Cada cuanto realiza dicha copia de seguridad?
Se almacena alguna copia de seguridad fuera de los locales de trabajo?
Cuales de estos hardware es utilizada en su empresa? Llave USB o Hardkey Lector Biomtrico Nin
Cantidad total de equipos de escritorio
Cantidad total de equipos portatiles
Cantidad de servidores fisicos
Cantidad de servidores virtuales
GESTION DE INFRAESTRUCTURA
Tienen instaladas sistemas de alimentacin elctrica ininterrumpida?
Cuentan con una sala o cuerto de sistemas?
Existe perimetro de seguridad fisica?
Observaciones al sitio.
Qu redes posee la organizacin? ELECTRICA - VOZ - DATOS - OTRO
se tiene documentada la topologia de la red?

Existe homegeneiedad en el cableado?

Qu clase de cableado se posee?
Qu equipos de red posee?
Quien administra la red?
ACCESO Y CONTROL
Se tiene implemenrtado algun sistema de seguridad?
Cul?
Existen controles de entrada para protegerse de personal no autorizado?
Cul?
Existe area de archivo?
En dicha area existe algun control especifico?
LEGALIDAD

Identifica con claridad cuantos equipos de computo (pcs, portatiles, dispositivos moviles) tiene su
El numero de equipos equivale con exactitud al resultado que arroja el activo de su organizacin?
Conoce los esquemas de licenciamiento apropiado para cada escenario dentro de su organizacin
Diferencia claramente Software libre de Software Comercial
Maneja un inventario de Software General para los ordenadores que funcionan en su ambiente lab
Maneja un inventario de Software Independiente para los ordenadores que funcionan en su ambie

Documenta las intervenciones realizadas en los equipos de computo, describiendo trabajo realiza

Existe un proceso documentado que contemple las necesidades por parte del usuario que den luga
nuevo?

El usuario conoce de manera escrita el inventario de software que recibe con su equipo, aceptand
arquitectura original, tomando el compromiso y la responsabilidad que conllevan cambios en la car

Consta de una carpeta que consigne documentos de manera individual para cada equipo tales com
del Hardware y Software, Manifiestos de Importacion, Hoja de Vida de Equipo, Inventario de Softwa
Compromiso por parte del tenedor o usuario, Ticket de Servicio o Guia para solicitud de Instalacion

Concurre un ambiente donde sea claro para todo el personal de la organizacin, los riesgos y ben

En caso de manejar software tipo OEM, FPP, Kit de legalizacion; estos medios son almacenados de
perduren a traves del tiempo?

RELIMINAR
NG

N (SGSI)
(SGSTI)

SI

NO

OTRO

OBSERVACIONES

PROTOCOLO DE IDENTIFICACION RIESGOS SEGU

MODELO - LISTA DE CHEQUEO

ORGANIZACIN

POLTICAS DE SEGURIDAD

Respuesta

SI, NO, N/A

Su empresa cuenta con algn tipo de seguridad informtica?

Su empresa posee una poltica de seguridad?
Se ha emitido informacin de las polticas de seguridad a todo el
personal de empleados, incluyendo contratistas?
Todo el personal formalmente reconoce el cumplimiento de la
informacin de las polticas de seguridad?
Cmo y cundo se realizan auditoras internas para medir la
conformidad de informacin de las polticas de seguridad?
Tiene una poltica que prohiba el inicio de sesin genrico y sigue esta
poltica?
Su negocio ha emitido un E-mail de las polticas de uso?
Su negocio ha emitido una poltica para internet?
Hay una poltica de escritorio limpio?

ENFOQUE DE SEGURIDAD DE LOS EMPLEADOS

SENSIBILIZACIN Y FORMACIN

Tiene personal especializado en seguridad informtica?

Ha implementado un programa de formacin formal o en curso de

entrenamiento en seguridad
Ha implementado un proceso de medida de la efectividad de la
formacin en seguridad?
Ha notificado a los empleados que informacin de los clientes sensible
no se puede cargar en PCs personales?

Respuesta

SI, NO, N/A

Hay un proceso de notificacin a los administradores del sistema

cuando un trabajador deja la empresa?
Se utilizan controles de acceso y salida en sus instalaciones?

GESTIN DE CAMBIOS

GESTIN DE CAMBIOS

Respuesta

SI, NO, N/A

Ha documentado los procesos de control de cambios para gestionar

todas las modificaciones al entorno de desarrollo (SW, HW, IT)
Es realizado el control de cambios de forma regular?
Hay un proceso documentado para realizar cambios de emergencia
fuera del proceso de control de cambios?

SEGURIDAD EN LA RED

ROUTER / FIREWALL

Respuesta

SI, NO, N/A

Mantiene un diagrama actualizado de la red y quien es el propietario y

realiza el mantenimiento del mismo?
Tiene, al menos, firewalls desplegados en todas las conexiones
externas? (pej. Internet). Que clase de firewall utiliza. Si no, liste el
tipo de mecanismo de seguridad utilizado.
Hay un proceso implementado para asegurar que los routers y/o
firewalls tengan la ltima versin de software y que estos actualicen
los parches de manera regular con las ltimas actualizaciones del
respectivo proveedor?

APLICACIONES DE SEGURIDAD

Respuesta

SEGURIDAD EN DESARROLLO DE APLICACIONES

SI, NO, N/A

Se realizan backups de los datos crticos con regularidad?

Tienen todos los datos crticos del negocio un dueo?

SEGURIDAD DEL SISTEMA

Respuesta

VULNERABILIDAD SERVIDORES Y HARDENING

SI, NO, N/A

Tiene un proceso para identificar vulnerabilidad de redes, aplicaciones

y SO
Requiere logearse para iniciar sesin?

LEGALIDAD

SENSIBILIZACIN LEY 603 DE 2000

Identifica con claridad cuantos equipos de computo (pcs, portatiles,

dispositivos moviles) tiene su organizacin?
El numero de equipos equivale con exactitud al resultado que arroja
el activo de su organizacin?
Conoce los esquemas de licenciamiento apropiado para cada
escenario dentro de su organizacin?
Diferencia claramente Software libre de Software Comercial
Maneja un inventario de Software General para los ordenadores que
funcionan en su ambiente laboral
Maneja un inventario de Software Independiente para los
ordenadores que funcionan en su ambiente laboral
Documenta las intervenciones realizadas en los equipos de computo,
describiendo trabajo realizado y persona responsable?
Existe un proceso documentado que contemple las necesidades por
parte del usuario que den lugar a instalaciones de software nuevo?
El usuario conoce de manera escrita el inventario de software que
recibe con su equipo, aceptando la obligacion de mantener su
arquitectura original, tomando el compromiso y la responsabilidad que
conllevan cambios en la carta de aceptacion del mismo?

Consta de una carpeta que consigne documentos de manera

individual para cada equipo tales como: Copia Factura Compraventa
del Hardware y Software, Manifiestos de Importacion, Hoja de Vida de
Equipo, Inventario de Software, Carta de Aceptacion y Compromiso
por parte del tenedor o usuario, Ticket de Servicio o Guia para
solicitud de Instalaciones Posteriores por parte del IT.

Respuesta

SI, NO, N/A

Concurre un ambiente donde sea claro para todo el personal de la

organizacin, los riesgos y beneficios de ser legal?
En caso de manejar software tipo OEM, FPP, Kit de legalizacion; estos
medios son almacenados de manera correcta, para que perduren a
traves del tiempo?

N RIESGOS SEGURIDAD
E CHEQUEO

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

Tabla de Riesgos

Calculado

Tabla de Riesgos

Calculado

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

"SI", Detalles

Severidad

Tabla de Riesgos

Calculado

Tabla de Riesgos

Calculado

Tabla de Riesgos

Calculado

Tabla de Riesgos

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

"SI", Detalles

Severidad

Planeado
/Iniciando
/Parcialmente Alta, Media,
completado /
Baja
Completamente
Implementado

Calculado

Tabla de Riesgos

Calculado