Modelo de un check list de seguridad informativa y sistemas aplicado al área de sistemas de una empresa.

1. RESPONSABLE : Alex Picón Berrocal
ITEM ACTIVIDADES SI NO N/A OBSERVACIÓN
1.0 SEGURIDAD FISICA
1.1 Relacionados con la Infeaestructura
Existe personal de vigilancia en la institución? X
Existen una persona responsable de la seguridad? X
Se controla el trabajo fuera de horario? X
posible fuga de información operativa de la
organización
Existe alarma para detectar fuego? X
El área de computo cuenta con equipo acondicionado? X
Existen exintores de fuego de PQS? X
1.2 Relacionados con las Instalaciones Eléctricas
Tiene la empresa contratado un electricista? X no se encontro evidencia de capacitacion
En el último año se han revisado todas las instalaciones eléctricas? X exsite cetificado de INDECI
En alguna ocasión se ha generado algún corto circuito dentro de las
instalaciones?
X
Los tomas en los que conectan los equipos están estabilizados? X
¿Los interruptores de energía están debidamente protegidos y etiquetados sin
obstaculos para alcanzarlos?
X
1.3 Relacionados al Hw.
Cada componente de su computadora y periféricos tiene la numeración
respectiva del inventario?
X
Los equipos informáticos has sido asignados a cada empleado? X no se presento evidencia
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
X adquisicion de equipos inadecuados
¿Se lleva un control de los equipos en garantía? X
Existe un programa de mantto preventivo para los equipos informático? X
se tiene para los más críticos, lo demás son
manttos correctivos
Se notifican las fallas? X
no se mostro evidencia al respecto, el area no
cuenta con historico
¿Se posee de bitácoras de fallas detectadas en los equipos? X no se conoce performance del equipo
Existen definidos tiempos de respuesta para las reparaciones? X
las reparaciones son efectuadas por
proveedores externos
1.4 Relacionados con los Dispositivos de Almacenamiento
Existe un control estricto de las copias de seguridad? X
cada departamento es responsable de la
infromación que generan
Estas copias estan almacenadas en el mismo departamento? X perdida de información operativa
Se tienen identificados los archivos con información confidencial? X es responsabilidad de cada area
¿Se cuenta con algún procedimiento de eliminación segura de unidades de
almacenamiento?
X no se ubico al responsable
¿Existen políticas sobre el uso de medios de almacenamiento? X son utilizados particularmente
¿Existen políticas para el uso de los puertos para unidades externas? X los puertos no estan regulados
2.0 SEGURIDAD LOGICA
2.1 Relacionados con los Accesos/Usuarios
¿Existe un administrador de sistemas que controle el acceso a los usuarios? X este rol recae sobre el jefe de sistemas
¿Gestiona los perfiles de los usuarios dicho administrador? X
no se encontro evidencia de los perfiles de
usuarios.
¿Se pide clave de acceso apara iniciar sesión en el equipos? X
¿Es auto cambiable la clave de acceso al sistema? X
¿Solicitan los administradores cambiar la contraseña periodicamente? X
¿Se obliga a renovar periódicamente la contraseña? X
¿Si no se renueva la contraseña, te permite el acceso restringiendo algunos
servicios?
X
¿Se bloquea la cuenta con determinado número de intentos fallidos? X
¿Existen políticas para el desbloqueo de cuentas de usuario? X se solicita directamente a sistemas
2.2 Aspectos Relacionados al Sw.
Los programas ofimáticos u otros programas utilizados en la empresa cuentan
con las licencias correspondientes?
X
Para el resguardo de los diversos discos de programas, se tiene un
archivadero adecuado?
X
son claves estáticas
CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS

2. RESPONSABLE : Alex Picón Berrocal
ITEM ACTIVIDADES SI NO N/A OBSERVACIÓN
CHECK LIST - SEGURIDAD INFORMATICA Y SISTEMAS
Hay una persona nombrada como responsable de resguardar el software
comprado por la empresa?
X
3.0 SALA DE SERVIDORES
3.1 Relacionados con la Infraestructura
El área de servidores contiene solamente equipos informáticos? X se observa equipos ajenos al area
Están separados los circuitos eléctricos de los circuitos que alimentan los
equipos?
X
linea electrica estabilizada, falta de evidencia
de las inpsecciones
Está instalada una alarma para detectar fuego (calor o humo) en forma
automática?
X
La cantidad y tipo de extintores automáticos en el área de servidores es la
adecuada?
X se ubico extintor PQS de 10 kg
El personal del área de servidores ha recibido capacitación del uso de
extintores manuales?
X no se entregó evidencia
Se verifica cada cierto tiempo que los extintores manuales estén cargados y
funcionando correctamente?
X existe tarjeta de control de extintores
Existe en el área de servidores el uso de materiales antiinflamables? X se observo muebles de melamina
4.0 SEGURIDAD EN RED WIFI
4.1 Relacionados con la Infraestructura
¿Cuentan con un inventario de los equipos existentes? X
¿El ancho de banda es acorde con las necesidades de la organización? X
¿Presenta fuentes de interferencia en la señal inalámbrica? X
¿Los puntos de acceso están apagados durante parte del día cuando no esté
en uso?
X no se tiene historio de accesos
¿Todas las contraseñas administrativas se cambian con regularidad? X
¿Se almacena de forma segura? X
¿Los Puntos de acceso se encuentran ubicados en zonas seguras, de tal
forma que se pueda evitar la sustracción por personas ajenas?
X
se observó en recepción un access point
sobre el escritorio
4.2 Relacionados con la Politica
¿Se tiene políticas de seguridad para la red inalámbrica? X no se encontró evidencia
¿Se monitorea la correcta ejecución de las políticas de seguridad? X
¿Se lleva un control del % de cumplimiento con políticas de seguridad? X
¿Se manejan prácticas y procedimientos para manejar incidentes de seguridad
inalámbrica?
X
¿Se ha implementado herramientas de monitoreo en la red inalambrica? X personal no esta capacitado
4.3 Relacionados con los Accesos/Usuarios
¿Se proporciona a los usuarios una declaración escrita de sus derechos de
acceso a la red inalámbrica?
X no se aplica
¿Todos los usuarios tienen su cuenta de usuario? X es de libre acceso
¿Todos los clientes inalámbricos tienen firewall instalado? X no se encontró evidencia
¿Existe un procedimiento formal para registrar y suprimir el acceso de usuarios
a la red inalámbrica?
X lo define el jefe del area
¿Los empleados son conscientes y reportan los eventos de seguridad
inalámbrica?
X no es conocido por los empleados
¿Se hace un seguimiento a un empleado que genera un incidente de
seguridad inalámbrica?
X no se aplica en la organización
¿Se advierte a los empleados de la responsabilidad legal que intenten
manipular las debilidades de la seguridad inalámbrica?
X no se aplica en la organización