Cuestionario de Seguridad

					Cuestionario de Seguridad de Información                                                     GCP Global
Empresa:
Fecha:

Participantes de la Verificación
Nombre                                                     Puesto




Políticas de Seguridad
Control                                                                                 Si   No   NA
¿Existe un Estrategia de Seguridad definida a Nivel Corporativo?
¿Existen documentos formales de las Políticas de Seguridad de información?
¿Existe una entidad que sea al última instancia en la interpretación de políticas de
seguridad?
¿Existe un mecanismo definido para la publicación de políticas?
   ¿Está documentado formalmente?
¿Existe un procedimiento para la actualización de políticas?
   ¿Está documentado formalmente?
¿Existen políticas que regulen:
      Internet
      Correo Electrónico
      Generación y uso de contraseñas
      Manejo de desperdicios sensibles
      Controles de Acceso
      Comunicación con socios de negocio
      Administración de conocimiento
      Redes y Telecomunicaciones
      Estaciones de Trabajo, laptops, hand-helds
      Servidores
      Respaldo y Archivado
      Seguridad Física
      Manejo y Control de Incidentes
¿Esta documentado el proceso de implementación de las políticas de seguridad?
¿Cuál es la frecuencia con la que se revisan las políticas de seguridad?



Organización
Control                                                                                 Si   No   NA
¿Existe una persona o entidad encargada de la seguridad de información?
    ¿Están Formalmente establecidas sus funciones y responsabilidades?
    ¿Están documentadas formalmente?
¿De quién depende en el organigrama?
¿Que tipo de entrenamiento y capacitación recibe el responsable de la seguridad de
información?
¿Existe asesoría y/o colaboración con terceros que sean especialistas en seguridad de
información con el fin de incrementar el nivel técnico del responsable de seguridad?
¿Existe un comité de seguridad de información?
    ¿Cuales son sus funciones y responsabilidades?
    ¿Están documentadas formalmente?


                                                   Pág 1 de 6
Cuestionario de Seguridad de Información                                                             GCP Global

¿A quién se le notifica en caso de detectar una violación a la seguridad (virus, detección de
intrusos, codigo malicioso, etc.)?



Usuarios
Control                                                                                         Si   No   NA
¿Existen actividades permanentes orientadas a fomentar una cultura de seguridad en la
organización?
    ¿Cuales?
¿Se proporciona un entrenamiento formal a los empleados de nuevo ingreso en las
aplicaciones que usarán en el desempeño de sus actividades?
¿Se proporciona un entrenamiento formal a los empleados que cambian de funciones o
departamento en las aplicaciones que usarán en el desempeño de sus actividades?
En la implementación de nuevos sistemas o software ¿siempre se lleva a cabo un
entrenamiento formal a los usuarios del mismo?
¿Como se asegura que los empleados conocen como seguir los procedimientos de
seguridad de información?



BCP (Business Continuity Planning)
Control                                                                                         Si   No   NA
¿Existe un BCP definido para la organización?
¿Existen personas definidas como responsables de la Administración, Pruebas y
Mantenimiento del BCP?
¿Está documentado el proceso de creación del BCP?
¿Cada cuando se realizan pruebas del BCP?
¿Se documentan y analizan los resultados de las pruebas del BCP?
¿Existe un procedimiento para la actualizacion del BCP?
¿Cada cuando se actualiza el BCP?

¿Es conocido el BCP en toda la organización al menos es sus fases generales o por área o
departamento, de manera que todo el personal sepa que hacer en caso de necesitarlo?



Contratos de Confidencialidad
Control                                                                                         Si   No   NA

¿Se firman contratos de confidencialidad o buen uso de la información con cada empleado?
¿Existen contratos de confidencialidad especiales para empleados que tienen acceso a
información estratégica o altamente sensible para la organización?
¿Se firman contratos de confidencialidad con Proveedores o Socios de Negocio?



Auditorías
Control                                                                                         Si   No   NA
¿Se realizan auditorías de cumplimiento de políticas?
¿Se realizan auditorías sobre la seguridad física?
¿Se realizan auditorías a las pc´s de los empleados?
¿Se realizan auditorías a los logs de servidores, sistemas operativos, y dbms?

                                                   Pág 2 de 6
Cuestionario de Seguridad de Información                                                           GCP Global
¿Se realizan auditorías a los sistemas y aplicaciones?
¿Se realizan auditorías y pruebas a las herramientas de seguridad?
¿Existe una entidad responsable de realizar las auditorias internas?
¿Se realizan auditorias por externos (en cada una de las auditorias mencionadas)?+A23




Software de Seguridad
Control                                                                                       Si   No   NA
Se cuenta con software de Seguridad (como firewalls, Ids, Vpn, Access Control, etc)?
 Existe personal dedicado especificamente a la tarea de administración del software de
 seguridad?
 Se definieron objetivos de seguridad que debe cumplir el software de seguridad?
 Cual fue el proceso o metodologia usado para definir esos objetivos de seguridad?
 Se tiene definido un periodo de revisión de dichos objetivos?
     cual es la periodicidad?
     Estan formalmente definidos los responsables de dicha revisión?
 Solicitar documentos de sustento
 Referente a la configuración del Software de Seguridad

      Se actualizan las reglas como resultado de análisis de logs, auditorías y revisiones?

      Existe un procedimiento definido para verificar de manera periodica la configuración?
  Se realizan de forma periodica pruebas con el software de seguridad?
      cual es la periodicidad?
      Se documentan formalmente dichas pruebas?
  Existe una metodología para la revisión y análisis de logs?
      Describa brevemente esa metodología
      Solicitar documentos de sustento




Software de Seguridad
Control                                                                                       Si   No   NA
 Existe un procedimiento definido para el manejo de incidentes detectados por el software
 de seguridad?
     Esta documentado formalmente este procedimiento?
     Cada cuando se actualiza?
     Estan formalmente definidos los responsables de dicha actualización?
     Se mantiene un registro histórico de incidentes?
     Hay un responsable formalmente definido para administrar dicho registro?
     Solicitar documentos de sustento



Antivirus y Firewalls Personales
Control                                                                                       Si   No   NA
Existe Software de Antivirus Instalado en cada pc o workstation?

                                                   Pág 3 de 6
Cuestionario de Seguridad de Información                                                             GCP Global
    Con que frecuencia se actualiza dicho software?
     Esta documentado el procedimiento de actualización?
     Hay un responsable formalmente definido para realizar dicha actualización?
     Existe una configuración estándar de los antivirus?
     Se ha capacitado a los usuarios para saber que hacer y a quién llamar en caso de
     detección de virus?
     Esta definido formalmente un procedimiento de manejo de incidentes en el caso de
     virus?
       Se realizan periodicamente pruebas de este procedimiento?
       Cual es la periodicidad?
       Se documentan los resultados de dichas pruebas y se realizan ajustes y mejoras al
       proceso?
       Se mantiene un registro histórico de incidentes?
       Hay un responsable formalmente definido para administrar dicho registro?
       Solicitar documentos de sustento

Existen Firewalls Personales instalados?
      Se capacita a los usuarios para su manejo?
      Se ha capacitado a los usuarios para saber que hacer y a quién llamar en caso de
      alguna alarma del Firewall Personal?
      Esta definido formalmente un procedimiento de manejo de incidentes en el caso de
      alarma del Firewall Personal?
        Se documentan los resultados de dichas pruebas y se realizan ajustes y mejoras al
        proceso?
        Se mantiene un registro histórico de incidentes?
        Hay un responsable formalmente definido para administrar dicho registro?
        Solicitar documentos de sustento



Derechos de Acceso y Permisos
Control                                                                                         Si   No   NA
¿Existe un perfil de acceso a los recursos de TI, redes y aplicaciones de acuerdo a los
puestos?
¿Se definió bajo la premisa de Necesidad-de-saber y Necesidad-de-Tener?


Derechos de Acceso y Permisos
Control                                                                                         Si   No   NA
¿La información de producción se puede accesar por otros medios diferentes a los
sistemas de producción?
    ¿Qué justificación existe para este proceder?
La información que ha sido clasificada por el dueño de los datos con requerimientos de
garantizar su confidencialidad o integridad o que es particularmente sensible o de alto valor
para la organización ¿Se transmite de forma encriptada?
  ¿El usuario ha sido capacitado para utilizarlo?


Desarrollos de TI
Control                                                                                         Si   No   NA
¿Qué estándares existen para garantizar que los requeirmientos de seguridad serán
incluídos en el diseño y desarrollo de sistemas tanto internos como externos?
¿Es obligatorio seguir estos estándares?

                                                   Pág 4 de 6
Cuestionario de Seguridad de Información                                                        GCP Global

¿Se exige la completa documentación de seguridad y funciones clave en los desarrollos de
sistemas?



Operación de TI
Control                                                                                    Si   No   NA
¿Como se forza el control de versiones y cambios en todos los sistemas de producción y
aplicaciones?
¿Se tienen identificadas las tareas clave en los ambiente de producción de TI?
¿Se tienen segregadas las funciones para cumplir estas tareas?
¿Cómo se ha minimizado el riesgo de abuso de privilegios, conflicto de intereses y
actividades fraudulentas?



Operación de TI
Control                                                                                    Si   No   NA
En las procesos de negocio identificados como críticos ¿Cómo se asegura su continuidad
en caso de contingencia?
¿Con que frecuencia se realizan y prueban los procedimientos de recuperación y re-inicio
de sistemas y aplicaciones?




Monitoreo
Control                                                                                    Si   No   NA

¿Qué mecanismos formales de evaluación y pruebas de seguridad existen para verificar la
efectividad de mecanismos de seguridad diseñados en nuevos sistemas o aplicaciones?
¿Con qué frecuencia se siguen aplicando las pruebas?
¿Cuales son los eventos y actividades de seguridad que se están logeando?
¿Se analizan estos logs?
¿Con que frecuencia?
¿Qué mecanismos de analisis e investigación de incidentes se tienen?
¿Se reportan los incidentes detectados?

Uso de Instalaciones o Facilidades de TI
Control                                                                                    Si   No   NA
¿El software adquirido de terceros se obtiene siempre de fuentes confiables?
¿Se utilizan antivirus en todos los equipos de cómputo de la organización?
¿Están documentadas las prácticas seguras que deben seguir los empleados?
¿El uso de internet es solo para propósitos de negocio o de soporte de actividades de
negocio?
¿Los empleados son informados regularmente de las políticas de seguridad y estándares
existentes?
¿Reciben entrenamiento cuando es necesario?




                                                 Pág 5 de 6
Cuestionario de Seguridad de Información                                                         GCP Global
Software de Seguridad
Control                                                                                     Si   No   NA
¿Cuál es la frecuencia con que se revisan los Logs generados por el Software de
Seguridad?
¿Se cuenta con personal formalmente definido para la revision y analisis de dichos logs?
¿Se documentan los resultados encontrados?
¿Estos resultados son utilizadas para generar un comportamiento estadistico esperado?
¿Se genera algun tipo de reporte de actividades, incidentes o monitoreo?
¿Con que frecuencia se generan?
¿Quien es el resposable de revisar dichos reportes?
En caso de algun incidente en horarios fuera de oficina: ¿Existe algun procedimiento para
manejarlo?
¿Que mecanismos existen para notificar del incidente?
¿Que Areas serian notificados?
¿Existe un procedimiento generico de Computo Forense?
¿Esta documentado dicho procedimiento?
¿Existe algun periodo definido para su revision y actualizacion?




                                                 Pág 6 de 6