Professional Documents
Culture Documents
Cuestionario ISO 17799 General
Cuestionario ISO 17799 General
5. POLÍTICA DE SEGURIDAD
5.1.1. Documento de la política de seguridad de la información
Pregunta 3: ¿Existe un apoyo activo por parte de la gerencia para con la seguridad dentro de la
organización?
Pregunta 6: ¿Existe un control necesario ante las vulnerabilidades que se puedan presentar por el
uso de facilidades para el procesamiento de información? ¿Estas facilidades se encuentran
autorizadas por el gerente?
Pregunta 8: ¿Existe un contacto apropiado con autoridades relevantes a la hora de reportar los
incidentes de seguridad de la información? ¿Estos incidentes son identificados de manera
oportuna?
Pregunta 11: ¿Se realiza alguna evaluación de riesgo cuando un grupo externo tiene acceso a los
medios de procesamiento de la información de la empresa? ¿Existe algún contrato de por medio
que avale estos procedimientos?
Pregunta 12: ¿Se consideran todos los términos y requerimientos de seguridad (protección de
activos, política de control de acceso, etc.) antes de proporcionar a los clientes acceso a cualquier
activo de la empresa?
Pregunta 13: ¿Los acuerdos o contratos con terceros abarcan todos los requerimientos de
seguridad relevantes para la empresa?
7. GESTIÓN DE ACTIVOS
7.1.1. Inventario de los activos
Pregunta 14: ¿Se han identificado y documentado todos los activos de la empresa, además de las
propiedades y niveles de protección?
Pregunta 15: ¿La información y los activos asociados con los medios de procesamiento de
información se encuentran designados como propiedad a una parte de la organización?
Pregunta 16: ¿Se encuentran documentadas e implementadas reglas para un mejor uso de
activos asociados al procesamiento de la información? ¿Se siguen conscientemente estas reglas?
Pregunta 17: ¿Se tienen en cuenta las necesidades comerciales y los impactos de estos a la hora
de clasificar la información? ¿Se encuentra correctamente clasificada dicha información?
Pregunta 19: ¿Se encuentran bien definidos y documentados los roles y responsabilidades de la
seguridad de los empleados, contratistas y terceros? ¿Estos se alinean a la política de seguridad
de la información de la organización?
Pregunta 20: ¿Existe un chequeo de verificación de antecedentes de todos los candidatos durante
el proceso de pre-empleo? ¿Estos chequeos son manejados en concordancia con cualquier
legislación apropiada existente en la jurisdicción relevante?
Pregunta 21: ¿Los términos y condiciones del contrato de trabajo establecen las
responsabilidades, tanto de los usuarios, contratistas y terceros, así como también de la
organización para la seguridad de la información?
Pregunta 22: ¿La gerencia informa apropiadamente a los empleados sobre sus roles y
responsabilidades de seguridad antes de otorgarle acceso a información confidencial o a los
sistemas de información?
Pregunta 23: ¿Existe una constante capacitación a todos los empleados de la organización en los
temas de seguridad, políticas y procedimientos organizaciones relevantes para su función laboral?
Pregunta 24: ¿Existe algún proceso disciplinario para los empleados que han cometido un
incumplimiento de seguridad?
Pregunta 25: ¿Se han definido y asignado claramente las responsabilidades en el momento de
realizar la terminación o el cambio de empleo? ¿Se informa a los usuarios empleados, contratistas
o terceras personas de los cambios en el personal y los acuerdos de operación?
Pregunta 26: ¿Se formaliza el proceso de terminación del empleo para la devolución de todos los
activos organizacionales pertenecientes a la empresa?
Pregunta 28: ¿Actualmente la empresa cuenta con perímetros de seguridad con la finalidad de
proteger las áreas que contienen información y medios de procesamiento de información
relevantes?
Pregunta 29: ¿Existen controles de ingreso apropiados en las áreas seguras que permitan el
acceso a personal autorizado?
Pregunta 30: ¿Se han diseñado o existen medidas de seguridad para la protección física de las
oficinas, habitaciones y medios de la empresa? ¿Se tienen en cuenta los estándares y
regulaciones de sanidad y seguridad relevantes?
Pregunta 31: ¿Actualmente existen medidas de protección física contra desastres naturales o
aquellos causados por el hombre (teniendo en cuenta entidades externas)?
Pregunta 32: ¿Se han diseñado o existen medidas de seguridad que permitan trabajar en áreas
aseguradas?
Pregunta 33: ¿Existe un control en los puntos de acceso en la que es posible que personas no-
autorizadas puedan ingresar al local?
Pregunta 34: ¿Se encuentran bien ubicados y protegidos los equipos relevantes de la empresa?
Pregunta 35: ¿Existen medidas de protección ante fallas de energía y otras interrupciones
causadas por fallas de los servicios públicos de soporte?
Pregunta 36: ¿Se encuentran debidamente protegidos y ubicados los cableados de energía y
telecomunicaciones?
9.2.4. Mantenimiento de equipo
Pregunta 37: ¿Existe un constante mantenimiento preventivo y correctivo de los equipos ante
fallas sospechadas o reales?
Pregunta 38: ¿Existen medidas de seguridad cuando se trabaja con un equipo fuera del local de la
organización?
Pregunta 39: ¿Existe algún control sobre la seguridad de la eliminación o re-uso de equipos que
contengan información confidencial y relevante para la empresa?
Pregunta 40: ¿Se realizan chequeos o controles inesperados para detectar el retiro de alguna
información o propiedad sin la autorización correspondiente?
Pregunta 42: ¿Se han establecidos responsabilidades y procedimiento gerenciales para el control
de todos los cambios en el equipo, software o procedimientos? ¿Actualmente existe un registro de
auditoría?
Pregunta 43: ¿Actualmente existe en la empresa algún método de segregación de deberes que
permita reducir el riesgo de un mal uso accidental o deliberado de la información?
Pregunta 44: ¿Existe un adecuado nivel de separación entre los ambientes de desarrollo, prueba y
operación?
Pregunta 46: ¿Actualmente se revisan, monitorean y se auditan los servicios, reportes y registros
provistos por terceros?
10.2.3. Manejo de cambios en los servicios de terceros
Pregunta 47: ¿Se tiene en cuenta el grado crítico de los sistemas y procesos de negocio en el
momento del manejo de cambios en la provisión de servicios?
Pregunta 48: ¿Se realizan proyecciones de los requerimientos de capacidad futura tomando en
cuenta los requerimientos de los negocios, sistemas nuevos y tendencias actuales y proyectadas?
Pregunta 49: ¿La aceptación de los nuevos sistemas de información incluye un proceso de
certificación y acreditación formal? ¿Se llevan a cabo pruebas antes de su aceptación?
Pregunta 50: ¿Existe un adecuado control de detección, prevención y recuperación contra códigos
malicioso?
Pregunta 51: ¿Existen medidas de seguridad en caso el código móvil realice acciones no-
autorizadas?
Pregunta 53: ¿Existe un adecuado control y manejo de las redes, que garantice la protección de la
información en las redes y la seguridad de los sistemas y aplicaciones que usen esta tecnología?
Pregunta 54: ¿Actualmente se lleva a cabo algún monitoreo o control sobre la capacidad del
proveedor de servicios de red, que garantice el cumplimiento de los acuerdos de seguridad?
Pregunta 55: ¿Se aplican procedimientos o políticas para el control de los medios removibles
utilizados para la trasmisión o manejo de información?
¿Eliminan la información que ya no es útil en la organización, y este proceso es llevado a cabo por
alguien de confianza?
10.7.3. Procedimientos de manipulación de la información
¿Se protege la información importante de tal manera que no sea extraída fuera de la organización
ni usada con propósitos no adecuados?
¿La documentación del sistema en funcionamiento está debidamente protegida y es conocida por
solo las personas encargadas del mantenimiento del mismo?
¿Para el caso de los clientes que utilizan el sistema para transacción de información en línea,
existe un debido procedimiento de autenticación que respalde al cliente?
¿El sistema cuenta con mecanismos que acrediten que la transacción de la información sea rápida
y segura?
¿Los eventos de seguridad y auditoria son debidamente registrados con la finalidad de acreditar la
confiabilidad del sistema?
¿Los medios de almacenamiento del historial de registros están debidamente protegido contra
modificaciones y accesos no autorizados?
¿Para evitar problemas en el futuro, las falas y posibles causas son registras en el sistema de
monitoreo de sistema?
¿Los relojes y fechas del sistema están debidamente sincronizados con el horario local y nacional?
¿El sistema permite un debido procedimiento de registro para la inscripción y des inscripción de
usuarios al sistema?
¿Las funcionalidades que el sistema brinda al usuario están debidamente destinadas y restringidas
específicamente para el apoyo de las funciones que solo deben ser desarrolladas por ellos
mismos?
¿Cómo establecen el proceso de asignación de claves para el usuario, es asignada por ustedes
mismos o el usuario tiene la libertad de establecer su propia clave de seguridad?
¿Los usuarios del sistema tienen el principio de confidencialidad de sus propias claves de
seguridad?
11.3.2. Equipo de usuario desatendido
¿Los usuarios tienen asignadas su propio y único dispositivo de trabajo, y en los tiempos en que no
es utilizado está debidamente protegido en caso de que otra persona intente utilizarlo?
¿Los escritorios de los computadores solo presentan los iconos debidos y el área de trabajo cuenta
con el debido espacio para garantizar el adecuado desempeño del trabajador?
¿Los servicios de red para los usuarios están debidamente distribuidos de acuerdo a la
autorización que tienen para su uso?
¿Se aplica la debida autenticación de usuario para una conexión remota a la red?
¿Los equipos que ingresan a la red se pueden conectar de manera automática o se debe hacer
una previa configuración y registro del mismo?
¿La red está debidamente segmentada de manera lógica con la finalidad de salvaguardar la
información concerniente a los diferentes grupos dentro de la organización?
¿Se aplican políticas de control de red para restringir la capacidad de conexión de usuarios en
redes compartidas?
¿El acceso a servicios operativos está debidamente controlado por un procedimiento de registro
seguro?
¿Todos los usuarios tienen un identificador único para su uso personal y exclusivo y una técnica de
autenticación adecuada para su validación?
11.5.3. Sistema de gestión de contraseñas
¿Las aplicaciones asignadas a ciertos usuarios están limitadas dependiendo la capacidad para
trabajar del sistema?
Pedro Peña
11.7.2. Teletrabajo
¿Se tienen en cuenta los requerimientos de seguridad al momento de crear o comprar algún
sistema de información?
¿Se utilizan mecanismos de validación para asegurar que los datos son confiables?
¿El sistema incorpora chequeos de validación en las aplicaciones para detectar posibles
amenazas?
¿El sistema valida las salidas de las aplicaciones para asegurar que el procesamiento de la
información es correcto?
¿La información del sistema utiliza mecanismos de encriptado (firmas digitales, cifrado, control de
acceso, etc.) para asegurar la confidencialidad e integridad de los datos?
¿Se cuenta con procedimientos establecidos para la instalación de software en los equipos?
Ningún usuario puede realizar tareas de instalación de equipo, de software o de reparación, así
cuente con capacitación técnica o profesional para realizarlo.
Para realizar dichos procedimiento se debe contar con una cuenta “administrador”
¿Actualmente se tiene restringido el acceso al código fuente del programa e ítems asociados?
¿Quiénes son las personas autorizadas?
12.5. Seguridad en los procesos de desarrollo y soporte
12.5.2. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
¿Tienen designado un presupuesto de soporte que cubra pruebas en el sistema con el paso del
tiempo?
¿Han asignado un personal exclusivo para monitorear los recursos en los sistemas de cómputo?
¿Utilizan algún software abastecido externamente, si es así este presenta algún certificado de
calidad?
¿Se usa el monitoreo del sistema, alertas y vulnerabilidades para detectar los incidentes en la
seguridad de la información?
¿Cuáles son los principales activos identificados en los procesos comerciales críticos?
¿Su plan de contingencia contempla requerimientos de seguridad en línea para la continuidad del
negocio?
15. CUMPLIMIENTO
¿Se tiene implementado alguna política de cumplimiento de los derechos de propiedad intelectual?
¿Se tienen clasificados los registros importantes, ante la pérdida, destrucción, falsificación de
información?
¿Han buscado asesoría legal para cumplir las regulaciones nacionales sobre controles
criptográficos?
¿De qué manera evalúan las acciones correctivas contra incumplimientos de las normativas de
seguridad?
¿Son revisados regularmente los sistemas de información, para ver si cumplen con los estándares
de implementación de la seguridad?