Checklist Identificación de Vulnerabilidades y Amenazas

CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVA

LOGO

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZ CHECKLIST

EMPRESA: FUNCIONARIO: CARGO: Nº 1

PREGUNTAS FISICA ¿Estáá n lás instáláciones del dátá center protegidás de ácceso no áutorizádo?

2

¿Cuáá l de los siguientes controles fíásicos áplicán párá lás instáláciones del cuárto de telecomunicáciones?

3

á) Períámetro de seguridád definido b) Sistemá de deteccioá n de intrusos c) Puertás de seguridád con sistemá de ácceso d) Otro (especifíáquelo en lá cásillá de observáciones) ¿Cuáá l de los siguientes controles fíásicos áplicán párá ácceder ál ÁÁ reá de TI? á) Cárnet de Identificácioá n b) Registro de visitántes c) Otro (especifíáquelo en lá cásillá de observáciones) ¿Lá instálácioá n donde estáá ubicádo el cuárto de telecomunicáciones cuentá con condiciones fíásicás ádecuádás de ácuerdo á lá normá?

4

5

6

á) Páredes b) Piso c) Techo ¿Cuáá les de lás siguientes medidás contrá incendios tienen implementádás? á) Álármá b) Extintores c) Sistemá contrá incendios d) Otro (especifíáquelo en lá cásillá de observáciones) ¿El Sistemá de Cábleádo Estructurádo estáá disenñ ádo e instáládo cumpliendo lás normás internácionáles vigentes?

7 8

¿Tienen documentádo el disenñ o de lá red? ¿Tienen estáblecido controles párá llevár á cábo el mántenimiento preventivo y correctivo de los equipos de lá empresá?

9

¿Se tiene estáblecido controles párá llevár á cábo el mántenimiento de lás instáláciones donde se encuentrá ubicádo el cuárto de telecomunicáciones?

10

RED ¿Se tiene determinádo quienes compárten los dátos á tráveá s de lá red y como los utilizán?

SI

NO

NA

11

¿Se tienen documentádos y/o áctuálizádos los inventários de áctivos fíásico y loá gicos de lá red?

12

¿Son documentádás lás fállás y/o problemás que ocurren en lá red?

13 14

¿Existen controles definidos de ácceso á lá red interná? ¿Cuentá con un dispositivo firewáll párá proteccioá n y ásegurámiento de lá red?

15 16 17 18

SOFTWARE ¿Los equipos de coá mputo cuentán con Ántivirus áctuálizádos? ¿Lás áplicáciones instáládás en el servidor de BD estáá n debidámente áctuálizádás? ¿Se monitoreá constántemente el rendimiento y el ácceso á los servidores? ¿Son guárdádos de mánerá segurá los dátos sensibles de los equipos ántes de uná reinstálácioá n?

19

¿Los dátos que viáján por intránet estáá n cifrádos?

20

ORGANIZACIÓN ¿Existe un depártámento o dependenciá que se dedique á lá ádministrácioá n de lá red y los servicios de TI?

21

¿Existe uná estructurá orgáá nicá párá dichá ÁÁ reá con sus correspondientes funciones?

22

¿El nuá mero de personás que constituyen áctuálmente el ÁÁ reá de TI son suficientes párá controlár los diferentes procesos de TI?

23

¿Existe un plán de cápácitácioá n párá el personál del ÁÁ reá de TI en áspectos relácionádos con lás TIC y procesos de certificácioá n?

24

¿Estáá n clárámente definidás lás responsábilidádes del recurso humáno párá proteger los áctivos ásíá como lá ejecucioá n del proceso de seguridád?

25 26

¿Existen políáticás de seguridád áctuálizádás? ¿Lás políáticás de seguridád estáá n debidámente sociálizádás con el personál de lá empresá?

27

¿Párá ser movidos los equipos, softwáre o informácioá n fuerá de lás instáláciones requiere de uná áutorizácioá n?

NAZAS Y SALVAGUARDAS

DADES Y AMENAZAS

OBSERVACIONES

CARACTERIZACIÓN DE ACTIVOS, AMENAZAS

LOGO

IDENTIFICACIÓN DE VULNERABILIDADES ANALISIS DE RIESGOS

EMPRESA: FUNCIONARIO: CARGO: ITEM ACTIVO 1

VULNERABILIDADES El cuárto de telecomunicáciones no estáá protegido del ácceso de personás no áutorizádás.

2

No se tiene estáblec ido Controles fíásicos de ácceso ál cuárto de telecomunicáciones

3

No se tiene estáblec ido Controles fíásicos de ácceso ál áá reá de TI

4

5

Humedád Electricidád estáá ticá Polvo Obstáá culo párá reáccionár de mánerá eficáz ánte incidentes ocásionádos Inexistenciá de un sistemá que reduzcá el nivel de dánñ o en cáso de un incendio

7

Dificultád párá lá locálizácioá n de dánñ os Interferenciás en lá tránsmisioá n de dátos Dificultád párá el mántenimiento de lá red Dificultád párá identificár puntos exáctos en cáso de ocurrir dánñ os en lá red

8

El mántenimiento de los equipos no se reálice en el momento requerido

6

9 10 11

Ácumulácioá n de pártíáculás dánñ inás No se monitoreá el tráá fico de lá red Inventário no tiene lá informácioá n completá de álgunos de los áctivos informáticos de lá empresá Inexistenciá de un registro de fállás de lá red

12 13

Lá LÁN no estáá segmentádá

P.O.

Fáá cil ácceso ál sistemá 14 15 16

17

Los equipos no tienen Ántivirus áctuálizádos Softwáre de báse de dátos desáctuálizádo Desconocimiento del rendimiento de los servidores No se cuentá con un registro de ácceso á los servidores

18

No se hácen copiá de los dátos ántes de uná reinstálácioá n

19

No se cuentá con un sistemá de cifrádo párá proteger lá informácioá n que se tránsportá por intránet

20

No se ádministrá eficázmente los procesos de TI

21

No se tiene uná distribucioá n de responsábilidádes

22

No se cuentá con el personál suficiente párá controlár los distintos procesos

23

No se cápácitá ál personál del áá reá de TI en tecnologíáás de lá informácioá n y lá comunicácioá n y procesos de certificácioá n

24

No se tiene estáblecidás lás responsábilidádes del personál párá lá proteccioá n de los áctivos

25

No estáá n áctuálizádás lás políáticás de seguridád

26

No se sociálizá lás políáticás de seguridád con el personál de lá empresá

27

Los áctivos son sácádos fácilmente de lás instáláciones de lá empresá

ÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS

ACIÓN DE VULNERABILIDADES Y AMENAZAS ANALISIS DE RIESGOS

AMENAZAS Robo de informácioá n Dánñ os á los equipos Intrusioá n de softwáre málicioso Mánipulácioá n de lá informácioá n Ácceso de personál no áutorizádo Ácceso de personál no áutorizádo Se genere un corto circuito Dánñ os á los equipos Disminuye rendimiento de los equipos Dánñ o párciál o totál de los equipos Perdidá de informácioá n

Perdidá de informácioá n Párálizácioá n de áctividádes Fállos en los equipos Disminuye el rendimiento de los equipos Se genere un corto circuito Intrusos obtengán y mántengán ácceso á lá red Perdidá de los áctivos

FECHA: P.E.

TOTAL 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

No se minimizá lá posibilidád de que los sucesos ocurridos ánteriormente se vuelván á generár.

0

No se controlá el ácceso de usuários no áutorizádos

0

Robo de informácioá n Destruccioá n de lá informácioá n Interrupcioá n del funcionámiento del sistemá Intrusioá n de softwáre málicioso

0 0 0

Intrusos Softwáre málicioso Mál funcionámiento de los servidores

0 0

hácker Perdidá de lá informácioá n

0

0 0 0

Intercepcioá n de informácioá n confidenciál 0 Bájo rendimiento de lás operáciones de lá empresá

0

Nádie se háce responsáble por los dánñ os ocásionádos

0

Deficiente funcionámiento de los procesos de lá empresá

0

Los procesos de lá empresá no se desárrollá eficientemente

0

Los áctivos estáá n propensos á sufrir dánñ os 0 No se contrálán ádecuádámente los distintos sucesos que áfectán los equipos y lá informácioá n No se protegen los áctivos de lá informácioá n Extráccioá n de informácioá n confidenciál Robo del áctivo

0 0 0 0