Preguntas Auditorías ISO27001

Preguntas para actividad AUDITORIA ISO-27001: ¿Existe una política de seguridad en las redes WLAN? ¿Existe una política de configuración base? ¿Se ha realizado una evaluación de riesgos en el entorno de la red? ¿Los APs se encuentran físicamente seguros? ¿Existe una apropiada capacitación para los administradores? ¿Cuál es la arquitectura del entorno de la WLAN? ¿Qué tecnología de redes inalámbricas está siendo usada? ¿Los clientes deben autenticarse a las estaciones base? ¿Las configuraciones por default de fábrica, como contraseñas y SSID han sido cambiada s? ¿Con qué regularidad se cambian las contraseñas y las llaves de cifrado? ¿El equipo está realizando broadcast del SSID? ¿La información y datos son cifrados? ¿Las conexiones que se realizan son registradas? ¿Existen bitácoras que son revisadas regularmente para encontrar intentos de conexio nes no autorizados? ¿Existe un procedimiento para mantener a los usuarios, darlos de alta o baja? ¿Los clientes están correctamente configurados con un Firewall personal? ¿Las instalaciones y configuraciones en los equipos Windows son estándares en toda l a organización? ¿Existe alguna política que describa el otorgar permisos para deshabilitar servicios ? ¿Los administradores de los sistemas están familiarizados con los servicios y puerto s estándares que podrían presentarse en sus sistemas? ¿Existen revisiones periódicas para detectar cambios o nuevos puertos y servicios? ¿Existen normas y procedimientos escritos sobre el funcionamiento del Servicio de Información? ¿Está separado el Servicio de Información del resto de los departamentos? ¿Es adecuada la segregación de funciones en el seno del Servicio de Información? ¿Es cierto que el personal de explotación no participa nunca en funciones de análisis? ¿Es cierto que el personal de explotación no participa nunca en funciones de desarro llo de aplicaciones?

¿Existe organigrama del funcionamiento del Servicio de Información? ¿Están descritas con detalle las funciones y responsabilidades del personal? ¿El personal de explotación, ¿conoce perfectamente cuáles son sus funciones y sus respon sabilidades? ¿Tienen manuales de todas las aplicaciones? ¿Se rotan las asignaciones de trabajo de los operadores? ¿Es imposible que los operadores accedan a programas y datos no necesarios para su trabajo? ¿Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones? ¿Existen normas sobre cómo deben de hacerse los cambios de turno para que haya segur idad de que las aplicaciones continúan su proceso? ¿Personal con conocimientos y experiencia suficiente organizan el trabajo para que resulte lo más eficaz posible? ¿Existen procedimientos de salvaguarda fuera de la instalación que permitan reconstr uir las operaciones que sean necesarias? ¿Personal con autoridad suficiente es el que aprueba los cambios de unas aplicacio nes por otras? ¿Existen procedimientos adecuados para mantener la documentación al día? ¿Existen controles que garanticen el uso adecuado de los soportes de la información, como discos y cintas? ¿Existen procedimientos adecuados para conectarse y desconectarse de los equipos r emotos? ¿Se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcio namiento? ¿Se comprueban los resultados con datos reales? ¿Participan los departamentos de usuarios en la evaluación de los datos de prueba? ¿Personal de los departamentos de usuarios revisan y evalúan los resultados de las p ruebas finales, dando su aprobación antes de poner en funcionamiento las aplicacio nes? ¿Al poner en funcionamiento nuevas aplicaciones, o versiones actualizadas, ¿funciona n en paralelo las existentes durante un cierto tiempo? ¿Personal con conocimientos y experiencia adecuada revisa con periodicidad los com ponentes físicos de los equipos siguiendo las instrucciones de los fabricantes? ¿Se cumplen las condiciones ambientales: temperatura, humedad, etc., que recomiend a el fabricante para el equipo, cintas, etc.? ¿Existen controles apropiados para que sólo las personas autorizadas tengan acceso a los equipos, cintas, discos, documentación de programas, etc.? ¿Existen normas sobre las horas extras y se controlan las entradas y salidas del p

ersonal fuera su horario de trabajo? ¿Quién en la gestión es responsable de entender y gestionar los riegos empresariales a sociados con la computación en la nube? ¿La administración cuenta con procesos eficaces para controlar la computación en la nu be? ¿Qué están haciendo los funcionarios con respecto a la computación en la nube? ¿Existe un plan estratégico en las dependencias de la "EMPRESA" y Centro de Informátic a? ¿El personal de la "EMPRESA" y Centro de Informática conoce bien el grupo de funcion es que le compete a las dependencias? ¿En el centro de la "EMPRESA" y Centro de Informática se elaboran planes para superv isar el cumplimiento de metas durante un periodo? ¿Se realizan evaluaciones en cuanto al desempeño de los funcionarios de las dependen cias? ¿Se lleva controles sobre incumplimientos o negligencia por parte de los funcionar ios? ¿El grupo de trabajo de las dependencias de la "EMPRESA" y Centro de Informática rea liza su trabajo bajo las normas y políticas internas de la dependencia? ¿En la "EMPRESA" existe un comité que permita asegurar la objetividad del servicio q ue brinda esta dependencia? ¿En el Centro de Informática existe un organismo que controle y proponga los recurso s necesarios que requiera la "EMPRESA" en cuanto a tecnología y sistematización? ¿"EMPRESA" tiene la misión de la dependencia? ¿"EMPRESA" tiene la visión de la Dependencia? ¿"EMPRESA" tiene estructura jerárquica de la dependencia? ¿El centro de informática tiene misión de la dependencia? ¿El centro de informática tiene visión de la dependencia? ¿El centro de informática tiene una estructura jerárquica de la dependencia? ¿Existe un manual del sistema (software) para el módulo de aplicaciones web? ¿El manual del sistema contiene?: - ¿Requerimientos del software y hardware para su funcionamiento? - ¿Descripción de la configuración? - ¿Descripción de operación de cada botón y elementos del módulo? - ¿Diagramas de flujo de datos o pseudocódigo de las partes del módulo? - ¿Lista de archivos y especificaciones? - ¿Descripción y catálogo de reportes? ¿El manual de sistema del módulo se cambia cada vez que realizan actualizaciones? ¿Existe algún procedimiento establecido para mantener actualizado el manual de sopor te del módulo?

¿Existe el diccionario de Datos? ¿El diccionario de datos contiene?: - ¿Tablas? - ¿Relaciones? - ¿Llaves? - ¿Descripción del personal encargado de la función de dar mantenimiento del diccionar io de datos? - ¿Clasificación de usuarios, niveles de acceso y restricciones? - ¿Roles y privilegios? ¿Le ha sido entregado al personal del área de sistemas encargado del manejo de módulos de los desarrollos de aplicaciones web el diccionario de datos? ¿Se ha establecido un procedimiento para mantener actualizado el diccionario de da tos? ¿Existen políticas y procedimientos en relación al modelo de arquitectura de información ? ¿El modelo de arquitectura de información tiene en cuenta?: - ¿Identificación de entrada? - ¿Identificación de procesos? - ¿Identificación de sitios de almacenamiento (base de datos)? - ¿Identificación de reportes? - ¿Identificación de la interacción con otros sistemas? - ¿Definición de usuarios finales? - ¿Requerimientos de la dependencia? ¿El modelo de arquitectura de información del módulo de aplicaciones web ha sido dado al personal del área de sistemas? ¿Existe un manual para el personal encargado del manejo del hardware? ¿Existe una descripción de los diferentes perfiles y competencias que debe cumplir c ada uno de los funcionarios de TI? ¿Existe una definición o descripción del cargo? ¿Están claramente definidas las funciones que debe desempeñar el trabajador en los dif erentes cargos? ¿Están claras las funciones (mantenimiento preventivo, correctivo, manejo de los equ ipos, servidores etc.) que debe cumplir el personal encargado de hardware? ¿Existen planes de contingencia para reemplazar algunos funcionarios en caso de au sencia? ¿El plan de contingencia para reemplazar a empleados cumple con lo siguiente: - ¿Está documentado? - ¿Tiene el procedimiento para la contratación de personal de reemplazo? ¿Existen personas claves en la operación, administración y funcionamiento del software y hardware? ¿Existen políticas y procedimientos para realizar la contratación de nuevo personal? ¿Existen políticas y procedimientos para el aseguramiento de la calidad en el módulo d e aplicaciones web?

¿Existe un plan de calidad de aplicación a las tecnologías de información? ¿Dentro del plan de calidad se incluye: - ¿Esta actualizado? - ¿Los recursos tanto financieros como humanos? - ¿Fomenta la filosofía de mejora continua? ¿Se hacen revisiones de aseguramiento de calidad y son evaluadas de acuerdo al cum plimiento de estándares de calidad? ¿Se manejan los procedimientos de aplicaciones web de acuerdo al estatuto estudian til? ¿Se encuentran identificadas las amenazas en las cuales el módulo de aplicaciones we b se puede ver enfrentado tales como: - Incendios - virus - robos - terrorismo - ataques cibernéticos - personal inconforme ¿Existen políticas y procedimientos en relación a la evaluación de riesgos en el módulo de aplicaciones web? ¿Se identifica con claridad las responsabilidades en cuanto al uso del sistema de información y equipo de cómputo donde será implantado y operado? ¿Está documentado los procedimientos para la evaluación de riesgos? ¿Dentro del documento para la evaluación de riesgos se incluyen?: - ¿Aspectos relacionados con la actualización o mantenimiento del hardware e infraes tructura de la red? - ¿El manejo que el usuario le da al equipo de trabajo, sus recursos de software e instalaciones de otros programas que quitan rendimiento al hardware o pueden se r causantes de adquisición de virus? ¿Se realiza periódicamente una evaluación de riesgos en el módulo de aplicaciones web? ¿Se lleva un reporte o documentación relacionada con el seguimiento a la identificac ión de riesgos, amenazas y exposiciones? ¿La identificación de la documentación de riesgos contiene?: - ¿Descripción de la metodología de evaluación de riesgos? - ¿Identificación de exposiciones significativas y los riesgos correspondientes? - ¿Los riesgos y exposiciones correspondientes consideradas? ¿Existe un enfoque cuantitativo y cualitativo formal, para la identificación y medic ión de riesgos, amenazas y exposiciones? ¿Se han categorizado los riesgos del módulo de aplicaciones web de acuerdo a su nive l de importancia e impacto? ¿Existe un plan de acción contra riesgos? ¿El plan de acción contra riesgos incluye: - ¿Controles económicos? - ¿Medidas de seguridad para evaluar que vuelva a ocurrir el riesgo? - ¿Seguimiento y monitoreo realizado al proceso?

¿Se ha realizado un proceso informativo y de toma de conciencia de la evaluación de riesgos, al personal del área de sistemas sobre el desempeño y funcionamiento de las tecnologías de información? ¿Se envía periódicamente reportes sobre la evaluación de riesgos al director? ¿Existe documentación de los requerimientos de diseño del módulo de aplicaciones web par a las diferentes áreas y se especifican claramente datos de entrada y salida? ¿Los diseños del módulo de aplicaciones web fueron aprobados por los usuarios de la "E MPRESA"? ¿Se implementó en el módulo de controles de seguridad de acuerdo a los requerimientos para el proceso de aplicaciones web? ¿Existe un desarrollo de procesamientos de datos del módulo de acuerdo a los requeri mientos de entrada de la "EMPRESA"? ¿Existe un desarrollo de procesamientos de datos del módulo de acuerdo a los requeri mientos de procesamiento de la "EMPRESA"? ¿Existe un desarrollo de procesamientos de datos del módulo de acuerdo a los requeri mientos de salida de la "EMPRESA"? ¿Existe el desarrollo de interfaces del módulo y diseño entre usuarios y máquina que inc luya: - ¿Que sea amigable para el usuario? - ¿Interfaces fáciles de usar y cumplan con los requerimientos de los usuarios y est udiantes? - ¿Herramientas de ayuda generales? - ¿Se puede auto documentarse por medio de PDF? - ¿Herramientas de ayudas auditivas y visuales? ¿Dentro de las diferentes opciones del módulo y los diseños se han realizado las valid aciones necesarias según el tipo de información que se maneja? ¿Hay continua comunicación entre los usuarios de módulo y los diseñadores del módulo? ¿Existen manuales de referencia para los usuarios del módulo de aplicaciones web? ¿Existen políticas y procedimientos para mantener actualizado el manual de usuario? ¿Los manuales de referencias para los usuarios de encuentran actualizados? ¿Los manuales de referencia contiene?: - ¿Especificaciones de todos los botones del módulo? - ¿Manejo del módulo de forma secuencial? - ¿Especificaciones de las diferentes interfaces del módulo? - ¿Se encuentra en forma digital para facilitar su consulta? ¿Existe un plan de pruebas para el módulo y la aprobación del usuario? ¿El plan de pruebas incluye?: - ¿Reevaluación de las interfaces del módulo de aplicaciones web, verificando que cump lan con los diseños aprobados por el usuario? - ¿Evaluación de los aspectos de seguridad del módulo, verificando que cumple con los requerimientos de la "EMPRESA"? ¿Existe personal capacitado para el manejo, adquisición y mantenimiento de la infrae structura tecnológica?

¿Existe un procedimiento de política para la adquisición del hardware (comunicación y se rvidores)? ¿Los funcionarios del centro de informática son conocedores de estas políticas? ¿Existe un plan de mantenimiento de infraestructura tecnológica? ¿El plan de mantenimiento de infraestructura tecnológica contiene?: - ¿Mantenimiento preventivo del hardware de comunicaciones? - ¿Mantenimiento preventivo del hardware de servidores? - ¿Mantenimiento correctivo del hardware de comunicaciones? - ¿Mantenimiento correctivo del hardware de servidores? ¿En cuanto al mantenimiento preventivo del hardware se realiza?: - ¿Revisión de la instalación de los equipos de cómputo? - ¿Revisión periódica del estado de los equipos de cómputo? - ¿Revisión periódica del estado de los servidores? - ¿Limpieza física (utilizando sopladoras, cremas, productos químicos especializados, etc.) de los equipos de cómputo? - ¿Limpieza física (utilizando sopladoras, cremas, productos químicos especializados, etc) de los servidores? ¿En cuanto al mantenimiento correctivo se realiza?: - ¿Pruebas de funcionamiento de cada uno de los dispositivos (CPU, RAM, BOARD, tar jeta de red, tarjeta de video) que conforman un servidor? - ¿Reemplazo del dispositivo defectuoso? - ¿Reparación del dispositivo defectuoso? - ¿Pruebas de funcionamiento de la terminal una vez realizadas el mantenimiento? ¿Existe manual de funciones para el personal encargado de realizar el mantenimient o preventivo y correctivo de los equipos de cómputo y servidores? ¿El manual de funciones para el personal encargado de realizar estas funciones tie ne en cuenta?: - ¿Descripción del cargo y perfil del funcionario encargado de realizar el mantenimi ento a los equipos de cómputo? - ¿Descripción detallada de los procedimientos a seguir dependiendo el caso a revisa r (daño de disco duro, daño de CPU, daño de monitor, etc)? ¿Dentro del personal de mantenimiento existe un especialista en reparación de equipo s de cómputo? ¿El personal encargado de realizar el procedimiento de mantenimiento preventivo y correctivo de los equipos de cómputo tiene la capacidad y la experiencia de hacerl o? ¿Existe un inventario detallado de los elementos de hardware que soporten el norma l funcionamiento? ¿En este inventario se especifica detalles como?: - ¿Características de la memoria RAM? - ¿Características de la placa madre? - ¿Características del disco duro? - ¿Características generales (modelo, referencia, marca) de periféricos (teclado, moni tor, mouse, etc)? - ¿Licencia (en caso de necesitarse) del sistema Operativo instalado? ¿Existen políticas o normas en el centro de informática relacionadas con la implantación de sistemas de información y el control de cambios?

¿El control de cambios es un procedimiento formal para el personal de área de sistem as, relacionados con el manejo del módulo de aplicaciones web? ¿Se lleva una documentación en bitácoras del monitoreo del proceso de cambios en el módu lo de aplicaciones web? ¿Para la realización de un cambio se lleva a cabo los siguientes pasos?: - ¿Solicitud del cambio? - ¿Especificación del cambio? - ¿Realización de pruebas sobre el cambio? - ¿Prueba de aceptación por parte del usuario? - ¿Proceso de distribución (capacitación a los usuarios finales sobre el manejo del ca mbio en el módulo)? ¿Se lleva un registro de los cambios realizados? ¿Se realiza una evaluación de los cambios realizados? ¿Existen políticas y estrategias para garantizar la continuidad del proceso de aplic aciones web en la "EMPRESA"? ¿En el plan de continuidad de los procesos del módulo de aplicaciones web contempla una estrategia que ha funcionado de manera correcta ante esas situaciones? ¿En el plan de continuidad se contempla la identificación de los puntos críticos? ¿Si existe un plan de continuidad, en él se observa el impacto de los puntos críticos? ¿El plan de continuidad contiene una guía de cómo utilizarlo? ¿Se lleva a cabo sesiones de entrenamiento o capacitaciones con la frecuencia debi da con respecto a lo que se debe realizar en caso de incidentes o interrupción no planeada? ¿El plan de continuidad identifica los periodos o la frecuencia con que ocurren lo s puntos críticos? ¿El plan de continuidad describe la función e identifica los responsables? ¿Los roles del grupo de trabajo de la dependencia tienen la responsabilidad del as eguramiento de la continuidad de los servicios del proceso de aplicaciones web a nte cualquier situación? ¿Existe políticas y lineamientos necesarios para guiar las acciones de prevención de d esastres y para asegurar que se cuenta con los planes necesarios para enfrentar y recuperarse de un desastre, con el menor impacto posible? ¿El Grupo de trabajo de la dependencia tiene en conocimiento los distintos riesgos o situaciones que puedan interrumpir el proceso de aplicaciones web? ¿Existe documentación o registro de las distintas interrupciones no planeadas en el software? ¿Existe una estrategia de control del plan de continuidad? ¿Existe una persona o personal encargado sobre el control del plan de continuidad?

¿Se lleva un control evaluando y verificando la precisión y eficiencia del plan? ¿Se realiza un análisis de mejoramiento del plan de continuidad? ¿Cómo plan de Continuidad se cuenta además con un respaldo de almacenamiento de inform ación? ¿Se cuenta con un plan de Continuidad como respaldos para los recursos o dispositi vos como servidores? ¿Existe un plan de seguridad que garantice la protección de la información? ¿Existe un plan de seguridad que garantice la protección del personal de trabajo deb ido a las condiciones en que laboran? ¿Existe un plan de seguridad que garantice la protección de los dispositivos y recur sos de la dependencia? ¿Están asegurados físicamente los servidores? ¿Existe un lugar de almacenamiento de respaldo de la información dentro de la depend encia? ¿Existe un lugar distinto de la "EMPRESA" de almacenamiento de respaldo de la info rmación? ¿Existen un control el cual supervise el plan de Seguridad y garantice un buen ren dimiento? ¿Se realiza un estudio en el cual se identifique los casos o incidentes que vulner en el plan de seguridad? ¿Se cuenta con la tecnología y seguridad necesaria para evitar el sabotaje e infiltr aciones? ¿Se utiliza técnicas de encriptación como un procedimiento de seguridad para asegurar que la información es enviada y recibida por canales confiables? ¿Utilizan técnicas para evitar la infección de software malicioso? ¿Se realiza mantenimiento preventivo en los equipos de la dependencia durante peri odos por técnicos encargados? ¿Tiene cada usuario su propia contraseña? ¿Las contraseñas las cambian periódicamente? ¿Se exige periódicamente el cambio de contraseña? ¿Existe un departamento encargado de asignar las contraseñas? ¿Queda un registro de ingreso y actividades de administrador? ¿Queda un registro de ingreso y actividades de usuario? ¿Queda un registro de ingreso y actividades de usuario estudiantes? ¿Posee información de todos los usuarios q tienen acceso al módulo? ¿Se lleva un seguimiento a las copias de seguridad?

¿Existe limitación de acceso a los usuarios del sistema? ¿Los funcionarios tienen permisos para modificar información? ¿Considera que el usuario y contraseña suministrados al momento de ingresar al siste ma son suficientes para evitar el sabotaje o la violación al módulo de aplicaciones web? ¿Se garantizan que se utilizan técnicas de seguridad y procedimientos de seguridad a sociados para autorizar accesos y controlar los flujos de información desde y haci a la red? ¿Existen procedimientos de capacitación sobre?: - Controles de seguridad de los planes que maneja la "EMPRESA"? - Valores éticos y sistémicos (concientizar en controles de Seguridad y la Ética). - Entrenamiento para los usuarios de atención - Requerimientos de educación contínua profesional (Perfiles de competencia, Certifi caciones necesarias). - Confidencialidad, integridad y desempeño de las funciones en una forma segura. - Prácticas de seguridad para la protección contra daños ocasionados por fallas que af ecten la disponibilidad? ¿En cuanto a los procedimientos de capacitación a usuarios?: - Existe un reglamento para proporcionar estos servicios - Se imparten cursos de capacitación de forma frecuente - Se brindan asesorías en las áreas que se requiera? ¿Las capacitaciones brindadas contribuyen en las acciones laborales y de brindar u n mejor desarrollo? ¿Existen políticas y procedimientos para dar solución a problemas de usuarios relacion ados por fallas del software? ¿Existe un control y revisión del funcionamiento del software de manera frecuente pa ra verificar que los procesos se realicen de manera adecuada? ¿Existen políticas y procedimientos para priorizar problemas de usuarios por fallas del software? ¿Existe un mesa de ayuda técnica para resolver problemas en los dispositivos o recur sos como servidores o Pc s? ¿Existe una identificación de los incidentes o fallas del software para optimización o mejora del Software? ¿Existe una optimización del software en cuanto a las fallas encontradas y mejorar s u rendimiento? ¿Existe una optimización del Software para brindar mayor servicios y realizar más proc esos de manera optimizada? ¿Se da solución oportuna en un determinado tiempo a los problemas e incidentes repor tados? ¿El funcionario encargado de realizar las mejorías del software lleva un registro de las actualizaciones y mejoras que se realizan en el software? ¿Existen políticas organizacionales relacionadas con la utilización de software o equi po no autorizado?

¿Se realizan revisiones en los equipos de cómputo con el fin de supervisar la instal ación de software no admitido por la "EMPRESA" y que pueda provocar inconsistencia s en el rendimiento del PC? ¿Se lleva control de inventario sobre los dispositivos y recursos adquiridos dentr o de la dependencia? ¿Existen políticas y procedimientos de seguridad para el acceso y salida de las pers onas que ingresa a la dependencia? ¿Existe controles para restringir el acceso físico de las personas al área? ¿Existen controles físicos y ambientales para garantizar el bienestar y protección de los recursos y funcionarios? ¿Los controles funcionan de manera adecuada? ¿Las condiciones físicas donde se encuentran los equipos de cómputo cumplen con los re querimientos de seguridad establecidos? ¿Las instalaciones del centro de cómputo, cumplen con los requerimientos en cuanto a ?: - ¿Espacio y movilidad? - ¿Posibilidad de movilidad de los equipos? - ¿Suelo fijo? ¿Se administran las instalaciones y equipo de comunicaciones y energía, de acuerdo c on los reglamentos, requerimientos técnicos y lineamientos de seguridad y salud? ¿Se maneja una planta de energía de reserva por si la electricidad prestada por el p roveedor falla? ¿Se realiza Mantenimiento sobre el equipo de cómputo que manejan los funcionarios? ¿Existe un plan de soporte técnico en las dependencias? ¿Se asigna personal especializado para realizar soporte técnico sobre los equipos de cómputo de las dependencias? ¿Se tiene conciencia y se aplica sobre las medidas de prevención que se deben usar s obre los equipos, dispositivos y software para evitar complicaciones más adelante? ¿El estado de la infraestructura física es apropiado y seguro para la dependencia? ¿Existen políticas o procedimientos relacionados con los procesos de monitoreo de la s actividades encaminadas a brindar seguridad lógica (software)? ¿Existen políticas o procedimientos relacionados con los procesos de monitoreo de la s actividades encaminadas a brindar seguridad física (servidores y equipos de cómput o)? ¿Se monitorea de forma continua, compara y mejora el ambiente de control en cuanto ?: - ¿Infraestructura? - ¿Software del módulo de aplicaciones web? - ¿Servidores? - ¿Equipos de cómputo?

¿Se define quien va a realizar el monitoreo? ¿Se toman acciones correctivas de acuerdo al resultado de la evaluación del monitore o? ¿Existe documentación de este proceso?