Página de título

  • Departamento

  • Fecha y hora de la inspección

  • Personal de TI (nombre completo)

Inspección

PERSONAL

  • ¿Su personal usa tarjetas de identificación?

  • ¿Una foto actual es parte de la tarjeta de identificación?

  • ¿Están identificados en la tarjeta los niveles y tipos de acceso autorizados (empleado, contratista, visitante)?

  • ¿Verifica las credenciales de los contratistas externos?

  • ¿Tiene políticas que aborden la verificación de los antecedentes de empleados y contratistas?

  • ¿Cuenta con un proceso para impedir efectivamente el acceso a las instalaciones y los sistemas de información cuando un empleado/contratista finaliza su relación laboral?

SEGURIDAD FÍSICA

  • ¿Cuenta con políticas y procedimientos que aborden la autorización y la limitación del acceso físico no autorizado a los sistemas de información electrónicos y a las instalaciones en las que están alojados?

  • ¿Sus políticas y procedimientos especifican los métodos utilizados para controlar el acceso físico a las áreas seguras, como cerraduras de puertas, sistemas de control de acceso, guardias de seguridad o supervisión por video?

  • ¿Está controlado el acceso a su área de computadoras (punto único, mostrador de recepción o seguridad, registro de entrada/salida, pases temporales/de visitante)?

  • ¿Los visitantes son escoltados al entrar y salir de las áreas controladas?

  • ¿Sus PC son inaccesibles para usuarios no autorizados (p. ej., ubicados lejos de áreas públicas)?

  • ¿Su área de computadoras y el equipamiento están protegidos físicamente?

  • ¿Existen procedimientos para evitar que las computadoras se queden en un estado de inicio de sesión, aunque sea brevemente?

  • ¿Las pantallas se bloquean automáticamente después de 10 minutos inactivas?

  • ¿Están configurados los módems en modo Respuesta Automática OFF (para no aceptar llamadas entrantes)?

  • ¿Cuenta con procedimientos para proteger los datos durante las reparaciones de los equipos?

  • ¿Tiene políticas que aborden la seguridad de las computadoras portátiles (por ejemplo, bloqueo de cable o almacenamiento seguro)?

  • ¿Tiene un plan de evacuación de emergencia y está actualizado?

  • ¿Su plan identifica áreas e instalaciones que necesitan ser selladas inmediatamente en caso de una emergencia?

  • ¿El personal clave sabe qué áreas e instalaciones deben sellarse y cómo?

GESTIÓN DE CUENTAS Y CONTRASEÑAS

  • ¿Cuenta con políticas y estándares que cubran la autenticación electrónica, la autorización y el control del acceso del personal y los recursos a sus sistemas de información, aplicaciones y datos?

  • ¿Se asegura de que solo el personal autorizado tenga acceso a sus computadoras?

  • ¿Usted hace requerir y cumplir con el método de contraseñas apropiadas?

  • ¿Son seguras sus contraseñas (no son fáciles de adivinar, se cambian regularmente, no se usan contraseñas temporales o predeterminadas)?

  • ¿Están sus computadoras configuradas para que otros no puedan ver al personal introduciendo las contraseñas?

CONFIDENCIALIDAD DE DATOS DELICADOS

  • ¿Clasifica sus datos, identificando datos confidenciales versus no confidenciales?

  • ¿Está ejerciendo responsabilidades para proteger los datos confidenciales bajo su control?

  • ¿Los datos más valiosos o confidenciales están encriptados?

  • ¿Tiene una política para identificar la retención de información (tanto en copias impresas como electrónicas)?

  • ¿Cuenta con procedimientos para manejar la información de tarjetas de crédito?

  • ¿Cuenta con procedimientos que aborden el manejo de información personal privada?

  • ¿Existe un proceso para crear copias de seguridad recuperables y copias de archivos con información crítica?

  • ¿Cuenta con procedimientos para la eliminación de material de desecho?

  • ¿El papel usado se tira a la basura o se tritura?

  • ¿Su papelera para papel triturado está cerrada en todo momento?

  • ¿Sus políticas para desechar equipos informáticos antiguos protegen contra la pérdida de datos (p. ej., mediante la lectura de discos duros antiguos)?

  • ¿Sus procedimientos de eliminación identifican tecnologías y métodos apropiados para hacer que el hardware y los archivos multimedia electrónicos queden inutilizables e inaccesibles (como la trituración de CD y DVD, la limpieza electrónica de las unidades, quemar cintas, etc.)?

RECUPERACIÓN DE DESASTRES

  • ¿Cuenta con un plan de continuidad comercial vigente?

  • ¿Existe un proceso para crear copias de seguridad recuperables y copias de archivos con información crítica?

  • ¿Cuenta con un plan de comunicaciones para la gestión de emergencias/incidentes?

  • ¿Tiene un procedimiento para notificar a las autoridades en caso de un desastre o incidente de seguridad?

  • ¿Su procedimiento identifica a quién se debe contactar, incluida la información de contacto?

  • ¿La información de contacto está ordenada e identificada por tipo de incidente?

  • ¿Su procedimiento identifica quién debe hacer los contactos?

  • ¿Ha identificado quién hablará con la prensa/público en caso de emergencia o incidente?

  • ¿Su plan de comunicaciones aborda las comunicaciones internas con sus empleados y sus familias?

  • ¿Los procedimientos de emergencia pueden ser implementados adecuadamente, según sea necesario, por las personas responsables?

CONCIENCIA SOBRE SEGURIDAD

  • ¿Está proporcionando información sobre seguridad informática a su personal?

  • ¿Proporciona capacitación de manera regular y recurrente?

  • ¿Se enseña a los empleados a estar alerta ante posibles violaciones de seguridad?

  • ¿Se enseña a sus empleados a tener contraseñas seguras?

  • ¿Sus empleados pueden identificar y proteger datos clasificados, incluidos documentos en papel, archivos multimedia extraíbles y documentos electrónicos?

  • ¿Su plan de concientización y educación enseña métodos adecuados para administrar datos de tarjetas de crédito (estándares PCI) e información privada personal (números de seguridad social, nombres, direcciones, números de teléfono, etc.)?

CUMPLIMIENTO

  • ¿Comprueba y revisa sus documentos de seguridad, tales como: políticas, estándares, procedimientos y directrices, de forma regular?

  • ¿Audita sus procesos y procedimientos para verificar el cumplimiento de las políticas y estándares establecidos?

  • ¿Prueba sus planes contra desastres regularmente?

  • ¿La gerencia revisa periódicamente las listas de personas con acceso físico a instalaciones confidenciales o acceso electrónico a los sistemas de información?

FINALIZACIÓN

  • Recomendaciones generales

  • Personal de TI (nombre y firma)

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.