Página de título
-
Departamento
-
Fecha y hora de la inspección
-
Personal de TI (nombre completo)
Inspección
PERSONAL
-
¿Su personal usa tarjetas de identificación?
-
¿Una foto actual es parte de la tarjeta de identificación?
-
¿Están identificados en la tarjeta los niveles y tipos de acceso autorizados (empleado, contratista, visitante)?
-
¿Verifica las credenciales de los contratistas externos?
-
¿Tiene políticas que aborden la verificación de los antecedentes de empleados y contratistas?
-
¿Cuenta con un proceso para impedir efectivamente el acceso a las instalaciones y los sistemas de información cuando un empleado/contratista finaliza su relación laboral?
SEGURIDAD FÍSICA
-
¿Cuenta con políticas y procedimientos que aborden la autorización y la limitación del acceso físico no autorizado a los sistemas de información electrónicos y a las instalaciones en las que están alojados?
-
¿Sus políticas y procedimientos especifican los métodos utilizados para controlar el acceso físico a las áreas seguras, como cerraduras de puertas, sistemas de control de acceso, guardias de seguridad o supervisión por video?
-
¿Está controlado el acceso a su área de computadoras (punto único, mostrador de recepción o seguridad, registro de entrada/salida, pases temporales/de visitante)?
-
¿Los visitantes son escoltados al entrar y salir de las áreas controladas?
-
¿Sus PC son inaccesibles para usuarios no autorizados (p. ej., ubicados lejos de áreas públicas)?
-
¿Su área de computadoras y el equipamiento están protegidos físicamente?
-
¿Existen procedimientos para evitar que las computadoras se queden en un estado de inicio de sesión, aunque sea brevemente?
-
¿Las pantallas se bloquean automáticamente después de 10 minutos inactivas?
-
¿Están configurados los módems en modo Respuesta Automática OFF (para no aceptar llamadas entrantes)?
-
¿Cuenta con procedimientos para proteger los datos durante las reparaciones de los equipos?
-
¿Tiene políticas que aborden la seguridad de las computadoras portátiles (por ejemplo, bloqueo de cable o almacenamiento seguro)?
-
¿Tiene un plan de evacuación de emergencia y está actualizado?
-
¿Su plan identifica áreas e instalaciones que necesitan ser selladas inmediatamente en caso de una emergencia?
-
¿El personal clave sabe qué áreas e instalaciones deben sellarse y cómo?
GESTIÓN DE CUENTAS Y CONTRASEÑAS
-
¿Cuenta con políticas y estándares que cubran la autenticación electrónica, la autorización y el control del acceso del personal y los recursos a sus sistemas de información, aplicaciones y datos?
-
¿Se asegura de que solo el personal autorizado tenga acceso a sus computadoras?
-
¿Usted hace requerir y cumplir con el método de contraseñas apropiadas?
-
¿Son seguras sus contraseñas (no son fáciles de adivinar, se cambian regularmente, no se usan contraseñas temporales o predeterminadas)?
-
¿Están sus computadoras configuradas para que otros no puedan ver al personal introduciendo las contraseñas?
CONFIDENCIALIDAD DE DATOS DELICADOS
-
¿Clasifica sus datos, identificando datos confidenciales versus no confidenciales?
-
¿Está ejerciendo responsabilidades para proteger los datos confidenciales bajo su control?
-
¿Los datos más valiosos o confidenciales están encriptados?
-
¿Tiene una política para identificar la retención de información (tanto en copias impresas como electrónicas)?
-
¿Cuenta con procedimientos para manejar la información de tarjetas de crédito?
-
¿Cuenta con procedimientos que aborden el manejo de información personal privada?
-
¿Existe un proceso para crear copias de seguridad recuperables y copias de archivos con información crítica?
-
¿Cuenta con procedimientos para la eliminación de material de desecho?
-
¿El papel usado se tira a la basura o se tritura?
-
¿Su papelera para papel triturado está cerrada en todo momento?
-
¿Sus políticas para desechar equipos informáticos antiguos protegen contra la pérdida de datos (p. ej., mediante la lectura de discos duros antiguos)?
-
¿Sus procedimientos de eliminación identifican tecnologías y métodos apropiados para hacer que el hardware y los archivos multimedia electrónicos queden inutilizables e inaccesibles (como la trituración de CD y DVD, la limpieza electrónica de las unidades, quemar cintas, etc.)?
RECUPERACIÓN DE DESASTRES
-
¿Cuenta con un plan de continuidad comercial vigente?
-
¿Existe un proceso para crear copias de seguridad recuperables y copias de archivos con información crítica?
-
¿Cuenta con un plan de comunicaciones para la gestión de emergencias/incidentes?
-
¿Tiene un procedimiento para notificar a las autoridades en caso de un desastre o incidente de seguridad?
-
¿Su procedimiento identifica a quién se debe contactar, incluida la información de contacto?
-
¿La información de contacto está ordenada e identificada por tipo de incidente?
-
¿Su procedimiento identifica quién debe hacer los contactos?
-
¿Ha identificado quién hablará con la prensa/público en caso de emergencia o incidente?
-
¿Su plan de comunicaciones aborda las comunicaciones internas con sus empleados y sus familias?
-
¿Los procedimientos de emergencia pueden ser implementados adecuadamente, según sea necesario, por las personas responsables?
CONCIENCIA SOBRE SEGURIDAD
-
¿Está proporcionando información sobre seguridad informática a su personal?
-
¿Proporciona capacitación de manera regular y recurrente?
-
¿Se enseña a los empleados a estar alerta ante posibles violaciones de seguridad?
-
¿Se enseña a sus empleados a tener contraseñas seguras?
-
¿Sus empleados pueden identificar y proteger datos clasificados, incluidos documentos en papel, archivos multimedia extraíbles y documentos electrónicos?
-
¿Su plan de concientización y educación enseña métodos adecuados para administrar datos de tarjetas de crédito (estándares PCI) e información privada personal (números de seguridad social, nombres, direcciones, números de teléfono, etc.)?
CUMPLIMIENTO
-
¿Comprueba y revisa sus documentos de seguridad, tales como: políticas, estándares, procedimientos y directrices, de forma regular?
-
¿Audita sus procesos y procedimientos para verificar el cumplimiento de las políticas y estándares establecidos?
-
¿Prueba sus planes contra desastres regularmente?
-
¿La gerencia revisa periódicamente las listas de personas con acceso físico a instalaciones confidenciales o acceso electrónico a los sistemas de información?
FINALIZACIÓN
-
Recomendaciones generales
-
Personal de TI (nombre y firma)
