CUESTIONARIO

1. ¿Qué establecerá tomar en cuenta la administración informática al planear la adquisición de un

software?
2. ¿Qué se requiere para un proyecto de contratación de desarrollo o construcción de software?
3. Menciona algunos de los beneficios del licenciamiento del software:
4. En que consiste la contratación de una licencia de software
5. ¿Cómo podemos adquirir una licencia de software?
6. A que se orientan principalmente los términos y condiciones del licenciamiento de software que
delimitan del uso del mismo:
7. ¿Se encuentra denegado el acceso a páginas Web no-permitidas?
8. ¿Existe un tamaño máximo permitido para envío/recibo de archivos?
9. ¿Permiten realizar cualquier tipo de descarga?
10. ¿El usuario es responsable de la utilización que le dé a los servicios de Correo electrónico y de
Internet?
11.¿El personal tiene completamente prohibido instalar copias ilegales de cualquier programa?
12. ¿Manejan Cuentas de Usuario?
13. ¿Cuáles?
14.¿Requieren criterios en la construcción de contraseñas seguras?
15.¿Cuáles?

TABLAS DE COTEJO
LISTA DE COTEGO “INFORME SOBRE LAS POLITICAS Y CONTROLES EN LOSRECURSOS INFORMATICOS”
Normas
Bajo Medio Alto Planea la adquisición de un software Licenciamiento del software Acceso restringido a
páginas Web no-permitidas Políticas de acceso a internet Hay procedimientos para respaldos de información
Manejan Mecanismos de seguridad El Reglamento establece los niveles de seguridad de forma acumulativa;
así, en caso de tratamiento de ficheros de nivel medio, deberán implantarse todas y cada una de las medidas
de seguridad descritas para el nivel básico y las del medio. Igualmente sucederá con los ficheros de nivel alto,
que deberán implantar las medidas descritas para el nivel básico, el medio y el alto. En resumen:
• Nivel Básico: Para todos los ficheros de datos de carácter personal.
• Nivel Medio: Serán adoptadas para:
a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas openales.b) Ficheros
que contengan datos sobre Hacienda Pública) Ficheros que contengan datos sobre Servicios Financieros)
Ficheros que contengan datos sobre solvencia patrimonial y crédito. E) Ficheros que contengan un conjunto de
datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17
a 20).
• Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial,
salud, vida sexual.
MEDIDAS DE SEGURIDAD
BÁSICO
MEDIO
ALTO
Documento de Seguridad
Identificación y Autenticación:
1.- Existencia de una lista actualizada de usuariosautorizados que tengan acceso autorizado al sistema
deinformación (art.11.1 y 12.3).2.- Procedimientos de identificación y autenticacióninformáticos:a)
Contraseñas: procedimiento de creación, asignación,conservación y cambio periódico (art.11.2 y 11.3).b)
Identificación de usuario, de manera inequívoca ypersonalizada (art.18.1).c) Limitación de acceso incorrecto
reiterado (art.18.2).Control de Acceso:1.- Los usuarios tendrán únicamente acceso a losdatos/recursos de
acuerdo a su puesto laboral y tareasdefinidas en el documento (art.12.1).2.- Deberán implantarse mecanismos
que eviten el accesono autorizado a otros recursos: establecimiento de perfilesde usuario (art.12.2).3.- Control
de acceso físico a servidores y CPD (art.19).4.- De cada acceso se guardarán: identificación usuario,fecha y
hora, fichero accedido, tipo de acceso y suautorización o denegación, guardando la información quepermita
identificar registro accedido (art.24.2).5.- Los mecanismos de acceso estarán bajo el controldirecto del
Responsable de Seguridad, sin que puedapermitirse la desactivación (art.24.3).6.- Registro y conservación de
accesos lógicos al ficheropor un plazo no inferior a 2 años (art.24.4).7.- Para accesos a través de redes de
telecomunicaciones,deberán tener las mismas medidas que para accesos enmodo local (art.5).
MEDIDAS DE SEGURIDAD
BÁSICO
MEDIO
ALTO
Funciones y obligaciones del personal:1.- Definición en el Documento de Seguridad de lasfunciones y
obligaciones de grupos de usuarios y/o perfiles(art.9.1).2.- Conocimiento por parte del personal de las normas
ymedidas de seguridad que les son aplicables (art.9.2).3.- Identificación y funciones del/los Responsables
deSeguridad (art.15 y 16).4.- Trabajo fuera de ubicación principal debe serexpresamente autorizado (art.6).5.-
Listado de personal con acceso a Servidores y/o CPD(art.19).6.- Listado de personal con privilegios
administrativosinformáticos sobre aplicaciones y ficheros (art.12.4).Estructura de los Ficheros y del
Sistema Informático:1.- Descripción y estructura informática del Fichero (camposID)2.- Descripción y
estructura del Sistema Informático(enumeración de equipos, redes, programas, etc...)Gestión de Soportes:1.-
Identificación, inventariado y almacenamiento (art.13.1).2.- Autorización necesaria para salida de
soportes(art.13.2).3.- Cifrado de soportes en caso de operaciones externas demantenimiento (art.20.4).4.-
Medidas y procedimientos para la destrucción desoportes (art.20.3).5.- Registro de Entrada de Soportes
(art.20.1).6.- Registro de Salida de Soportes (art.20.2).7.- Distribución de soportes con mecanismos de cifrado
dedatos (art.26).Ficheros Temporales: Aplicación de mismo nivel de seguridad que fichero origen(art.7).
CUESTIONARIO

1. ¿Qué establecerá tomar en cuenta la administración informática al planear la adquisición de un software?

2. ¿Qué se requiere para un proyecto de contratación de desarrollo o construcción de software? 3. Menciona
algunos de los beneficios del licenciamiento del software: 4. En que consiste la contratación de una licencia de
software 5. ¿Cómo podemos adquirir una licencia de software? 6. A que se orientan principalmente los
términos y condiciones del licenciamiento de software que delimitan del uso del mismo: 7. ¿Se encuentra
denegado el acceso a páginas Web no-permitidas? 8. ¿Existe un tamaño máximo permitido para envío/recibo
de archivos? 9. ¿Permiten realizar cualquier tipo de descarga? 10. ¿El usuario es responsable de la utilización
que le dé a los servicios de Correo electrónico y de Internet? 11. ¿El personal tiene completamente prohibido
instalar copias ilegales de cualquier programa? 12. ¿Manejan Cuentas de Usuario? 13. ¿Cuáles?

14.

¿Requieren criterios en la construcción de contraseñas seguras?

15.

¿Cuáles?

TABLAS DE COTEJO

LISTA DE COTEGO “INFORME SOBRE LAS POLITICAS Y CONTROLES EN LOS RECURSOS INFORMATICOS”

Normas

Bajo Medio Alto Planea la adquisición de un software Licenciamiento del software Acceso restringido a
páginas Web no-permitidas Políticas de acceso a internet Hay procedimientos para respaldos de información
Manejan Mecanismos de seguridad El Reglamento establece los niveles de seguridad de forma acumulativa;
así, en caso de tratamiento de ficheros de nivel medio, deberán implantarse todas y cada una de las medidas
de seguridad descritas para el nivel básico y las del medio. Igualmente sucederá con los ficheros de nivel alto,
que deberán implantar las medidas descritas para el nivel básico, el medio y el alto. En resumen:

• Nivel Básico: Para todos los ficheros de datos de carácter personal.

• Nivel Medio: Serán adoptadas para:

a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. b) Ficheros
que contengan datos sobre Hacienda Pública. c) Ficheros que contengan datos sobre Servicios Financieros. d)
Ficheros que contengan datos sobre solvencia patrimonial y crédito. e) Ficheros que contengan un conjunto de
datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17
a 20).

• Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial,

salud, vida sexual.

MEDIDAS DE SEGURIDAD

BÁSICO

MEDIO

ALTO

Documento de Seguridad

Identificación y Autenticación:

1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de
información (art.11.1 y 12.3). 2.- Procedimientos de identificación y autenticación informáticos: a)
Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico (art.11.2 y 11.3). b)
Identificación de usuario, de manera inequívoca y personalizada (art.18.1). c) Limitación de acceso incorrecto
reiterado (art.18.2). Control de Acceso: 1.- Los usuarios tendrán únicamente acceso a los datos/recursos de
acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1). 2.- Deberán implantarse
mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario
(art.12.2). 3.- Control de acceso físico a servidores y CPD (art.19). 4.- De cada acceso se guardarán:
identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación,
guardando la información que permita identificar registro accedido (art.24.2). 5.- Los mecanismos de acceso
estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación
(art.24.3). 6.- Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años (art.24.4).
7.- Para accesos a través de redes de telecomunicaciones, deberán tener las mismas medidas que para accesos
en modo local (art.5)

MEDIDAS DE SEGURIDAD

BÁSICO

MEDIO

ALTO

Funciones y obligaciones del personal: 1.- Definición en el Documento de Seguridad de las funciones y
obligaciones de grupos de usuarios y/o perfiles (art.9.1). 2.- Conocimiento por parte del personal de las normas
y medidas de seguridad que les son aplicables (art.9.2). 3.- Identificación y funciones del/los Responsables de
Seguridad (art.15 y 16). 4.- Trabajo fuera de ubicación principal debe ser expresamente autorizado (art.6). 5.-
Listado de personal con acceso a Servidores y/o CPD (art.19). 6.- Listado de personal con privilegios
administrativos informáticos sobre aplicaciones y ficheros (art.12.4). Estructura de los Ficheros y del Sistema
Informático: 1.- Descripción y estructura informática del Fichero (campos ID) 2.- Descripción y estructura del
Sistema Informático (enumeración de equipos, redes, programas, etc...) Gestión de Soportes: 1.- Identificación,
inventariado y almacenamiento (art.13.1). 2.- Autorización necesaria para salida de soportes (art.13.2). 3.-
Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4). 4.- Medidas y
procedimientos para la destrucción de soportes (art.20.3). 5.- Registro de Entrada de Soportes (art.20.1). 6.-
Registro de Salida de Soportes (art.20.2). 7.- Distribución de soportes con mecanismos de cifrado de datos
(art.26). Ficheros Temporales: Aplicación de mismo nivel de seguridad que fichero origen (art.7)
 TABLAS DE COTEJO

LISTA DE COTEJO “INFORME SOBRE LAS POLITIAS Y CONTROLE EN LOS RECURSOS INFORMATICOS”

NORMAS BAJO MEDIO ALTO

Planea la adquisicion de un softwae 
Licencimiento de software 
Acceso restringido a paginas web 
Poloticas de acceso a internet 
Hay procedimientos para repaldos de informacion 
Manejan mecanismos de seguridad 

MEDIDAS DE SEGURIDAD BASICO MEDIO ALTO

Documento de Seguriad
Identificacion y Autentificacion
1.- Existencia de una lista actualizada de usuarios autorizados que   
tengan acceso autorizado al sistema de informacion.
2.- Procedimientos de identificacion y autentificacion informaticos
a) Contraseñas: Procedimiento de creacion, asignacion,   
conservacion y cambio periodico
b) Identificacion de usuario, de manera inequivoca y  
personalizada
c) Limitacion de acceso incorrecto reiterado  
CONTROL DE ACCESO
1.- Los usuarios tendran unicamente acceso a los datos/recursos   
de acuerdo a su puesto laboral y tareas definidas en el documento
2.- Deberan implantarse mecanismos que eviten el acceso no   
autorizado a otros recursos; establecimiento de perfiles de
usuarios
3.- Control de acceso fisico a servidores y CPD  
4.- De cada acceso se guardaran: Identificacion usuario, fecha y 
hora, fichero accedido, tipo de acceso y su autorizacion o
denegacion, guardando la informacion que permita identificar
registro accedido.
5.- Los mecanismos de acceso estaran bajo el control directo del 
Responsable de Seguridad, sin que pueda permitirse la
desactivacion.
6.- Registro y conservacion de accesos logicos al fichero por un 
plazo no inferior a 2 años.
7.- Para accesos a traves de redes de telecomunicaciones. Deberan   
tener las mismas medidas que para accesos en modo local

MEDIDAS DE SEGURIDAD BASICO MEDIO ALTO

Funciones y obligaciones del personal:
1.- Definicion en el Documento de Seguridad de las funcioes y   
obligaciones de grupos de usuarios y/o perfiles
2.- Conocimieto por parte del personalde las normas y medidas de   
seguridad que les son aplicables
3.- Identificacion y funciones del/los Responsables de Seguridad  
4. Trabajo fuera de ubicación principal debe ser expresamente   
autorizado
5.- Listado de personal con a cceso a Servidores y/o CPD   
6.- Listado de personal con privilegios administrativos   
informaticos sobre aplicaciones y ficheros.
Estructura de los Ficheros y del Sistema Informatico:
1.- Descripcion y estructura informatica del fichero   
2.- Descripcion y estructura informatica   
Gestion de soportes
1.- Identificacion, invetariado y almacenamiento   
2.- Autorizacion necesaria para salida de soportes   
3.- Cifrado de soportes en caso de operaciones externas de  
manteimiento
4.- Medidas y procedimientos para la destruccion de soportes  
5.- Registro de entrada de soportes  
6.- Registro de salida de soportes  
7.- Distribucion de soportes con mecanismos de cifrado de datos 
Ficheros temporales
Aplicación de mismo nivel de seguridad que fichero origen   
MEDIDAS DE SEGURIDAD   
Registro de Incidencias:
1.- Contenido minimo: Tipo de incidencia, momento en que se  
produce, efectos producidos, persona que comunica, medidas
adoptadas
2.- Contenido adicional: Procedimiento de restauracion de datos,   
datos restaurados y datos gravados manualmente
Procedimientos de Copias de Respaldo y Recuperacion de datos:   
1.- Deberan garantizar la restauracion de los datos al momento  
anterior a producirse la perdida
2. Realizacion de copias de backup al menos con una frecuencia 
semanal
3.- Necesaria autorizacion para la ejecucion de procedimientos de  
restauracion de datos.
4.- Almecenamiento externo de copias y procedimientos de  
restauracion de datos
Pruebas con datos reales
Aplicación de mismas medidas según nivel de seguridad de los   
datos
Actualizacion y Auditoria
1.- Revision y actualizacion del Documento de Seguridad en  
funcion de cambios relevantes de la Organización
2.- Auditoria cada 2 años. Coservacion de Informe a disposicion 
AEPD
 3. Revision periodica de la informacion de control de los 
accesos Informaticos a ficheros y aplicaciones
Medidas especializadas para datos en soporte papel:  
1.- Control de acceso a la documentacion   
 2.Medidas de conservacion y almacenamiento   
3.- Procedimientos y mecanismosde destruccion que impidan   
posterior recuperacion de la informacion que contienen
z