LLERENA ARGOTE & ASOCIADOS S. Civil de R.L.

Auditores y Consultores de Negocios

Cuestionario Informático

Cliente:.
RUC:
Domicilio Fiscal:
Fecha de cierre:

Con la finalidad de conocer las operaciones que realiza la Empresa, requerimos que nos absuelvan las
interrogantes que a continuación se detallan:

Si No N/A Comentarios y/o sustento

Evaluación y Tratamiento de riesgos de seguridad.
1.- ¿La empresa tiene un Plan de Tratamiento de Riesgos de
seguridad?
Política de seguridad de la información
2.- ¿Cuenta la empresa con un documento de política de seguridad
de la información, aprobado y comunicado a los empleados y
partes externas pertinentes?
Organización de la seguridad de la información.
3.- ¿Cuenta la empresa con un documento de Compromiso de
Confidencialidad en el tratamiento de la información?
4.- ¿Tiene la empresa una estructura organizacional con roles y
responsabilidades de acuerdo a la proporcionalidad de los datos
a proteger, claramente definidos y documentados?
Gestión de Activos de información.
5.- ¿Cuenta la empresa con un inventario actualizado y completo de
los activos que sustentan procesos críticos del negocio?
Seguridad en Recursos humanos.
6.- ¿Cuenta la empresa con un proceso formal de inducción para
introducir las políticas y expectativas de seguridad de la
organización antes de que el acceso a la información o servicios
sea autorizado?
7.- ¿La empresa desarrolla un programa de creación de conciencia
y entrenamiento en materia de protección de datos personales?
Seguridad física y ambiental.
8.- ¿Cuenta la empresa con los controles físicos, y de acceso
adecuados para brindar seguridad a los equipos de
procesamiento de información y a las áreas de operaciones,
protegiéndolos del acceso y uso no autorizado?
9.- ¿Tiene la empresa controles de seguridad para los ambientes en
los que se procese, almacene o transmita la información?
10.- ¿Cuenta la empresa con procedimientos de mantenimiento
preventivo y correctivo de los equipos de cómputo?
Gestión de comunicaciones y operaciones.

11.- ¿Cuenta la empresa con un procedimiento para realizar pruebas

de recuperación de los backups, que permita la recuperación
completa y precisa de los datos de transacciones y permanentes
 LLERENA ARGOTE & ASOCIADOS S. Civil de R.L.
Auditores y Consultores de Negocios

(archivo maestro) y el reenganche automático del procesamiento

en caso de interrupciones temporales del servicio?
12.- ¿Tiene la Empresa el procedimiento con los mecanismos de
respaldo de la información de los sistemas y de la base de
datos?
13.- ¿Cuenta la empresa con procedimiento de eliminación de
información contenida en medios informáticos removibles?
Adquisición, desarrollo y mantenimiento de sistemas de información

14.- ¿Existen controles diseñados para asegurar que todas las

transacciones aprobadas y otros datos ingresados en el sistema
de aplicación fueron procesados en forma oportuna.
15.- ¿Existen controles adecuados para asegurar que se utiliza la
versión correcta de los archivos de datos y programas de
producción durante el procesamiento de información?
16.- ¿Existen procedimientos adecuados para probar los cambios a
los programas que requieren la aprobación de los usuarios y del
supervisor antes de que los mismos sean aceptados?
17.- Responder solo si el personal no tiene acceso al código fuente
de aplicación:
a. ¿Existe control sobre el registro e implementación
de las últimas versiones de software de aplicación
y/o sistema?
b. ¿Existe la suficiente documentación técnica del
software de aplicación que permita respaldar su
ejecución y mantenimiento?
18.- Si el personal tiene acceso al código fuente de aplicación:
a. ¿Existen controles adecuados sobre cambios a
los programas?
b. ¿Existen procedimientos adecuados para probar
los cambios a los programas que requieren la
aprobación de los usuarios y del supervisor de
programación antes de que los mismos sean
aceptados?
19.- ¿Existen controles para asegurar que las transacciones
rechazadas por los controles de validación sean inmediatamente
identificadas en el sistema, analizadas y corregidas por
personas autorizadas en forma oportuna?
Control de accesos.
20.- ¿Genera y mantiene registros que provean evidencia y
trazabilidad sobre las interacciones con los datos lógicos?
21.- ¿Existen controles de validación diseñados para asegurar que
las transacciones sean ingresadas en forma precisa?
22.- ¿Existen controles para asegurar que se han ingresado en forma
precisa solamente los datos autorizados?
Gestión de incidentes de seguridad de la información.
23.- ¿La empresa desarrolla un procedimiento de gestión de
incidentes para la protección de datos?
24.- ¿La Empresa tiene procedimientos documentados de registros
de acceso, registro de incidentes y problemas con los recursos
de procesamiento de la información?.
 LLERENA ARGOTE & ASOCIADOS S. Civil de R.L.
Auditores y Consultores de Negocios

Gestión de continuidad del negocio.

25.- ¿Cuentan la empresa con un Plan de Continuidad del negocio?
Cumplimiento.
26.- ¿El software usado en los equipos de cómputo y servidores
cuenta con la licencia correspondiente?
27.- ¿La empresa programa revisiones regulares del contenido del
Software y datos de los sistemas que sustentan procesos
críticos del negocio?

Observaciones: _______________________________________________________________________
____________________________________________________________________________________

Especialista Informático:
_______________________________________________________________________
_____________________________________________________________________________________
________

Gerente General:
______________________________________________________________________________
_________________________________________________________________________________________
____