CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVA

LOGO IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZ

CHECKLIST
EMPRESA:
FUNCIONARIO:
CARGO:
Nº PREGUNTAS SI NO NA
FISICA
¿Estáá n lás instáláciones del dátá center protegidás de ácceso no áutorizádo?
1

¿Cuáá l de los siguientes controles fíásicos áplicán párá lás instáláciones del
2 cuárto de telecomunicáciones?
á) Períámetro de seguridád definido
b) Sistemá de deteccioá n de intrusos
c) Puertás de seguridád con sistemá de ácceso
d) Otro (especifíáquelo en lá cásillá de observáciones)
3 ¿Cuáá l de los siguientes controles fíásicos áplicán párá ácceder ál ÁÁ reá de TI?
á) Cárnet de Identificácioá n
b) Registro de visitántes
c) Otro (especifíáquelo en lá cásillá de observáciones)
4 ¿Lá instálácioá n donde estáá ubicádo el cuárto de telecomunicáciones cuentá
con condiciones fíásicás ádecuádás de ácuerdo á lá normá?
á) Páredes
b) Piso
c) Techo
5 ¿Cuáá les de lás siguientes medidás contrá incendios tienen implementádás?

á) Álármá
b) Extintores
c) Sistemá contrá incendios
d) Otro (especifíáquelo en lá cásillá de observáciones)
6 ¿El Sistemá de Cábleádo Estructurádo estáá disenñ ádo e instáládo cumpliendo
lás normás internácionáles vigentes?
7 ¿Tienen documentádo el disenñ o de lá red?
8 ¿Tienen estáblecido controles párá llevár á cábo el mántenimiento preventivo
y correctivo de los equipos de lá empresá?
9 ¿Se tiene estáblecido controles párá llevár á cábo el mántenimiento de lás
instáláciones donde se encuentrá ubicádo el cuárto de telecomunicáciones?

RED
10 ¿Se tiene determinádo quienes compárten los dátos á tráveá s de lá red y como
los utilizán?
11 ¿Se tienen documentádos y/o áctuálizádos los inventários de áctivos fíásico y
loá gicos de lá red?
12 ¿Son documentádás lás fállás y/o problemás que ocurren en lá red?
13 ¿Existen controles definidos de ácceso á lá red interná?
14 ¿Cuentá con un dispositivo firewáll párá proteccioá n y ásegurámiento de lá
red?
SOFTWARE
15 ¿Los equipos de coá mputo cuentán con Ántivirus áctuálizádos?
16 ¿Lás áplicáciones instáládás en el servidor de BD estáá n debidámente
17 áctuálizádás?
¿Se monitoreá constántemente el rendimiento y el ácceso á los servidores?
18 ¿Son guárdádos de mánerá segurá los dátos sensibles de los equipos ántes de
uná reinstálácioá n?

19 ¿Los dátos que viáján por intránet estáá n cifrádos?

ORGANIZACIÓN
20 ¿Existe un depártámento o dependenciá que se dedique á lá ádministrácioá n
de lá red y los servicios de TI?
21 ¿Existe uná estructurá orgáá nicá párá dichá ÁÁ reá con sus correspondientes
funciones?
22 ¿El nuá mero de personás que constituyen áctuálmente el ÁÁ reá de TI son
suficientes párá controlár los diferentes procesos de TI?

23 ¿Existe un plán de cápácitácioá n párá el personál del ÁÁ reá de TI en áspectos

relácionádos con lás TIC y procesos de certificácioá n?
24 ¿Estáá n clárámente definidás lás responsábilidádes del recurso humáno párá
proteger los áctivos ásíá como lá ejecucioá n del proceso de seguridád?
25 ¿Existen políáticás de seguridád áctuálizádás?
26 ¿Lás políáticás de seguridád estáá n debidámente sociálizádás con el personál de
lá empresá?
27 ¿Párá ser movidos los equipos, softwáre o informácioá n fuerá de lás
instáláciones requiere de uná áutorizácioá n?
NAZAS Y SALVAGUARDAS
DADES Y AMENAZAS

OBSERVACIONES
 CARACTERIZACIÓN DE ACTIVOS, AMENAZAS
LOGO IDENTIFICACIÓN DE VULNERABILIDADES
ANALISIS DE RIESGOS
EMPRESA:
FUNCIONARIO:
CARGO:
ITEM ACTIVO VULNERABILIDADES P.O.
El cuárto de telecomunicáciones no estáá
protegido del ácceso de personás no
1 áutorizádás.

No se tiene estáblec ido Controles fíásicos de

2 ácceso ál cuárto de telecomunicáciones
No se tiene estáblec ido Controles fíásicos de
3 ácceso ál áá reá de TI
Humedád
4 Electricidád estáá ticá
Polvo
Obstáá culo párá reáccionár de mánerá eficáz
ánte incidentes ocásionádos
5
Inexistenciá de un sistemá que reduzcá el
nivel de dánñ o en cáso de un incendio
Dificultád párá lá locálizácioá n de dánñ os
6 Interferenciás en lá tránsmisioá n de dátos
Dificultád párá el mántenimiento de lá red
Dificultád párá identificár puntos exáctos en
7 cáso de ocurrir dánñ os en lá red
El mántenimiento de los equipos no se
8 reálice en el momento requerido
Ácumulácioá n de pártíáculás dánñ inás
9

10 No se monitoreá el tráá fico de lá red

Inventário no tiene lá informácioá n completá
11 de álgunos de los áctivos informáticos de lá
empresá

Inexistenciá de un registro de fállás de lá red

12

Lá LÁN no estáá segmentádá

13
 Fáá cil ácceso ál sistemá
14

Los equipos no tienen Ántivirus áctuálizádos

15
Softwáre de báse de dátos desáctuálizádo
16

Desconocimiento del rendimiento de los

servidores
17
No se cuentá con un registro de ácceso á los
servidores
No se hácen copiá de los dátos ántes de uná
18 reinstálácioá n
No se cuentá con un sistemá de cifrádo párá
19 proteger lá informácioá n que se tránsportá
por intránet
No se ádministrá eficázmente los procesos de
20 TI
No se tiene uná distribucioá n de
21 responsábilidádes
No se cuentá con el personál suficiente párá
22 controlár los distintos procesos
No se cápácitá ál personál del áá reá de TI en
23 tecnologíáás de lá informácioá n y lá
comunicácioá n y procesos de certificácioá n
No se tiene estáblecidás lás
24 responsábilidádes del personál párá lá
proteccioá n de los áctivos
No estáá n áctuálizádás lás políáticás de
25 seguridád

No se sociálizá lás políáticás de seguridád con

26 el personál de lá empresá
Los áctivos son sácádos fácilmente de lás
27 instáláciones de lá empresá
ÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS
ACIÓN DE VULNERABILIDADES Y AMENAZAS
ANALISIS DE RIESGOS

FECHA:
AMENAZAS P.E. TOTAL
Robo de informácioá n 0
Dánñ os á los equipos 0
Intrusioá n de softwáre málicioso 0
Mánipulácioá n de lá informácioá n 0
Ácceso de personál no áutorizádo
0
Ácceso de personál no áutorizádo
0
Se genere un corto circuito 0
Dánñ os á los equipos 0
Disminuye rendimiento de los equipos 0
Dánñ o párciál o totál de los equipos
0
Perdidá de informácioá n
0

0
Perdidá de informácioá n 0
0
Párálizácioá n de áctividádes
0
Fállos en los equipos
0
Disminuye el rendimiento de los equipos 0
Se genere un corto circuito 0
Intrusos obtengán y mántengán ácceso á lá red 0
Perdidá de los áctivos
0

No se minimizá lá posibilidád de que los sucesos

ocurridos ánteriormente se vuelván á generár. 0

No se controlá el ácceso de usuários no

áutorizádos 0
Robo de informácioá n 0
Destruccioá n de lá informácioá n 0
Interrupcioá n del funcionámiento del sistemá 0
Intrusioá n de softwáre málicioso
0
Intrusos 0
Softwáre málicioso 0
Mál funcionámiento de los servidores
0
hácker
0
Perdidá de lá informácioá n
0
Intercepcioá n de informácioá n confidenciál
0

Bájo rendimiento de lás operáciones de lá

empresá 0
Nádie se háce responsáble por los dánñ os
ocásionádos 0
Deficiente funcionámiento de los procesos de lá
empresá 0
Los procesos de lá empresá no se desárrollá
eficientemente 0

Los áctivos estáá n propensos á sufrir dánñ os

0

No se contrálán ádecuádámente los distintos

sucesos que áfectán los equipos y lá informácioá n 0

No se protegen los áctivos de lá informácioá n

0
Extráccioá n de informácioá n confidenciál 0
Robo del áctivo 0