Auditoría de sistemas Sundance Air Venezuela, S.

A
Levantamiento de información
(Borrador)

5 Políticas de seguridad de la información:

5.1 Gestión de la seguridad de la información:
5.1.1 Políticas de la seguridad de la información
 ¿Existen políticas de seguridad?
 ¿Estas políticas están aprobadas por la directiva?
 ¿Estas políticas estas siendo bien comunicadas a los empleados?
5.1.2 Revisión de las políticas de información:
 ¿Estas políticas están sujetas a revisión?
 ¿Las revisiones se llevan a cabo de forma regular?
 ¿Las revisiones se llevan a cabo cuando las circunstancias cambian?

8 Gestión de activos
8.1 Responsabilidad de los activos
8.1.1 Inventario de activos
 ¿Existe algún inventario de los activos relacionados con el manejo de la
información procesada en la organización?
 ¿Este inventario es preciso y se mantiene constantemente actualizado?
8.1.2 Propiedad de los activos
 Todos los activos relacionados con la información deben contener claramente
definidos el autor, quien debe ser consciente de sus responsabilidades.
8.1.3 Uso apropiado de los activos.
 ¿Hay alguna política de uso por cada tipo de activo de información?
 ¿Los usuarios están conscientes de esta política antes de usar dichos activos?
 8.2 Clasificación de la información
8.2.1 Clasificación de la información.
 ¿Existe una política que cubra la clasificación de la información?
 ¿Hay un proceso por el cual la información puede ser correctamente clasificada?

8.2.2 Etiquetado de la información.

 ¿Existe un proceso o procedimiento para asegurar que la clasificación de la
información este correctamente marcada en los activos?

8.3 Manejo de dispositivos extraíbles

8.3.1 Gestión de los dispositivos extraíbles.
 ¿Existe una política que cubra los dispositivos extraíbles?
 ¿Hay un proceso que cubra como estos dispositivos son gestionados?
 ¿Estas políticas/procesos han sido comunicadas a todos los empleados que
usen dispositivos extraíbles?
8.3.2 Desecho de dispositivos
¿Existe un procedimiento formal cubra como los dispositivos extraíbles son
desechados?
8.3.3 Dispositivos en transito
 ¿Existen políticas o procedimientos que detallen como los dispositivos deben ser
transportados?
 ¿Estos dispositivos están protegidos contra accesos no autorizado, mal uso o
perdida de información?

9 Control de acceso
9.1 Requerimientos empresariales para el control de acceso
9.1.1 Políticas de control de acceso
¿Existe alguna política que documente el control de acceso?
¿Esta política responde a las necesidades de la empresa?
¿Esta política ha sido comunicada apropiadamente?
9.1.2 Acceso a redes y servicios asociados
¿Los controles establecidos aseguran que los usuarios solamente tengan
acceso a los recursos de red a los cuales han sido explícitamente autorizados para el
cumplimiento de sus responsabilidades?
 9.3 Responsabilidad del usuario
9.3.1 Uso de información confidencial para la autenticación.
¿Existe una política que cubra las prácticas empresariales el manejo de la
información de autenticación?
¿Esta política ha sido comunicada a todos los usuarios?
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información.
¿El acceso a la información y a las funcionalidades del sistema están en
concordancia con la política
9.4.3 Gestión de contraseñas de usuario
¿La gestión de las contraseñas es interactiva?
¿Las contraseñas complejas son obligatorias?

11 Seguridad física y ambiental

11.1 Áreas seguras
11.1.1 Perímetro de área segura.
¿Esta designado un perímetro de seguridad?
¿Las áreas de información sensible o critica están aisladas y vigiladas?
11.2 Seguridad de los equipos
11.2.1 Emplazamiento y protección de equipos.
¿Los riesgos del entorno están identificados y se consideraron al momento de
ubicar los equipos?
¿Los riesgos de un acceso no autorizado se consideraron a la hora de ubicar los
equipos?
11.2.2 Instalaciones de suministro
¿Hay fuentes UPS o de respaldo?
11.2.4 Mantenimiento de los equipos
¿Los equipos se someten periódicamente a una revisión?
12 Seguridad en la operatividad
12.3 Copias de seguridad
12.3.1 Copias de seguridad de la información
¿Existe una política de respaldos de seguridad?
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Gestión de las vulnerabilidades técnicas.
¿La empresa tiene acceso a información actualizada sobre vulnerabilidades
técnicas?
¿Existe un proceso para evaluar y reaccionar frente a nuevas vulnerabilidades?
12.6.2 Restricciones en la instalación de software
¿Existe un proceso para restringir la instalación de software por parte del
usuario?

13 Seguridad en las telecomunicaciones

13.1 Gestión de la seguridad en las redes
13.1.1 Controles de red
¿Existe un proceso para la gestión de las redes?
13.1.3 Segregación de redes
¿La topología de la red fuerza la segregación de la red para diferentes tareas?

16 Gestión de incidentes en la seguridad de la información

16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Responsabilidades y procedimientos
¿Las responsabilidades están claramente definidas y documentadas en el
proceso de gestión de incidentes?
16.1.2 Notificación de los eventos de seguridad de la información.
¿Hay un proceso para reportar a tiempo los incidentes relacionados con la
seguridad de la información?
¿Existe un proceso para actuar sobre el incidente de seguridad reportado?
16.1.3 Notificación de puntos débiles de la seguridad
 ¿Existe un proceso para notificar una debilidad en la seguridad de la
información?
¿Este proceso ha sido ampliamente difundido?
16.1.5 Respuesta a los incidentes de seguridad
¿Existe un proceso de respuesta que refleje la confidencialidad e importancia de
los incidentes de seguridad de la información?