SOFTWARE

1. Existe un documento que muestre la distribucin del equipo y sus usuarios 2. Que software (paquetes, lenguajes, sistemas de informacin, sistemas operativos, bases de datos, etc.) hay instalado?Cuales son las versiones correspondientes? 3. Existe una administracin formal de software?Quien es el responsable? 4. En caso de no tener esta administracin formal, indique como se da seguimiento a los siguientes aspectos: 4.1. Planeacin de nueva tecnologa de informacin. 4.2. Monitoreo de las actividades de manejo y actualizacin de software 4.3. Procedimientos de control y seguridad 4.4. Aspectos legales del software instalado 4.5. Capacitacin y soporte a usuarios 5. El personal responsable de administrar o manejar el software fue capacitado y preparado para el manejo del mismo? 6. Existe la documentacin formal que especifique que hacer y como llevar a cabo cada una de las funciones de administracin del software. 7. Existe un plan vacaciones y de reemplazo de personal que asegure el servicio continuo a los usuarios. 8. Como se canalizan las dudas, sugerencias y compromisos entre los usuarios y responsables de la administracin de software. 9. Qu les garantiza que se esta utilizando el software idneo? 10. Existen anlisis costo/beneficio de los diferentes estrategias de software implantadas?Se han aprobado formalmente? 11. Existen procedimientos que aseguren la oportuna y adecuada instalacin del software conforme se hayan realizado los contratos y compras formales del mismo? 12. Mencione las actividades que se realizan durante la instalacin de la tecnologa adquirida (software, hardware, procedimientos, entre otros) 13. Las compras de software as como su instalacin se derivan de un proceso de planeacin y evaluacin formal? Cmo aseguran que esto se cumpla? 14. En caso de que las compras e instalacin del software no hayan sido planeadas formalmente como se justifica esto ante los responsables de informtica y de las reas usuarias? 15. En cuanto a la instalacin del software Cmo se aseguran que este haya sido comprado legalmente?Como previenen que no se instalen en otros equipos de la empresa sin licencia de uso?Que hacen cuando detectan algunas anomalitas al respecto? 16. Quien es el responsable de las actividades de seguridad y control para garantizar el uso adecuado y la proteccin de dicho software? 17. Cuando son terceros (personal externo) los encargados de la instalacin del software, Cmo asegura la empresa que este se haga conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? 18. Tiene alguna(s) sugerencia(s) que apoye el proceso de instalacin? 19. Indique si existen estndares relativos a la operacin y administracin como: 19.1. Programas de capacitacin: 19.1.1. Calendario de cursos 19.1.2. Costo de los cursos 19.1.3. Material empleado en los cursos 19.1.4. Lugares donde se impartirn los cursos 19.1.5. Evaluacin de los cursos

20. 21. 22. 23. 24. 25. 26.

27. 28. 29. 30.

19.1.6. Otros 19.2. Estndares de actualizacin: 19.2.1. Software por actualizar o reemplazar 19.2.2. Calendarios (fechas, horarios, etc.) 19.2.3. Responsables 19.2.4. Otros Si existen estos estndares son aplicados formalmente por los responsables de software? Como se da seguimiento al cumplimiento de los mismos? Una vez que se aplican estos estndares Qu datos relativos a los resultados de los mismos se envan a otras reas (usuarios, auditoria en informtica, entre otros)? Los costos por el uso del software se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas idnticos entre los usuarios? El usuario aprueba formalmente este procedimiento de pago? Se tienen procedimientos que protejan los datos transmitidos de un equipo de computo a otro (generados por el uso de software)?Cuales son? Indique si se tiene identificada formalmente la siguiente informacin: 26.1. Usuarios 26.2. Registros y niveles de acceso 26.3. Equipos donde se encuentre instalado cada tipo de software 26.4. Software original y pirata instalado en los equipos 26.5. otros Estos registros los genera algn software o los responsables del mismo? Se cuenta con una lnea telefnica disponible las 24 hrs. del da para atender quejas y dudas de los usuarios? Existe un procedimiento formal para proporcionar un servicio oportuno y eficiente a los requerimientos de los usuarios? Lo conocen los usuarios? Los equipos tienen controles de acceso a personas no autorizadas (equipo, datos y software)? a. En caso de contar con estos controles estn diseados para prevenir, detectar o corregir el acceso no autorizado a los diferentes tipos de software? b. Si es as, Quines son los responsables de darle seguimiento? c. Verificar que tales controles contemplen al menos: a. Proteccin de archivos b. Proteccin a programas fuente de las aplicaciones que estn en los equipos c. Proteccin a otro software alojado en los equipos d. Mtodos para prevenir el monitoreo no autorizado del equipo e. Deteccin inmediata y automatizada de accesos no autorizados a los equipos f. Contraseas que autoricen acceso a los equipos y eviten el acceso a archivos no autorizados g. Otros d. Verificar que estos controles cuenten con a. Bitcoras de acceso a las reas donde se encuentra el equipo y el software b. Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores, etc. c. Listado de personal con acceso autorizado a las terminales y controlares del equipo d. Otros

31. Se tiene un seguro que proteja al software y el equipo? 32. Se tienen alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en alguno de los equipos?Cuenta convenios con otras empresas? 33. Estos convenios estn formalizados? 34. Indique si se ha tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo del software instalado en la empresa, como las siguientes: 34.1. Evaluacin peridica del software y el equipo donde esta instalado: Hardware, Software, grado de satisfaccin, grado de utilizacin, etc. 34.2. Acceso a los equipos: Nuevos usuarios, niveles de acceso por perfil de usuario, asignaciones de software o datos por utilizar, consultar, modificar, borrar, entre otros. 34.3. Aspectos administrativos: Administrador u operadores (tareas, sueldos, capacitacin, vacaciones, reemplazos, otros). 34.4. Capacitacin: Planeacin, ejecucin y actualizacin 34.5. Crecimiento del equipo: Usuarios, software de aplicaciones 34.6. Respaldo: Datos, equipo, software, aplicaciones entre otros. 34.7. Seguridad: Controles, procedimientos, software de auditoria, niveles de acceso, planes de contingencia, plan de reinicializacin, respaldos y recuperacin en caso de desastre, etc.

HARDWARE
1. Cuntos tipos de equipo tienen? (mencione sus caractersticas bsicas, perifricos y atributos bsicos de estos) 2. En caso de no tener esta administracin formal del equipo de computo Con que cuenta la empresa, esto es, como se da seguimiento a los siguientes aspectos?: 2.1. Planeacin de nueva tecnologa de informacin (hardware). 2.2. Monitoreo de control y seguridad del equipo 2.3. Procedimientos de control y seguridad del equipo 2.4. Capacitacin y soporte a usuarios 3. Algn personal externo interviene en la administracin del equipo? Quien y por qu? 4. Existe la documentacin que especifique que hacer y como realizar cada una de las funciones de administracin del equipo? 5. Las funciones desarrolladas en la realidad concuerdan con las especificadas en la documentacin? 6. Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? 7. Cmo se canalizan las dudas, sugerencias y compromisos entre usuarios y responsables del equipo? 8. Qu garantiza que se est utilizando la tecnologa del hardware mas adecuada para el negocio? 9. Existen anlisis costo beneficio de las diferentes estrategias de hardware implantadas? Son aprobados de manera formal? 10. Existen procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes del equipo conforme se realicen los contratos y compras formales de los mismos? 11. Mencione las actividades que se efectan durante el proceso de instalacin de los componentes de la tecnologa adquirida (hardware, software, procedimientos, etc.) 12. Las compras de los diferentes elementos del equipo, as como su instalacin se derivan del proceso de planeacin y evaluacin formal? Cmo se aseguran que esto se cumpla? 13. En caso de que las comparas e instalacin de componentes del equipo no se hayan planeado formalmente, Cmo se justifican ante los responsables de informtica y de las reas usuarias involucradas en el uso de dicha tecnologa? 14. Cuando la instalacin parcial o total de cualquiera de los elementos que componen el equipo de computo la realiza personal externo, Cmo se asegura la empresa de que esto se haga conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? 15. Se cuenta con manuales de operacin del equipo? Contemplan aspectos de seguridad? 16. El personal responsable de administrar y operar el equipo fue capacitado y preparado para el manejo del mismo? 17. Indique si existen estndares relativos a la operacin y administracin como: 17.1. Estndares de desempeo: 17.1.1. Tiempos de respuesta 17.1.2. Trfico (volmenes de informacin, velocidad) 17.1.3. Interrupciones 17.1.4. Tiempo de recuperacin del equipo 17.1.5. Equipos o terminales interconectados 17.2. Estndares de mantenimiento: 17.2.1. Calendarios (fechas, horarios, etc.)

17.2.2. Responsables 18. Una vez que se aplican estos estndares Qu datos se envan a otras reas (usuarios, auditoria en informtica)? 19. Los costos por el uso del equipo, se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas identicas entre los usuarios 20. El usuario aprueba formalmente este procedimiento de pago? 21. Se desarrollo o adquiri algn cuestionario estndar que permita establecer el nivel de servicios que brindan las computadoras personales, servidores, estaciones de trabajo, minicomputadoras o mainframes? 22. Se tiene identificada formalmente la siguiente informacin: 22.1. Usuarios del equipo 22.2. Registros y niveles de acceso 22.3. Terminales conectadas a los diferentes equipos 22.4. Responsables del equipo 22.5. Procedimientos y planes de contingencia 22.6. Perifricos conectados a los equipos 22.7. Tipos de CPU 22.8. Capacidad de disco y espacio libre por servidor y micros 23. Existe una lnea telefnica disponible las 24 hrs. del da para atencin de quejas y dudas de los usuarios del equipo? 24. Se tiene un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios del equipo? 25. Los equipos poseen controles de acceso a personas no autorizadas Equipos, datos y software? 26. Existen controles relativos a la seguridad fsica de los diversos componentes del equipo (tarjetas, terminales, manuales, software, documentacin)? 27. En caso de contar con estos controles Cmo se aseguran los responsables de darle seguimiento? 28. Verificar que estos controles cuenten con: 28.1. Proteccin adecuada de los componentes del equipo (cables, tarjetas, terminales, servidores, etc.) 28.2. Bitcoras de acceso a las reas conectadas al equipo 28.3. Mtodos de su control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores, etc. 28.4. Listado del personal con acceso autorizado a las terminales y controlares del equipo 29. Se cuenta con un seguro que proteja el equipo? 30. Se tienen alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en alguno de los equipos? Tienen convenios con otras empresas? 31. Estos convenios estn formalizados? 32. Indique si se han tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo del hardware instalado del negocio, como las siguientes: 32.1. Evaluacin peridica del equipo: hardware, grado de satisfaccin, grado de utilizacin, etc. 32.2. Acceso a los equipos de los nuevos usuarios, niveles de acceso por perfil de usuario. 32.3. Aspectos administrativos: administrador u operadores, tareas, sueldos, capacitacin, vacaciones, reemplazos, entre otros.

32.4. Capacitacin, planeacin, ejecucin y actualizacin 32.5. Crecimiento del equipo: perifricos, memorias y usuarios 32.6. Seguridad: controles, procedimientos, niveles de acceso, planes de contingencia, plan de reiniciacin y recuperacin, etc.

TELECOMUNICACIONES
1. 2. 3. 4. 5. La empresa cuenta con red(es) local(es)? Cuntas micros existen en dicha red, incluyendo el servidor? Qu software se encuentran instalados? Cules son las versiones correspondientes? Existe una administracin formal de la red? En caso de no tener una administracin formal de la(s) red(es) o de las microcomputadoras no conectadas en red de la empresa, Cmo se da seguimiento a los siguientes aspectos?: 5.1. Planeacin de nueva tecnologa de informacin (hardware, software, etc.) para la red 5.2. Monitoreo de las actividades de la operacin y mantenimiento de la red 5.3. Procedimientos de control y seguridad de la red 5.4. Capacitacin y soporte a usuarios Algn personal externo interviene en las funciones de administracin mencionadas? En que funciones participa y por qu? Existe la documentacin formal que especifique que hacer y como efectuar cada funcin administrativa de la red? Las funciones desarrolladas en realidad concuerdan con las especificadas en la documentacin? Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? Como se canalizan las dudas, sugerencias y compromisos entre los usuarios y los responsables de la red? Qu garantiza que se est utilizando la tecnologa de redes mas adecuada para el negocio? Existe un anlisis costo/beneficio de las diferentes estrategias de redes implantadas? Se han aprobado de manera formal? Existen procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red, conforme se hayan realizado los contratos y compras formales de los mismos? Mencione las actividades que se realizan durante el proceso de instalacin de los componentes de la red (hardware, software, procedimientos, etc.) Las compras de los diferentes elementos de la red, as como su instalacin se derivan de un proceso de planeacin y evaluacin formal? Cmo se asegura que esto se cumpla? En caso de que las compras e instalacin de componentes de la red (sea hardware, software u otros) no se hayan planeado formalmente, Cmo se justifica esto ante los responsables de informtica y de las reas usuarias? Cuando son terceros (personal externo) los encargados de la instalacin parcial o total de cualquiera de los elementos que componen la red Cmo se asegura la empresa de que se realice conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? Tiene alguna sugerencias que apoyen el proceso de instalacin? Se cuenta con manuales de operacin de la red? Contemplan aspectos de seguridad? El personal responsable de administrarla y operarla fue capacitado y preparado para el manejo de la misma Indique si existen estndares relativos a la operacin y administracin de la red como: 21.1. Estndares de desempeo: 21.1.1. Tiempos de respuesta 21.1.2. Trfico (volmenes de informacin, velocidad) 21.1.3. Interrupciones 21.1.4. Tiempo de recuperacin de la red

6. 7. 8. 9. 10. 11. 12. 13.

14. 15. 16.

17.

18. 19. 20. 21.

22. 23. 24. 25. 26. 27. 28. 29.

30. 31.

32. 33.

34. 35. 36. 37. 38.

21.1.5. Equipos o terminales interconectados 21.2. Estndares de mantenimiento: 21.2.1. Calendarios (fechas, horarios, etc.) 21.2.2. Responsables Como se mantiene el cumplimiento de los mismos? Una vez que se aplican estos estndares? Qu datos envan a otras reas (usuarios, auditoria en informtica)? Los costos por el uso de la red se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas idnticas entre los usuarios El usuario aprueba formalmente este procedimiento de pago? Se desarrollo o adquiri algn cuestionario estndar que permita conocer el nivel de servicios que brinda la red? Hay procedimientos que protejan los datos transmitidos de una red local a otra(s)? Si se tienen cuales son? Se cuenta con un responsable o un software de comunicaciones que vigile de manera permanente que los datos se transmitan con los estndares de oportunidad totalidad, exactitud y autorizacin de una red? Existen registros (logs) que contengan informacin relevante al administrador de la red o el auditor en informtica? Si es as, seale si estos contienen informacin relativa a: 31.1. Usuarios que accesaron a la red 31.2. Operaciones realizados en la red 31.3. Tiempos de conexin 31.4. Interrupciones en el transcurso del uso de la red 31.5. Causas 31.6. Tiempo para reiniciar cada interrupcin 31.7. Terminales o equipos conectados 31.8. Accesos invalidados a la red 31.9. Terminales donde se llevaron a cabo estos accesos no autorizados Estos registros son generados por algn software de la red o por los responsables de la misma? Seale si se ha identificado formalmente la siguiente informacin: 33.1. Usuarios de la red 33.2. Registros y niveles de acceso 33.3. Terminales conectadas a la red 33.4. Responsables de la red 33.5. Procedimientos de contingencia 33.6. Software de las micros conectadas a la red 33.7. Tipos de unidades centrales de procesamiento (CPU) 33.8. Capacidad de disco o espacio libre por servidor y micros. Existe una lnea telefnica disponible las 24 hrs. del da para atender quejas y dudas de los usuarios de la red? Existe un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios La red posee controles de acceso a personas no autorizadas? En caso de contar con estos controles, Estn diseados para prevenir, detectar o corregir el acceso no autorizado? Verificar que los controles contemplen al menos:

39. 40.

41. 42. 43. 44.

38.1. Proteccin de archivos 38.2. Proteccin a programas fuentes de as aplicaciones en la red 38.3. Proteccin a otro software alojado en la red 38.4. Mtodos para prevenir el monitoreo no autorizado de la red 38.5. Deteccin inmediata y automatizada de accesos no autorizados 38.6. Contraseas que autoricen el acceso a la red, sin permitir la entrada a archivos no autorizados Existen controles relativos a la seguridad fsica de los diversos componentes de la red? (tarjetas, terminales, manuales, software, documentacin, etc.) Verificar que estos controles cuenten con: 40.1. Proteccin adecuada de los componentes de la red (cables, tarjetas, terminales, servidores, etc.) 40.2. Bitcoras de acceso a las reas conectadas a la red 40.3. Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candado, monitores, etc. 40.4. Listado de personal autorizado con acceso a las terminales y controlares de la red Se contempla un seguro que proteja el software y equipo de la red. Se cuenta con alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en la(s) red(es) Estos convenios estn formalizados? Se han tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo de la(s) red(es) local(es) del negocio, como las siguientes: 44.1. Evaluacin peridica de la red: hardware, software, grados de satisfaccin, grados de utilizacin, etc. 44.2. Acceso a la red de nuevos usuarios y niveles de acceso por perfil de usuario 44.3. Crecimiento de la red: perifricos, memoria, usuarios 44.4. Respaldo: datos, equipo, software, aplicaciones, etc. 44.5. Seguridad: Controles, procedimientos, software de auditoria, niveles de acceso, planes de contingencia, plan de reiniciacin y recuperacin, etc.

COMUNICACIONES
1. La empresa cuenta con una red de comunicaciones (RC)? 2. Que tipo de enlace posee (satelitales, terrestres)? 3. Qu software de comunicaciones utiliza para el manejo de la red de comunicaciones? Cules son las versiones correspondientes? 4. Si no tiene una red de comunicaciones Piensa integrar una a la empresa? Cundo? 5. Existe una administracin formal de la red de comunicaciones? 6. En caso de no contar con una administracin formal de la RC, indique como se da seguimiento a los siguientes aspectos: 6.1. Planeacin de nueva tecnologa de informacin para la RC 6.2. Monitoreo de las actividades de la operacin y mantenimiento de la RC 6.3. Procedimientos de control de seguridad 6.4. Capacitacin y soporte de usuarios, operadores y tcnicos de la RC

SEGURIDAD
1. En cuanto a la seguridad se han de contemplar los siguientes datos: 1.1. Localizacin fsica de: 1.1.1.Aire acondicionado 1.1.2.Equipo no-Break 1.1.3.Equipos contra incendios 1.1.4.Salidas de emergencia 2. La ubicacin fsica del equipo de computo en el edificio es la ms adecuada pensando en los diversos desastres o contingencias que se pueden presentar (manifestaciones o huelgas, inundaciones, incendios, otros)? 3. Hay procedimientos que garanticen la continuidad y disponibilidad del equipo de computo en caso de desastres o contingencias, si es as, estn documentados y difundidos formalmente? 4. Indique si se cuenta con controles y procedimientos para: 4.1. Clasificacin y justificacin del personal con acceso al rea de informtica del negocio y a las oficinas donde se encuentra papelera o accesorios relacionados con el rea. 4.2. Restringir el acceso al rea de informtica solo al personal autorizado 4.3. Definicin y difusin de las horas de acceso al rea de informtica 4.4. Uso y control de bitcoras de acceso al rea 4.5. Definir la hora de entrada de los visitantes 4.6. Manejo de bitcoras especiales para los visitantes del rea de informtica 5. Existe personal de seguridad encargado de salvaguardar los equipos de computo de la empresa 6. Est capacitado el personal para este trabajo o simplemente sigue las normas de seguridad que se aplican en bancos o industrias 7. Si no se cuenta con tal personal A que rea o funcin pertenecen los responsables de proteger fsicamente el equipo? 8. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien 9. pretenda entrar sin autorizacin? 10. Existe alarma para 10.1. Detectar fuego (calor o humo) en forma automtica? ( ) 10.2. Avisar en forma manual la presencia del fuego? ( ) 10.3. Detectar una fuga de agua? ( ) 10.4. Detectar magnticos? ( ) 11. Existe salida de emergencia? 12. Esta puerta solo es posible abrirla: 12.1. Desde el interior ? ( ) 12.2. Desde el exterior ? ( ) 12.3. Ambos Lados ( ) 13. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? 14. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? 15. El personal ajeno a operacin sabe que hacer en el caso de una emergencia? 16. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 17. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 18. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? 19. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 20. Considera que tanto la alta direccin, usuarios como el personal de informtica estn conscientes que los recursos relacionados con la informtica representan activos del negocio y deben protegerse de una manera formal y permanente?Por qu? 21. Existen planes de contingencia y de recuperacin de operaciones para casos de desastres? 22. Indique si dichos planes contemplan lo siguiente:

23. 24. 25. 26. 27.

28. 29. 30. 31. 32. 33.

22.1. Red de comunicaciones (RC) 22.2. Hardware 22.3. Software, aplicaciones, datos 22.4. Recursos humanos 22.5. Lugares fsicos donde se localizan los recursos anteriores Si es as, fueron difundidos formalmente en la organizacin? Fueron elaborados por terceros, personal de informtica, usuarios o se trato de un proyecto en el que intervinieron varias reas del negocio? En el proceso de planeacin de contingencias y recuperacin y de su implantacin en la empresa, indique cuales fueron las tareas realizadas, cuales estn pendientes, cuales en desarrollo y quienes son sus responsables Se han presentado contingencias que hayan sido enfrentadas con el plan de contingencias y de recuperacin diseado para la empresa? Cules fueron los resultados? Seale si posee una funcin responsable de seguridad que verifique y de seguimiento a los siguientes puntos: 27.1. Actualizacin formal de los planes 27.2. Capacitacin a los usuarios y personal de informtica en cuanto a la aplicacin de los procedimientos contemplados en los planes 27.3. Supervisin y orientacin en la ejecucin de simulacros 27.4. Asignacin de los responsables de la ejecucin de las actividades contempladas en los planes para: 27.4.1. Prevencin de contingencias 27.4.2. Apoyo a la empresa en casos de desastres o de contingencias con el fin de reducir en lo posible las perdidas humanas, equipos, datos, etc. 27.4.3. Reinicio inmediato o en el tiempo mnimo posible de las operaciones de la empresa Las funciones involucradas en dichos planes los han probado? Los planes cubren los procedimientos necesarios para prevenir los elementos causales o restaurar los primordiales? Se clasifico el orden en que se reiniciara la operacin de cada aplicacin de acuerdo con las prioridades y estrategias del negocio? Existen acuerdos con empresas o proveedores que tengan la misma tecnologa? Existe algn procedimiento formal para efectuar el proceso de evaluacin, seleccin y contratacin de los seguros? Cules son dichos procedimientos? Existe una clasificacin de los elementos prioritarios para que la operacin de los sistemas bsicos no se interrumpa por un desastre o contingencia?

ETAPA DE ADECUACION

VERIFICACIN DE PRIORIDADES, RESTRICCIONES Y ALCANCES DEL PROYECTO.

PRIORIDADES Adquirir licencias para el software utilizado en la organizacin. Manejar un plan de mantenimiento preventivo y correctivo del hardware Mantener una instalacin de la red que se apegue a los estndares establecidos. Disear unas instalaciones fsicas adecuadas que se apeguen a los estndares de ergonoma y seguridad.

RESTRICCIONES No se cuenta con el presupuesto necesario para adquirir todo el software. Personal limitado para llevar a cabo el mantenimiento de los equipos. Falta de presupuesto para colocar el cableado de forma adecuado. Adecuar las instalaciones a las necesidades requeridas.

ALCANCES DEL PROYECTO - Comprar la licencia de la paquetera de Microsoft Office En un plazo de tres meses se realizar el mantenimiento a todo el equipo. Reestructurar el diseo de la red en un periodo no mayor a un mes. Reestructurar las instalaciones en un plazo no mayor a seis meses.

COMPROMISO EJECUTIVO Apoyo por parte de la organizacin: Difusin de los objetivos de la auditora y alcance del proyecto ante los usuarios y personal con quien se entrevistar. Proporcionar informacin necesaria para el auditor en informtica. Asignacin de las herramientas necesarias para realizar la auditora. Revisin de los avances del proyecto. Cumplimiento de la funcin dentro del proyecto de manera oportuna. Implantacin de las acciones recomendadas al final del proyecto.

Apoyo por parte del auditor en informtica. Trabajar con tica y profesionalismo. Proporcionar soluciones factibles Utilizar un proceso metodolgico adecuado a la organizacin. Apoyar al rea de informtica y reas usuarias en la implantacin de soluciones recomendadas en el proyecto. Guardar de manera confidencial la informacin. Acudir a las citas programadas para la revisin del proyecto. Terminar en los tiempos establecidos.

ETAPA DE DESARROLLO

ETAPA DE DESARROLLO Concertar fechas de entrevistas, visitas y aplicacin de cuestionarios Tarea Entrevista para conocer el entorno del rea de informtica. Entrevista para determinar todas las caractersticas del software. Revisin de la estructura de la red. Verificar con que sistema se est controlando el monitoreo y funcionamiento de la red. Inspeccin de las instalaciones fsicas de la unidad de informtica. Revisin de las medidas de seguridad con las que cuenta el rea de informtica. Aplicacin de encuestas a usuarios de informtica. Entrevista para determinar las caractersticas del hardware. Inspeccin fsica del equipo Producto Informe sobre la funcin del rea de informtica. Informe de fortalezas y debilidades del software. Informe de la topologa y estructura la red. Observacin y ejecucin del correcto funcionamiento del software de red. Informe del estado en que se encuentran las instalaciones. Deteccin de zonas de riesgo en las instalaciones. Responsable AD/PI Involucrado AD/PI/AI Fecha de inicio/termino
17-04-08 / 19-04-08

PI

PI/AI

21-04-08 / 26-04-08

PI

PI/AI

28-04-08 / 03-05-08

28-04-08 / 03-05-08

PI

PI/AI

PI

PI/AI

05-05-08 / 10-05-08

PI

PI/AI

05-05-08 / 10-05-08

Visualizacin del panorama que tienen los usuarios. Informe de fortalezas y debilidades del hardware. Informe de desperfectos respecto a cada equipo.

PI

PI/AI

12-05-08 / 15-05-08

PI

PI/AI

12-05-08 / 15-05-08

PI

PI/AI

12-05-08 / 15-05-08

SOFTWARE
35. Existe un documento que muestre la distribucin del equipo y sus usuarios 36. Que software (paquetes, lenguajes, sistemas de informacin, sistemas operativos, bases de datos, etc.) hay instalado?Cuales son las versiones correspondientes? 37. Existe una administracin formal de software?Quien es el responsable? 38. En caso de no tener esta administracin formal, indique como se da seguimiento a los siguientes aspectos: 38.1. Planeacin de nueva tecnologa de informacin. 38.2. Monitoreo de las actividades de manejo y actualizacin de software 38.3. Procedimientos de control y seguridad 38.4. Aspectos legales del software instalado 38.5. Capacitacin y soporte a usuarios 39. El personal responsable de administrar o manejar el software fue capacitado y preparado para el manejo del mismo? 40. Existe la documentacin formal que especifique que hacer y como llevar a cabo cada una de las funciones de administracin del software. 41. Existe un plan vacaciones y de reemplazo de personal que asegure el servicio continuo a los usuarios. 42. Como se canalizan las dudas, sugerencias y compromisos entre los usuarios y responsables de la administracin de software. 43. Qu les garantiza que se esta utilizando el software idneo? 44. Existen anlisis costo/beneficio de los diferentes estrategias de software implantadas?Se han aprobado formalmente? 45. Existen procedimientos que aseguren la oportuna y adecuada instalacin del software conforme se hayan realizado los contratos y compras formales del mismo? 46. Mencione las actividades que se realizan durante la instalacin de la tecnologa adquirida (software, hardware, procedimientos, entre otros) 47. Las compras de software as como su instalacin se derivan de un proceso de planeacin y evaluacin formal? Cmo aseguran que esto se cumpla? 48. En caso de que las compras e instalacin del software no hayan sido planeadas formalmente como se justifica esto ante los responsables de informtica y de las reas usuarias? 49. En cuanto a la instalacin del software Cmo se aseguran que este haya sido comprado legalmente?Como previenen que no se instalen en otros equipos de la empresa sin licencia de uso?Que hacen cuando detectan algunas anomalitas al respecto? 50. Quien es el responsable de las actividades de seguridad y control para garantizar el uso adecuado y la proteccin de dicho software? 51. Cuando son terceros (personal externo) los encargados de la instalacin del software, Cmo asegura la empresa que este se haga conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? 52. Tiene alguna(s) sugerencia(s) que apoye el proceso de instalacin? 53. Indique si existen estndares relativos a la operacin y administracin como: 53.1. Programas de capacitacin: 53.1.1. Calendario de cursos 53.1.2. Costo de los cursos 53.1.3. Material empleado en los cursos 53.1.4. Lugares donde se impartirn los cursos

54. 55. 56. 57. 58. 59. 60.

61. 62. 63. 64.

53.1.5. Evaluacin de los cursos 53.1.6. Otros 53.2. Estndares de actualizacin: 53.2.1. Software por actualizar o reemplazar 53.2.2. Calendarios (fechas, horarios, etc.) 53.2.3. Responsables 53.2.4. Otros Si existen estos estndares son aplicados formalmente por los responsables de software? Como se da seguimiento al cumplimiento de los mismos? Una vez que se aplican estos estndares Qu datos relativos a los resultados de los mismos se envan a otras reas (usuarios, auditoria en informtica, entre otros)? Los costos por el uso del software se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas idnticos entre los usuarios? El usuario aprueba formalmente este procedimiento de pago? Se tienen procedimientos que protejan los datos transmitidos de un equipo de computo a otro (generados por el uso de software)?Cuales son? Indique si se tiene identificada formalmente la siguiente informacin: 60.1. Usuarios 60.2. Registros y niveles de acceso 60.3. Equipos donde se encuentre instalado cada tipo de software 60.4. Software original y pirata instalado en los equipos 60.5. otros Estos registros los genera algn software o los responsables del mismo? Se cuenta con una lnea telefnica disponible las 24 hrs. del da para atender quejas y dudas de los usuarios? Existe un procedimiento formal para proporcionar un servicio oportuno y eficiente a los requerimientos de los usuarios? Lo conocen los usuarios? Los equipos tienen controles de acceso a personas no autorizadas (equipo, datos y software)? e. En caso de contar con estos controles estn diseados para prevenir, detectar o corregir el acceso no autorizado a los diferentes tipos de software? f. Si es as, Quines son los responsables de darle seguimiento? g. Verificar que tales controles contemplen al menos: a. Proteccin de archivos b. Proteccin a programas fuente de las aplicaciones que estn en los equipos c. Proteccin a otro software alojado en los equipos d. Mtodos para prevenir el monitoreo no autorizado del equipo e. Deteccin inmediata y automatizada de accesos no autorizados a los equipos f. Contraseas que autoricen acceso a los equipos y eviten el acceso a archivos no autorizados g. Otros h. Verificar que estos controles cuenten con a. Bitcoras de acceso a las reas donde se encuentra el equipo y el software b. Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores, etc. c. Listado de personal con acceso autorizado a las terminales y controlares del equipo

d. Otros 65. Se tiene un seguro que proteja al software y el equipo? 66. Se tienen alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en alguno de los equipos?Cuenta convenios con otras empresas? 67. Estos convenios estn formalizados? 68. Indique si se ha tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo del software instalado en la empresa, como las siguientes: 68.1. Evaluacin peridica del software y el equipo donde esta instalado: Hardware, Software, grado de satisfaccin, grado de utilizacin, etc. 68.2. Acceso a los equipos: Nuevos usuarios, niveles de acceso por perfil de usuario, asignaciones de software o datos por utilizar, consultar, modificar, borrar, entre otros. 68.3. Aspectos administrativos: Administrador u operadores (tareas, sueldos, capacitacin, vacaciones, reemplazos, otros). 68.4. Capacitacin: Planeacin, ejecucin y actualizacin 68.5. Crecimiento del equipo: Usuarios, software de aplicaciones 68.6. Respaldo: Datos, equipo, software, aplicaciones entre otros. 68.7. Seguridad: Controles, procedimientos, software de auditoria, niveles de acceso, planes de contingencia, plan de reinicializacin, respaldos y recuperacin en caso de desastre, etc.

HARDWARE
33. Cuntos tipos de equipo tienen? (mencione sus caractersticas bsicas, perifricos y atributos bsicos de estos) 34. En caso de no tener esta administracin formal del equipo de computo Con que cuenta la empresa, esto es, como se da seguimiento a los siguientes aspectos?: 34.1. Planeacin de nueva tecnologa de informacin (hardware). 34.2. Monitoreo de control y seguridad del equipo 34.3. Procedimientos de control y seguridad del equipo 34.4. Capacitacin y soporte a usuarios 35. Algn personal externo interviene en la administracin del equipo? Quien y por qu? 36. Existe la documentacin que especifique que hacer y como realizar cada una de las funciones de administracin del equipo? 37. Las funciones desarrolladas en la realidad concuerdan con las especificadas en la documentacin? 38. Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? 39. Cmo se canalizan las dudas, sugerencias y compromisos entre usuarios y responsables del equipo? 40. Qu garantiza que se est utilizando la tecnologa del hardware mas adecuada para el negocio? 41. Existen anlisis costo beneficio de las diferentes estrategias de hardware implantadas? Son aprobados de manera formal? 42. Existen procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes del equipo conforme se realicen los contratos y compras formales de los mismos? 43. Mencione las actividades que se efectan durante el proceso de instalacin de los componentes de la tecnologa adquirida (hardware, software, procedimientos, etc.) 44. Las compras de los diferentes elementos del equipo, as como su instalacin se derivan del proceso de planeacin y evaluacin formal? Cmo se aseguran que esto se cumpla? 45. En caso de que las comparas e instalacin de componentes del equipo no se hayan planeado formalmente, Cmo se justifican ante los responsables de informtica y de las reas usuarias involucradas en el uso de dicha tecnologa? 46. Cuando la instalacin parcial o total de cualquiera de los elementos que componen el equipo de computo la realiza personal externo, Cmo se asegura la empresa de que esto se haga conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? 47. Se cuenta con manuales de operacin del equipo? Contemplan aspectos de seguridad? 48. El personal responsable de administrar y operar el equipo fue capacitado y preparado para el manejo del mismo? 49. Indique si existen estndares relativos a la operacin y administracin como: 49.1. Estndares de desempeo: 49.1.1. Tiempos de respuesta 49.1.2. Trfico (volmenes de informacin, velocidad) 49.1.3. Interrupciones 49.1.4. Tiempo de recuperacin del equipo 49.1.5. Equipos o terminales interconectados 49.2. Estndares de mantenimiento: 49.2.1. Calendarios (fechas, horarios, etc.)

49.2.2. Responsables 50. Una vez que se aplican estos estndares Qu datos se envan a otras reas (usuarios, auditoria en informtica)? 51. Los costos por el uso del equipo, se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas identicas entre los usuarios 52. El usuario aprueba formalmente este procedimiento de pago? 53. Se desarrollo o adquiri algn cuestionario estndar que permita establecer el nivel de servicios que brindan las computadoras personales, servidores, estaciones de trabajo, minicomputadoras o mainframes? 54. Se tiene identificada formalmente la siguiente informacin: 54.1. Usuarios del equipo 54.2. Registros y niveles de acceso 54.3. Terminales conectadas a los diferentes equipos 54.4. Responsables del equipo 54.5. Procedimientos y planes de contingencia 54.6. Perifricos conectados a los equipos 54.7. Tipos de CPU 54.8. Capacidad de disco y espacio libre por servidor y micros 55. Existe una lnea telefnica disponible las 24 hrs. del da para atencin de quejas y dudas de los usuarios del equipo? 56. Se tiene un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios del equipo? 57. Los equipos poseen controles de acceso a personas no autorizadas Equipos, datos y software? 58. Existen controles relativos a la seguridad fsica de los diversos componentes del equipo (tarjetas, terminales, manuales, software, documentacin)? 59. En caso de contar con estos controles Cmo se aseguran los responsables de darle seguimiento? 60. Verificar que estos controles cuenten con: 60.1. Proteccin adecuada de los componentes del equipo (cables, tarjetas, terminales, servidores, etc.) 60.2. Bitcoras de acceso a las reas conectadas al equipo 60.3. Mtodos de su control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores, etc. 60.4. Listado del personal con acceso autorizado a las terminales y controlares del equipo 61. Se cuenta con un seguro que proteja el equipo? 62. Se tienen alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en alguno de los equipos? Tienen convenios con otras empresas? 63. Estos convenios estn formalizados? 64. Indique si se han tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo del hardware instalado del negocio, como las siguientes: 64.1. Evaluacin peridica del equipo: hardware, grado de satisfaccin, grado de utilizacin, etc. 64.2. Acceso a los equipos de los nuevos usuarios, niveles de acceso por perfil de usuario. 64.3. Aspectos administrativos: administrador u operadores, tareas, sueldos, capacitacin, vacaciones, reemplazos, entre otros.

64.4. Capacitacin, planeacin, ejecucin y actualizacin 64.5. Crecimiento del equipo: perifricos, memorias y usuarios 64.6. Seguridad: controles, procedimientos, niveles de acceso, planes de contingencia, plan de reiniciacin y recuperacin, etc.

TELECOMUNICACIONES
45. 46. 47. 48. 49. La empresa cuenta con red(es) local(es)? Cuntas micros existen en dicha red, incluyendo el servidor? Qu software se encuentran instalados? Cules son las versiones correspondientes? Existe una administracin formal de la red? En caso de no tener una administracin formal de la(s) red(es) o de las microcomputadoras no conectadas en red de la empresa, Cmo se da seguimiento a los siguientes aspectos?: 49.1. Planeacin de nueva tecnologa de informacin (hardware, software, etc.) para la red 49.2. Monitoreo de las actividades de la operacin y mantenimiento de la red 49.3. Procedimientos de control y seguridad de la red 49.4. Capacitacin y soporte a usuarios Algn personal externo interviene en las funciones de administracin mencionadas? En que funciones participa y por qu? Existe la documentacin formal que especifique que hacer y como efectuar cada funcin administrativa de la red? Las funciones desarrolladas en realidad concuerdan con las especificadas en la documentacin? Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? Como se canalizan las dudas, sugerencias y compromisos entre los usuarios y los responsables de la red? Qu garantiza que se est utilizando la tecnologa de redes mas adecuada para el negocio? Existe un anlisis costo/beneficio de las diferentes estrategias de redes implantadas? Se han aprobado de manera formal? Existen procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red, conforme se hayan realizado los contratos y compras formales de los mismos? Mencione las actividades que se realizan durante el proceso de instalacin de los componentes de la red (hardware, software, procedimientos, etc.) Las compras de los diferentes elementos de la red, as como su instalacin se derivan de un proceso de planeacin y evaluacin formal? Cmo se asegura que esto se cumpla? En caso de que las compras e instalacin de componentes de la red (sea hardware, software u otros) no se hayan planeado formalmente, Cmo se justifica esto ante los responsables de informtica y de las reas usuarias? Cuando son terceros (personal externo) los encargados de la instalacin parcial o total de cualquiera de los elementos que componen la red Cmo se asegura la empresa de que se realice conforme a sus polticas y lineamientos de servicio, oportunidad y confidencialidad? Tiene alguna sugerencias que apoyen el proceso de instalacin? Se cuenta con manuales de operacin de la red? Contemplan aspectos de seguridad? El personal responsable de administrarla y operarla fue capacitado y preparado para el manejo de la misma Indique si existen estndares relativos a la operacin y administracin de la red como: 65.1. Estndares de desempeo: 65.1.1. Tiempos de respuesta 65.1.2. Trfico (volmenes de informacin, velocidad) 65.1.3. Interrupciones

50. 51. 52. 53. 54. 55. 56. 57.

58. 59. 60.

61.

62. 63. 64. 65.

66. 67. 68. 69. 70. 71. 72. 73.

74. 75.

76. 77.

78. 79. 80. 81.

65.1.4. Tiempo de recuperacin de la red 65.1.5. Equipos o terminales interconectados 65.2. Estndares de mantenimiento: 65.2.1. Calendarios (fechas, horarios, etc.) 65.2.2. Responsables Como se mantiene el cumplimiento de los mismos? Una vez que se aplican estos estndares? Qu datos envan a otras reas (usuarios, auditoria en informtica)? Los costos por el uso de la red se determinan con estos parmetros o son costos uniformes y fijos que se distribuyen en sumas idnticas entre los usuarios El usuario aprueba formalmente este procedimiento de pago? Se desarrollo o adquiri algn cuestionario estndar que permita conocer el nivel de servicios que brinda la red? Hay procedimientos que protejan los datos transmitidos de una red local a otra(s)? Si se tienen cuales son? Se cuenta con un responsable o un software de comunicaciones que vigile de manera permanente que los datos se transmitan con los estndares de oportunidad totalidad, exactitud y autorizacin de una red? Existen registros (logs) que contengan informacin relevante al administrador de la red o el auditor en informtica? Si es as, seale si estos contienen informacin relativa a: 75.1. Usuarios que accesaron a la red 75.2. Operaciones realizados en la red 75.3. Tiempos de conexin 75.4. Interrupciones en el transcurso del uso de la red 75.5. Causas 75.6. Tiempo para reiniciar cada interrupcin 75.7. Terminales o equipos conectados 75.8. Accesos invalidados a la red 75.9. Terminales donde se llevaron a cabo estos accesos no autorizados Estos registros son generados por algn software de la red o por los responsables de la misma? Seale si se ha identificado formalmente la siguiente informacin: 77.1. Usuarios de la red 77.2. Registros y niveles de acceso 77.3. Terminales conectadas a la red 77.4. Responsables de la red 77.5. Procedimientos de contingencia 77.6. Software de las micros conectadas a la red 77.7. Tipos de unidades centrales de procesamiento (CPU) 77.8. Capacidad de disco o espacio libre por servidor y micros. Existe una lnea telefnica disponible las 24 hrs. del da para atender quejas y dudas de los usuarios de la red? Existe un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios La red posee controles de acceso a personas no autorizadas? En caso de contar con estos controles, Estn diseados para prevenir, detectar o corregir el acceso no autorizado?

82. Verificar que los controles contemplen al menos: 82.1. Proteccin de archivos 82.2. Proteccin a programas fuentes de as aplicaciones en la red 82.3. Proteccin a otro software alojado en la red 82.4. Mtodos para prevenir el monitoreo no autorizado de la red 82.5. Deteccin inmediata y automatizada de accesos no autorizados 82.6. Contraseas que autoricen el acceso a la red, sin permitir la entrada a archivos no autorizados 83. Existen controles relativos a la seguridad fsica de los diversos componentes de la red? (tarjetas, terminales, manuales, software, documentacin, etc.) 84. Verificar que estos controles cuenten con: 84.1. Proteccin adecuada de los componentes de la red (cables, tarjetas, terminales, servidores, etc.) 84.2. Bitcoras de acceso a las reas conectadas a la red 84.3. Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candado, monitores, etc. 84.4. Listado de personal autorizado con acceso a las terminales y controlares de la red 85. Se contempla un seguro que proteja el software y equipo de la red. 86. Se cuenta con alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en la(s) red(es) 87. Estos convenios estn formalizados? 88. Se han tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo de la(s) red(es) local(es) del negocio, como las siguientes: 88.1. Evaluacin peridica de la red: hardware, software, grados de satisfaccin, grados de utilizacin, etc. 88.2. Acceso a la red de nuevos usuarios y niveles de acceso por perfil de usuario 88.3. Crecimiento de la red: perifricos, memoria, usuarios 88.4. Respaldo: datos, equipo, software, aplicaciones, etc. 88.5. Seguridad: Controles, procedimientos, software de auditoria, niveles de acceso, planes de contingencia, plan de reiniciacin y recuperacin, etc.

COMUNICACIONES
7. La empresa cuenta con una red de comunicaciones (RC)? 8. Que tipo de enlace posee (satelitales, terrestres)? 9. Qu software de comunicaciones utiliza para el manejo de la red de comunicaciones? Cules son las versiones correspondientes? 10. Si no tiene una red de comunicaciones Piensa integrar una a la empresa? Cundo? 11. Existe una administracin formal de la red de comunicaciones? 12. En caso de no contar con una administracin formal de la RC, indique como se da seguimiento a los siguientes aspectos: 12.1. Planeacin de nueva tecnologa de informacin para la RC 12.2. Monitoreo de las actividades de la operacin y mantenimiento de la RC 12.3. Procedimientos de control de seguridad 12.4. Capacitacin y soporte de usuarios, operadores y tcnicos de la RC

SEGURIDAD
34. En cuanto a la seguridad se han de contemplar los siguientes datos: 34.1. Localizacin fsica de: 34.1.1. Aire acondicionado 34.1.2. Equipo no-Break 34.1.3. Equipos contra incendios 34.1.4. Salidas de emergencia 35. La ubicacin fsica del equipo de computo en el edificio es la ms adecuada pensando en los diversos desastres o contingencias que se pueden presentar (manifestaciones o huelgas, inundaciones, incendios, otros)? 36. Hay procedimientos que garanticen la continuidad y disponibilidad del equipo de computo en caso de desastres o contingencias, si es as, estn documentados y difundidos formalmente? 37. Indique si se cuenta con controles y procedimientos para: 37.1. Clasificacin y justificacin del personal con acceso al rea de informtica del negocio y a las oficinas donde se encuentra papelera o accesorios relacionados con el rea. 37.2. Restringir el acceso al rea de informtica solo al personal autorizado 37.3. Definicin y difusin de las horas de acceso al rea de informtica 37.4. Uso y control de bitcoras de acceso al rea 37.5. Definir la hora de entrada de los visitantes 37.6. Manejo de bitcoras especiales para los visitantes del rea de informtica 38. Existe personal de seguridad encargado de salvaguardar los equipos de computo de la empresa 39. Est capacitado el personal para este trabajo o simplemente sigue las normas de seguridad que se aplican en bancos o industrias 40. Si no se cuenta con tal personal A que rea o funcin pertenecen los responsables de proteger fsicamente el equipo? 41. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien 42. pretenda entrar sin autorizacin? 43. Existe alarma para 43.1. Detectar fuego (calor o humo) en forma automtica? ( ) 43.2. Avisar en forma manual la presencia del fuego? ( ) 43.3. Detectar una fuga de agua? ( ) 43.4. Detectar magnticos? ( ) 44. Existe salida de emergencia? 45. Esta puerta solo es posible abrirla: 45.1. Desde el interior ? ( ) 45.2. Desde el exterior ? ( ) 45.3. Ambos Lados ( ) 46. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? 47. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? 48. El personal ajeno a operacin sabe que hacer en el caso de una emergencia? 49. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 50. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 51. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? 52. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 53. Considera que tanto la alta direccin, usuarios como el personal de informtica estn conscientes que los recursos relacionados con la informtica representan activos del negocio y deben protegerse de una manera formal y permanente?Por qu? 54. Existen planes de contingencia y de recuperacin de operaciones para casos de desastres?

55. Indique si dichos planes contemplan lo siguiente: 55.1. Red de comunicaciones (RC) 55.2. Hardware 55.3. Software, aplicaciones, datos 55.4. Recursos humanos 55.5. Lugares fsicos donde se localizan los recursos anteriores 56. Si es as, fueron difundidos formalmente en la organizacin? 57. Fueron elaborados por terceros, personal de informtica, usuarios o se trato de un proyecto en el que intervinieron varias reas del negocio? 58. En el proceso de planeacin de contingencias y recuperacin y de su implantacin en la empresa, indique cuales fueron las tareas realizadas, cuales estn pendientes, cuales en desarrollo y quienes son sus responsables 59. Se han presentado contingencias que hayan sido enfrentadas con el plan de contingencias y de recuperacin diseado para la empresa? Cules fueron los resultados? 60. Seale si posee una funcin responsable de seguridad que verifique y de seguimiento a los siguientes puntos: 60.1. Actualizacin formal de los planes 60.2. Capacitacin a los usuarios y personal de informtica en cuanto a la aplicacin de los procedimientos contemplados en los planes 60.3. Supervisin y orientacin en la ejecucin de simulacros 60.4. Asignacin de los responsables de la ejecucin de las actividades contempladas en los planes para: 60.4.1. Prevencin de contingencias 60.4.2. Apoyo a la empresa en casos de desastres o de contingencias con el fin de reducir en lo posible las perdidas humanas, equipos, datos, etc. 60.4.3. Reinicio inmediato o en el tiempo mnimo posible de las operaciones de la empresa 61. Las funciones involucradas en dichos planes los han probado? 62. Los planes cubren los procedimientos necesarios para prevenir los elementos causales o restaurar los primordiales? 63. Se clasifico el orden en que se reiniciara la operacin de cada aplicacin de acuerdo con las prioridades y estrategias del negocio? 64. Existen acuerdos con empresas o proveedores que tengan la misma tecnologa? 65. Existe algn procedimiento formal para efectuar el proceso de evaluacin, seleccin y contratacin de los seguros? Cules son dichos procedimientos? 66. Existe una clasificacin de los elementos prioritarios para que la operacin de los sistemas bsicos no se interrumpa por un desastre o contingencia?