“Análisis de Riesgos en los Sistemas de Información en la

Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

ANEXO 5: ENCUESTAS REALIZADAS EN LA INSTITUCIÓN

I. ORGANIZACIÓN (Para aplicar al jefe del área de

informática)
1. ¿Los niveles jerárquicos establecidos actualmente son necesarios
y suficientes para el desarrollo de sus actividades del área?
Si ( )
No ( )

2. Permite los niveles jerárquicos actuales que se desarrolle

adecuadamente la:
a. Operación Si ( ) No ( )
b. Supervisión Si ( ) No ( )
c. Comunicación ascendente Si ( ) No ( )
d. Comunicación descendente Si ( ) No ( )
e. Toma de decisiones Si ( ) No ( )

3. ¿Existe en el área algún sistema de sugerencias y quejas por parte

del personal?
Si ( )
No ( )

4. ¿Están por escrito en algún documento las funciones del área?

Si ( )
No ( )

5. ¿Quién elaboró las funciones?

Si ( )
No ( )

6. ¿Quién las autorizó o aprobó?

______________________________________________________

160
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

7. ¿Las funciones se cumplen de acuerdo al documento establecido?

Si ( )
No ( )

8. ¿Conocen otras áreas de las funciones del área?

Si ( )
No ( )

9. ¿Las funciones son adecuadas a las necesidades actuales?

Si ( )
No ( )

10. La falta de cumplimiento de sus funciones es por:

a. Falta de personal ( )
b. Personal capacitado ( )
c. Cargas de trabajo excesivas ( )
d. Porque realiza otras actividades ( )
e. La forma en que las ordena ( )

2. ¿Cuáles son las funciones que realiza periódicamente?

______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________
______________________________________________________

3. ¿Tienen programadas las tareas encomendadas?

Si ( )
No ( )

4. ¿Quién es el responsable de ordenar que se ejecuten las

actividades?

161
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

______________________________________________________

5. En caso de no encontrarse el jefe inmediato, ¿quién lo puede

realizar?
______________________________________________________

6. ¿Se desarrollan programas de capacitación?

Si ( )
No ( )

7. ¿Se evalúan los resultados de los programas de capacitación?

Si ( )
No ( )

162
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

II. RECURSOS HUMANOS (Para trabajadores del área)

Se deberá obtener información sobre la situación del personal del
área.
1. ¿Es suficiente el número de personal para el desarrollo de las
funciones del área?
Si ( )
No ( )

2. ¿Se deja de realizar alguna actividad por falta de personal?

Si ( )
No ( )

3. ¿Está capacitado el personal para realizar con eficacia sus

funciones?
Si ( )
No ( )

4. ¿Es frecuente la repetición de los trabajos encomendados?

Si ( )
No ( )

5. ¿El personal es discreto en el manejo de información confidencial?

Si ( )
No ( )

6. ¿Cuáles son los principales factores internos y/o externos que

limitan el desempeño del personal?
______________________________________________________

163
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

______________________________________________________
______________________________________________________

7. Son adecuadas las condiciones ambientales con respecto a:

a. Espacio del área ( )
b. Iluminación ( )
c. Ventilación ( )
d. Equipo de oficina ( )
e. Mobiliario ( )
f. Ruido ( )
g. Limpieza/ Aseo ( )
h. Instalaciones de comunicaciones ( )

2. ¿Qué actividades diarias realiza?

______________________________________________________
______________________________________________________
______________________________________________________

3. ¿Con qué frecuencia recibe capacitación y de qué tipo?

______________________________________________________
______________________________________________________

164
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

III. LA SEGURIDAD LÓGICA

1. ¿Existen medidas, controles, procedimientos, normas y estándares
de seguridad?
Si ( )
No ( )

2. ¿Existen procedimientos de notificación y gestión de incidencias?

Si ( )
No ( )

3. ¿Existen procedimientos de realización de copias de seguridad y de

recuperación de datos?
Si ( )
No ( )

4. ¿Existen controles sobre el acceso físico a las copias de

seguridad?
Si ( )
No ( )

5. ¿Sólo las personas con acceso autorizado en el documento de

seguridad tienen acceso a los soportes que contienen las copias de
seguridad?
Si ( )
No ( )

6. ¿Existe una relación de controles periódicos a realizar para verificar

el cumplimiento del documento?
Si ( )
No ( )

165
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

7. ¿Existen procedimientos de seguridad para evitar el uso de archivos

de procedencia dudosas?
Si ( )
No ( )

8. ¿Existen medidas a adoptar cuando un equipo de cómputo es

infectado por algún virus?
Si ( )
No ( )

9. ¿Se cuenta con un software antivirus y es actualizado

periódicamente?
Si ( )
No ( )

10. ¿Los usuarios conocen que deben hacer al detectar alguna

amenaza de virus en los equipos de cómputo?
Si ( )
No ( )

11. ¿Existe un período máximo de vida de las contraseñas?

Si ( )
No ( )

12. ¿Existe una relación de usuarios autorizados a acceder a los

sistemas y que incluye los tipos de acceso permitidos?
Si ( )
No ( )

166
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

13. ¿Los derechos de acceso concedidos a los usuarios son los

necesarios y suficientes para el ejercicio de las funciones que
tienen encomendadas, las cuales a su vez se encuentran o deben
estar documentadas en el Documento de Seguridad?
Si ( )
No ( )

14. ¿Hay dadas de alta en el sistema cuentas de usuario genéricas, es

decir, utilizadas por más de una persona, no permitiendo por tanto
la identificación de la persona física que las ha utilizado?
Si ( )
No ( )

15. ¿En la práctica las personas que tienen atribuciones y privilegios

dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
Si ( )
No ( )

16. ¿El sistema de autenticación de usuarios guarda las contraseñas

encriptadas?
Si ( )
No ( )

17. ¿En el sistema están habilitadas para todas las cuentas de usuario
las opciones que permiten establecer:
 Un número máximo de intentos de conexión. ( )
 Un período máximo de vigencia para la contraseña, coincidente
con el establecido en el Documento de Seguridad. ( )

18. ¿Existen procedimientos de asignación y distribución de

contraseñas?
Si ( )

167
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

No ( )

IV. SEGURIDAD FÍSICA

1. ¿Se ha adoptado medidas de seguridad en la dirección de
informática?
Si ( )
No ( )

2. ¿Existe una persona responsable de la seguridad?

Si ( )
No ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la

seguridad?
Si ( )
No ( )

4. ¿La vigilancia se contrata directamente?

Si ( )
No ( )

5. ¿Se investiga a los vigilantes cuando son contratados?

Si ( )
No ( )

6. ¿Se registran las acciones de los operadores para evitar que

realicen alguna acción que puede dañar al sistema?
Si ( )
No ( )

168
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

7. ¿Existe vigilancia en el cuarto de máquinas las 24 horas del día?

Si ( )
No ( )

8. A la entrada del cuarto de máquinas existe:

a. Vigilante ( )
b. Recepcionista ( )
c. Tarjeta de control de acceso ( )
e. Ninguno ( )

9. ¿Son controladas las visitas y demostraciones en el centro de

cómputo?
Si ( )
No ( )

10. ¿Se registra el acceso al cuarto de personas ajenas a la dirección

de informática?
Si ( )
No ( )

11. El edificio donde se encuentra la computadora está situado a salvo

de:
a. Inundación ( )
b. Terremoto ( )
c. Fuego ( )
d. Sabotaje ( )

12. Existe alarma para:

a. Detectar fuego – forma automática ( )
b. Avisar en forma manual la presencia de fuego ( )
c. Detectar una fuga de agua ( )

169
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

d. Otros ( ) ____________________________________________
e. No existe ( )

13. ¿Saben qué hacer los operadores del cuarto de máquinas en caso
de que ocurra una emergencia ocasionada por fuego?
Si ( )
No ( )

14. ¿Se ha adiestrado al personal la forma en que deben desalojar las

instalaciones en caso de emergencia?
Si ( )
No ( )

15. ¿Se ha prohibido a los operadores el consumo de alimentos y

bebidas en el interior del cuarto de máquinas para evitar daños al
equipo?
Si ( )
No ( )

16. ¿Las copias de seguridad de los ficheros de nivel alto se

almacenan en lugar diferente al de los equipos que las procesan?
Si ( )
No ( )

17. Explique la forma en que están protegidas físicamente estas copias

(bóveda, cajas de seguridad, etc.) que garantice su seguridad en
caso de incendio, inundación, terremoto, etc.
______________________________________________________
______________________________________________________

170
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

18. ¿Se tienen establecidos procedimientos de actualización a estas

copias?
Si ( )
No ( )

19. ¿Existe un inventario de los equipos de cómputo y de sus

periféricos asociados?
Si ( )
No ( )

20. Dicho inventario incluye las copias de seguridad?

Si ( )
No ( )

21. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan

fuera de la Institución?
Si ( )
No ( )

22. ¿Existen procedimientos de actualización de dicho inventario?

Si ( )
No ( )

24. ¿Se Obtiene una relación de los ficheros que se envían fuera de la
empresa, en la que se especifique el tipo de soporte, la forma de
envío, el estamento que realiza el envío y el destinatario?
Si ( )
No ( )

25. ¿Se Comprueba que todos los soportes incluidos en esa relación
se encuentran también en el inventario de soportes?
Si ( )

171
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

No ( )

26. ¿Se Obtiene una copia del Registro de Entrada y Salida de

Soportes y se comprueba que en él se incluyen:
 Los soportes incluidos en la relación del punto anterior (y
viceversa)
 Los desplazamientos de soportes al almacenamiento exterior (si
existiera)
Si ( )
No ( )

27. ¿Se Verifica que el Registro de Entrada y Salida refleja la

información requerida por el Reglamento:
a) Fecha y hora
b) Emisor/Receptor
c) Nº de soportes
d) Tipo de información contenida en el soporte.
e) Forma de envío
f) Persona física responsable de la recepción/entrega

28. ¿Se realiza una relación de soportes enviados fuera de la empresa

con la relación de ficheros de nivel alto?
Si ( )
No ( )

29. ¿Se controla la configuración, instalación y seguridad del equipo de

cómputo y demás equipos?
Si ( )

172
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.
“Análisis de Riesgos en los Sistemas de Información en la
Cooperativa de Ahorro y Crédito San Pío X - Cajamarca” Ing. Informática y de Sistemas –UPSP

No ( )

30. ¿Se cuenta con un plan de seguridad de los sistemas

computacionales?
Si ( )
No ( )

31. ¿Se utilizan indicadores de rendimiento para evaluar a los sistemas

computacionales?
Si ( )
No ( )

32. ¿Se cuenta con un inventario de software que utiliza la empresa?

Si ( )
No ( )

33. Dicho inventario ¿Cuenta con la actualización de las licencias

respectivas del funcionamiento del software?
Si ( )
No ( )

34. ¿Se capacita constantemente a los usuarios para el manejo

adecuado del software?
Si ( )
No ( )

35. ¿Se Comprueba que el Registro de Accesos se encuentra bajo el

control directo del Responsable de Seguridad pertinente?
Si ( )
No ( )

173
Bach. Díaz Tello, Angélica P. Bach. Ortiz Cueva, Fany R.