13.

AUDITORIA DE LA SEGURIDAD GLOBAL FORMATO 13 A GUA DE CUESTIONARIO DIRIGIDO A PERSONAL Del COMIT DE SEGURIDAD CUESTIONARIO Nombre del Puesto: Fecha: .... Del comit de seguridad: a) La institucin cuenta con un comit de seguridad? SI NO No, Por qu razn? ____________________________________________________ De la autoridad responsable: b) Mencionar quin es la autoridad responsable de aplicar los correctivos o sanciones? _____________________________________________________________________ De los parmetros de seguridad: c) Indique que parmetros de seguridad establece el comit de seguridad para la formulacin de las polticas de seguridad, como: - Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la institucin. ( ) - Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos de su rea. ( ) - Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas. ( ) - Otros, especifique: _______________________________________________ De las responsabilidades de seguridad: d) Se han establecido las diferentes responsabilidades para las distintas reas? SI NO No, Por qu? _________________________________________________________ Del proceso para respuestas e incidencias: e) La institucin cuenta con un proceso para el manejo de respuestas a incidentes? SI NO No, Por qu? _________________________________________________________ Si describa el proceso: __________________________________________________ De la aprobacin del plan de riesgos: f) El plan para la administracin de riesgos est aprobada por la mxima autoridad de la institucin y el comit de seguridad? SI NO No, Por qu? _________________________________________________________ De los criterios de prioridad: g) La institucin cuenta con criterios de prioridad para evaluar los riesgos segn su magnitud? SI NO No, Por qu? _________________________________________________________ Si, Cules son? _______________________________________________________ De la revisin y actualizacin de riesgos: h) Se realiza con periodicidad una revisin y actualizacin de los riesgos asociados a las reas identificadas como crticas? SI NO

No, Por qu? _________________________________________________________ De la poltica de seguridad: i) La institucin cuenta con alguna poltica de seguridad? SI NO No, Por qu? _________________________________________________________ Del plan de seguridad: j) El plan de seguridad est aprobada por la mxima autoridad de la institucin y el comit de seguridad institucional? SI NO No, Por qu? _________________________________________________________ De la forma de comunicacin: k) La poltica define la forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin, en relacin con los recursos y servicios informticos de la institucin? SI NO No, Por qu? _________________________________________________________ De la difusin de la poltica de seguridad: l) La poltica de seguridad se difunde a todo el personal, con la finalidad de tomar una cultura de seguridad informtica institucional? SI NO No, Por qu? _________________________________________________________ De los requerimientos mnimos: m) Existen requerimientos mnimos para la configuracin de la seguridad de los sistemas que abarca el alcance de la poltica? SI NO No, Por qu? _________________________________________________________ Del establecimiento de condiciones: n) Se han establecido condiciones generales de trabajo en relacin del medio ambiente, para el bienestar y comodidad de los empleados y usuarios? SI NO No Por qu? _________________________________________________________ De los mecanismos de proteccin: o) La institucin cuenta con algn mecanismo de proteccin contra la humedad del medio ambiente? SI NO No, Por qu? _________________________________________________________ Si, describa ___________________________________________________________ Fuente: Elaboracin propia. MATRIZ DE EVALUACIN La matriz que a continuacin se presenta, tiene como objetivo servir de gua en la evaluacin de aspectos que conciernen la administracin de la gestin de seguridad, plan de administracin de riesgos y; otros que el auditor considere importante.

FORMATO 13 B.1 GUA PARA LA EVALUACIN A LA ADMINISTRACIN EN LA GESTIN DE SEGURIDAD Institucin: ........... Fecha: .. Auditor Encargado: .. Evaluacin a la administracin en la gestin de Indique Exponga seguridad. Referencias Comentarios Evaluar y calificar el cumplimiento de los siguientes aspectos: A. Comit de seguridad. A.1. Elaboracin de un anlisis de riesgos informticos. A.2. Toma de decisiones. A.3. Alcance de las polticas. B. Cambios institucionales. B.1. Seguimiento a los cambios institucionales. B.2. Proceso de actualizacin. Fuente: Elaboracin propia. (*) Explicacin de la matriz: Esta herramienta consiste en una matriz de tres columnas de las cuales la primera corresponde a la descripcin del aspecto que ser evaluado, la segunda corresponde a los rangos en escala que son considerados de mayor a menor (1, 2, 3, 4) y dentro de los parmetros establecidos para calificar, por ltimo tenemos a la tercera columna donde el auditor expone su opinin final con respecto a lo que puede observar en relacin a lo evaluado. A continuacin presentamos los criterios de los parmetros de evaluacin:

Bueno. Es cuando se da la calificacin de 4, esta calificacin se utiliza cuando el desarrollo del trabajo, el cumplimiento de las funciones u otros aspectos es altamente satisfactorio.

Suficiente. En este punto se califica con 3, esta calificacin se utiliza cuando el cumplimiento del trabajo es satisfactorio, pero se considera como lo mnimo necesario para ejecutar lo encomendado.

Regular. En este punto se calida con 2, esta calificacin se utiliza cuando el desarrollado del trabajo es francamente deficiente. Es decir, cuando el desarrollo del trabajo no es nada satisfactorio, pero se evala como lo mnimo necesario para realizar la tarea encomendada.

Deficiente. En este punto se calida con 1, esta calificacin se utiliza cuando el desarrollo del trabajo es francamente deficiente. Es decir, cuando el desarrollo del trabajo es francamente deficiente y queda dentro del rango muy por debajo de lo mnimo aceptable para realizar la tarea encomendada.

FORMATO 13 B.2 GUA PARA LA EVALUACIN AL PLAN DE ADMINISTRACIN DE RIESGOS Institucin: ........... Fecha: .. Auditor Encargado: .. Evaluacin al plan de administracin de riesgos. Indique Exponga Referencias Comentarios Evaluar y calificar el cumplimiento de los siguientes aspectos: A. Identificacin de riesgos. A.1. Procedimientos. A.2. Evaluar los factores, como: Tipo de informacin almacenada, procesada y transmitida. La criticidad de las aplicaciones. La tecnologa usada. Marco legal aplicable. Sector de la institucin. La institucin misma y el momento. Fuente: Elaboracin propia. NOTA: Vase (*) donde se describe el formato 13 B.1. MATRIZ DE IDENTIFICACIN La matriz tiene la funcin de identificar cada uno de los objetivos de la poltica de seguridad informtica y descripcin clara de los elementos, con el objeto de tener un listado base de ello. FORMATO 13 C.1 MATRIZ INVENTARIO DE LOS OBJETIVOS Y ELEMENTOS DE LA POLTICA DE SEGURIDAD OBJETIVOS ELEMENTOS COMENTARIO

Observacin: .. .. .. Fuente: Elaboracin propia. Explicacin de la matriz: Esta herramienta consiste en una matriz de tres columnas de las cuales la primera pertenece a los objetivos de la poltica de seguridad manejada dentro de la institucin, la segunda identifica los elementos que forman parte para la consecucin del objetivo y la tercera corresponde al comentario que el auditor realiza de acuerdo lo observado en las columnas anteriores. La fila que corresponde a la observacin sirve para que el auditor exponga su comentario final con respecto al anlisis que efecta. FORMATO 13 C.2 MATRIZ DE IDENTIFICACIN DE RESPONSABILIDADES

Serv. y/o Recurso

MATRIZ DE IDENTIFICACIN Responsable Actividad

Nivel Institucional

Observacin: .. .. .. Fuente: Elaboracin propia. Explicacin de la matriz: La matriz que se presenta consisten en una matriz de cuatro columnas, de la cual la primera pertenece a la identificacin del servicio y/o recurso aplicados todos los niveles de la institucin, la segunda columna corresponde al responsable del servicio y/o recurso, seguido la columna tres pertenece a las actividades que realiza cada responsable, y por ltimo se identifica el nivel institucional al que pertenece y/o afecta. FORMATO 13 C.3 MATRIZ DE IDENTIFICACIN DE RESPONSABILIDADES USUARIO Usuario Responsable Informacin

Observacin: .. .. .. Fuente: Elaboracin propia. Explicacin de la matriz: La matriz que se presenta consiste en una matriz de dos columnas, de las cuales la primera pertenece a la identificacin del responsable de la informacin al cual tiene acceso y la siguiente columna pertenece a la descripcin de la informacin.

LISTA DE VERIFICACIN Este formato permitir al auditor verificarla existencia del plan de administracin de riesgo, aspectos de contenido, poltica de seguridad, medidas de proteccin, entre otros:

FORMATO 13 D.1 GUIA LISTA DE VERIFICACIN VERIFICAR Aqu se formularn preguntas concretas para verificar aspectos de documentacin, planes , polticas, medidas de seguridad, con los que el centro de informacin debe contar, como: Plan de administracin de riesgo. Planes de evaluacin, el cual debe incluir: objetivos, planes de evaluacin, proyectos en curso, y otros. - Poltica de seguridad, entre otros. a) En la institucin se ha establecido reas de seguridad? - Poltica de seguridad. - Medidas de proteccin causada por factores metereolgicos, atmosfricos y desastres naturales. - Medidas de proteccin derivadas del suministro de energa elctrica, como: interrupciones de energa elctrica para el funcionamiento de los sistemas informticos, etc. b) Se cuenta con un plan para la administracin de riesgos? c) El plan incluye: - Objetivos claros y especficos. - Planes de evaluacin. - Proyectos en curso y los riesgos asociados a estos. d) Se documenta el alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica? e) Existen medidas para prevenir que los sistemas informticos, las instalaciones elctricas, telefnicas y de datos tengan contacto con f) el agua? Se ha establecido medidas de proteccin contra las partculas de SI NO

polvo y deshechos voltiles de cualquier tipo en el medio ambiente? g) Se realiza un anlisis de sistemas de acondicionamiento y pisos falsos? h) Se realiza un anlisis de regulacin de temperatura y aire i) acondicionado? Se han establecido medidas de proteccin causados por factores metereolgicos, atmosfricos y desastres naturales incontrolables, como: - Precipitacin pluvial, de nieve, y otras precipitaciones. - Vientos, huracanes y fenmenos atmosfricos. - Terremotos y temblores. - Tormentas elctricas. j) - Incendios accidentales. Se establecieron medias de proteccin derivadas del suministro de energa elctrica, como: - Interrupciones del suministro de energa elctrica para el

funcionamiento de los sistemas informticos. - Continuidad del suministro de la energa elctrica, por medio de la red pblica o plantes de emergencia, fuentes de interrumpidas de poder. - Previsin en la funcionalidad, distribucin adecuada y seguridad de las instalaciones elctricas del centro de informacin. - Previsin de fallas y deficiencias de la red pblica de suministros de electricidad. - Proteccin contra las variaciones de voltaje, as como el uso de reguladores de corriente y contactos de supresores de picos. Fuente: Elaboracin propia.

FORMATO 13 D.2 GUIA LISTA DE VERIFICACIN RECOMENDACIN TCNICA VERIFICAR EL CUMPLIMIENTO De las recomendaciones especficas: SI NO

a) Los responsables de los archivos de informacin adoptan medidas

de seguridad, que garanticen el cumplimiento de las normas y procedimientos institucionales?1

b) Los usuarios que dispongan de palabra clave, son responsables de

su mal uso por otras personas no autorizadas?2
1

Resolucin Jefatural N 076-95-INEI/ La negativa de la interrogante infringe con la norma en su numeral 6.1.

c) el rgano de administracin, provee al personal el mobiliario

adecuado para almacenar, bajo llave toda documentacin de trabajo?3

d) La institucin cuenta con un comit de seguridad, encargada de

velar por el cumplimiento de las normas y polticas de seguridad?4 De la administracin de la seguridad de informacin:5 e) La institucin establece, mantiene y documenta un sistema de administracin de seguridad de la informacin (Plan de seguridad de la informacin)? f) El plan de seguridad de la informacin contiene: - Definicin de una poltica de seguridad. - Evaluacin de los riesgos de seguridad a los que est expuesta la informacin. - Seleccin de controles y objetivos de control para reducir, eliminar o evitar los riesgos. - Plan de implementacin de controles. - Mantenimiento de registros adecuados que permitan verificar el cumplimiento de las normas, estndares, polticas, procedimientos y otros definidos por la institucin. Fuente: Elaboracin propia.

2 3 4 5

Resolucin Jefatural N 076-95-INEI/ La negativa de la interrogante infringe con la norma en su numeral 6.2. Resolucin Jefatural N 076-95-INEI/ La negativa de la interrogante infringe con la norma en su numeral 6.3. Resolucin Jefatural N 076-95-INEI/ La negativa de la interrogante infringe con la norma en su numeral 6.4. Resolucin SBS N 006-2002/ La negativa de las interrogantes infringe con la norma en su artculo 5.