8/9/2019 Preguntas Auditoras ISO27001

1/12

Preguntas para actividad AUDITORIA ISO-27001:

Existe una poltica de seguridad en las redes WLAN?

Existe una poltica de configuracin base?

Se ha realizado una evaluacin de riesgos en el entorno de la red?

Los APs se encuentran fsicamente seguros?

Existe una apropiada capacitacin para los administradores?

Cul es la arquitectura del entorno de la WLAN?

Qu tecnologa de redes inalmbricas est siendo usada?

Los clientes deben autenticarse a las estaciones base?

Las configuraciones por default de fbrica, como contraseas y SSID han sido cambiadas?

Con qu regularidad se cambian las contraseas y las llaves de cifrado?

El equipo est realizando broadcast del SSID?La informacin y datos son cifrados?

Las conexiones que se realizan son registradas?

Existen bitcoras que son revisadas regularmente para encontrar intentos de conexiones no autorizados?

Existe un procedimiento para mantener a los usuarios, darlos de alta o baja?

Los clientes estn correctamente configurados con un Firewall personal?

Las instalaciones y configuraciones en los equipos Windows son estndares en toda la organizacin?

Existe alguna poltica que describa el otorgar permisos para deshabilitar servicios?

Los administradores de los sistemas estn familiarizados con los servicios y puertos estndares que podran presentarse en sus sistemas?

Existen revisiones peridicas para detectar cambios o nuevos puertos y servicios?

Existen normas y procedimientos escritos sobre el funcionamiento del Servicio deInformacin?

Est separado el Servicio de Informacin del resto de los departamentos?

Es adecuada la segregacin de funciones en el seno del Servicio de Informacin?

Es cierto que el personal de explotacin no participa nunca en funciones de anlisis?

Es cierto que el personal de explotacin no participa nunca en funciones de desarrollo de aplicaciones?

8/9/2019 Preguntas Auditoras ISO27001

2/12

Existe organigrama del funcionamiento del Servicio de Informacin?

Estn descritas con detalle las funciones y responsabilidades del personal?

El personal de explotacin, conoce perfectamente cules son sus funciones y sus resposabilidades?

Tienen manuales de todas las aplicaciones?

Se rotan las asignaciones de trabajo de los operadores?

Es imposible que los operadores accedan a programas y datos no necesarios para sutrabajo?

Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones?

Existen normas sobre cmo deben de hacerse los cambios de turno para que haya seguridad de que las aplicaciones continan su proceso?

Personal con conocimientos y experiencia suficiente organizan el trabajo para queresulte lo ms eficaz posible?

Existen procedimientos de salvaguarda fuera de la instalacin que permitan reconstruir las operaciones que sean necesarias?

Personal con autoridad suficiente es el que aprueba los cambios de unas aplicaciones por otras?

Existen procedimientos adecuados para mantener la documentacin al da?

Existen controles que garanticen el uso adecuado de los soportes de la informacin,como discos y cintas?

Existen procedimientos adecuados para conectarse y desconectarse de los equipos remotos?

Se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcio

namiento?

Se comprueban los resultados con datos reales?

Participan los departamentos de usuarios en la evaluacin de los datos de prueba?

Personal de los departamentos de usuarios revisan y evalan los resultados de las pruebas finales, dando su aprobacin antes de poner en funcionamiento las aplicaciones?

Al poner en funcionamiento nuevas aplicaciones, o versiones actualizadas, funcionan en paralelo las existentes durante un cierto tiempo?

Personal con conocimientos y experiencia adecuada revisa con periodicidad los componentes fsicos de los equipos siguiendo las instrucciones de los fabricantes?

Se cumplen las condiciones ambientales: temperatura, humedad, etc., que recomienda el fabricante para el equipo, cintas, etc.?

Existen controles apropiados para que slo las personas autorizadas tengan acceso alos equipos, cintas, discos, documentacin de programas, etc.?

Existen normas sobre las horas extras y se controlan las entradas y salidas del p

8/9/2019 Preguntas Auditoras ISO27001

3/12

ersonal fuera su horario de trabajo?

Quin en la gestin es responsable de entender y gestionar los riegos empresariales asociados con la computacin en la nube?

La administracin cuenta con procesos eficaces para controlar la computacin en la nube?

Qu estn haciendo los funcionarios con respecto a la computacin en la nube?

Existe un plan estratgico en las dependencias de la "EMPRESA" y Centro de Informtica?

El personal de la "EMPRESA" y Centro de Informtica conoce bien el grupo de funciones que le compete a las dependencias?

En el centro de la "EMPRESA" y Centro de Informtica se elaboran planes para supervisar el cumplimiento de metas durante un periodo?

Se realizan evaluaciones en cuanto al desempeo de los funcionarios de las dependencias?

Se lleva controles sobre incumplimientos o negligencia por parte de los funcionarios?

El grupo de trabajo de las dependencias de la "EMPRESA" y Centro de Informtica realiza su trabajo bajo las normas y polticas internas de la dependencia?

En la "EMPRESA" existe un comit que permita asegurar la objetividad del servicio que brinda esta dependencia?

En el Centro de Informtica existe un organismo que controle y proponga los recursos necesarios que requiera la "EMPRESA" en cuanto a tecnologa y sistematizacin?

"EMPRESA" tiene la misin de la dependencia?

"EMPRESA" tiene la visin de la Dependencia?

"EMPRESA" tiene estructura jerrquica de la dependencia?

El centro de informtica tiene misin de la dependencia?

El centro de informtica tiene visin de la dependencia?

El centro de informtica tiene una estructura jerrquica de la dependencia?

Existe un manual del sistema (software) para el mdulo de aplicaciones web?

El manual del sistema contiene?:- Requerimientos del software y hardware para su funcionamiento?

- Descripcin de la configuracin?- Descripcin de operacin de cada botn y elementos del mdulo?- Diagramas de flujo de datos o pseudocdigo de las partes del mdulo?- Lista de archivos y especificaciones?- Descripcin y catlogo de reportes?

El manual de sistema del mdulo se cambia cada vez que realizan actualizaciones?

Existe algn procedimiento establecido para mantener actualizado el manual de soporte del mdulo?

8/9/2019 Preguntas Auditoras ISO27001

4/12

Existe el diccionario de Datos?

El diccionario de datos contiene?:- Tablas?- Relaciones?- Llaves?- Descripcin del personal encargado de la funcin de dar mantenimiento del diccionario de datos?- Clasificacin de usuarios, niveles de acceso y restricciones?- Roles y privilegios?

Le ha sido entregado al personal del rea de sistemas encargado del manejo de mdulosde los desarrollos de aplicaciones web el diccionario de datos?

Se ha establecido un procedimiento para mantener actualizado el diccionario de datos?

Existen polticas y procedimientos en relacin al modelo de arquitectura de informaci?

El modelo de arquitectura de informacin tiene en cuenta?:- Identificacin de entrada?- Identificacin de procesos?

- Identificacin de sitios de almacenamiento (base de datos)?- Identificacin de reportes?- Identificacin de la interaccin con otros sistemas?- Definicin de usuarios finales?- Requerimientos de la dependencia?

El modelo de arquitectura de informacin del mdulo de aplicaciones web ha sido dadoal personal del rea de sistemas?

Existe un manual para el personal encargado del manejo del hardware?

Existe una descripcin de los diferentes perfiles y competencias que debe cumplir cada uno de los funcionarios de TI?

Existe una definicin o descripcin del cargo?

Estn claramente definidas las funciones que debe desempear el trabajador en los diferentes cargos?

Estn claras las funciones (mantenimiento preventivo, correctivo, manejo de los equipos, servidores etc.) que debe cumplir el personal encargado de hardware?

Existen planes de contingencia para reemplazar algunos funcionarios en caso de ausencia?

El plan de contingencia para reemplazar a empleados cumple con lo siguiente:

- Est documentado?- Tiene el procedimiento para la contratacin de personal de reemplazo?

Existen personas claves en la operacin, administracin y funcionamiento del softwarey hardware?

Existen polticas y procedimientos para realizar la contratacin de nuevo personal?

Existen polticas y procedimientos para el aseguramiento de la calidad en el mdulo de aplicaciones web?

8/9/2019 Preguntas Auditoras ISO27001

5/12

Existe un plan de calidad de aplicacin a las tecnologas de informacin?

Dentro del plan de calidad se incluye:- Esta actualizado?- Los recursos tanto financieros como humanos?- Fomenta la filosofa de mejora continua?

Se hacen revisiones de aseguramiento de calidad y son evaluadas de acuerdo al cumplimiento de estndares de calidad?

Se manejan los procedimientos de aplicaciones web de acuerdo al estatuto estudiantil?

Se encuentran identificadas las amenazas en las cuales el mdulo de aplicaciones web se puede ver enfrentado tales como:- Incendios- virus- robos- terrorismo- ataques cibernticos- personal inconforme

Existen polticas y procedimientos en relacin a la evaluacin de riesgos en el mdulo

aplicaciones web?Se identifica con claridad las responsabilidades en cuanto al uso del sistema deinformacin y equipo de cmputo donde ser implantado y operado?

Est documentado los procedimientos para la evaluacin de riesgos?

Dentro del documento para la evaluacin de riesgos se incluyen?:- Aspectos relacionados con la actualizacin o mantenimiento del hardware e infraestructura de la red?- El manejo que el usuario le da al equipo de trabajo, sus recursos de software einstalaciones de otros programas que quitan rendimiento al hardware o pueden ser causantes de adquisicin de virus?

Se realiza peridicamente una evaluacin de riesgos en el mdulo de aplicaciones web?

Se lleva un reporte o documentacin relacionada con el seguimiento a la identificacin de riesgos, amenazas y exposiciones?

La identificacin de la documentacin de riesgos contiene?:- Descripcin de la metodologa de evaluacin de riesgos?- Identificacin de exposiciones significativas y los riesgos correspondientes?- Los riesgos y exposiciones correspondientes consideradas?

Existe un enfoque cuantitativo y cualitativo formal, para la identificacin y medicin de riesgos, amenazas y exposiciones?

Se han categorizado los riesgos del mdulo de aplicaciones web de acuerdo a su nivel de importancia e impacto?

Existe un plan de accin contra riesgos?

El plan de accin contra riesgos incluye:- Controles econmicos?- Medidas de seguridad para evaluar que vuelva a ocurrir el riesgo?- Seguimiento y monitoreo realizado al proceso?

8/9/2019 Preguntas Auditoras ISO27001

6/12

8/9/2019 Preguntas Auditoras ISO27001

7/12

8/9/2019 Preguntas Auditoras ISO27001

8/12

El control de cambios es un procedimiento formal para el personal de rea de sistemas, relacionados con el manejo del mdulo de aplicaciones web?

Se lleva una documentacin en bitcoras del monitoreo del proceso de cambios en el mdlo de aplicaciones web?

Para la realizacin de un cambio se lleva a cabo los siguientes pasos?:- Solicitud del cambio?- Especificacin del cambio?- Realizacin de pruebas sobre el cambio?- Prueba de aceptacin por parte del usuario?- Proceso de distribucin (capacitacin a los usuarios finales sobre el manejo del cambio en el mdulo)?

Se lleva un registro de los cambios realizados?

Se realiza una evaluacin de los cambios realizados?

Existen polticas y estrategias para garantizar la continuidad del proceso de aplicaciones web en la "EMPRESA"?

En el plan de continuidad de los procesos del mdulo de aplicaciones web contemplauna estrategia que ha funcionado de manera correcta ante esas situaciones?

En el plan de continuidad se contempla la identificacin de los puntos crticos?

Si existe un plan de continuidad, en l se observa el impacto de los puntos crticos?

El plan de continuidad contiene una gua de cmo utilizarlo?

Se lleva a cabo sesiones de entrenamiento o capacitaciones con la frecuencia debida con respecto a lo que se debe realizar en caso de incidentes o interrupcin noplaneada?

El plan de continuidad identifica los periodos o la frecuencia con que ocurren lo

s puntos crticos?

El plan de continuidad describe la funcin e identifica los responsables?

Los roles del grupo de trabajo de la dependencia tienen la responsabilidad del aseguramiento de la continuidad de los servicios del proceso de aplicaciones web ante cualquier situacin?

Existe polticas y lineamientos necesarios para guiar las acciones de prevencin de desastres y para asegurar que se cuenta con los planes necesarios para enfrentary recuperarse de un desastre, con el menor impacto posible?

El Grupo de trabajo de la dependencia tiene en conocimiento los distintos riesgos

o situaciones que puedan interrumpir el proceso de aplicaciones web?

Existe documentacin o registro de las distintas interrupciones no planeadas en elsoftware?

Existe una estrategia de control del plan de continuidad?

Existe una persona o personal encargado sobre el control del plan de continuidad?

8/9/2019 Preguntas Auditoras ISO27001

9/12

Se lleva un control evaluando y verificando la precisin y eficiencia del plan?

Se realiza un anlisis de mejoramiento del plan de continuidad?

Cmo plan de Continuidad se cuenta adems con un respaldo de almacenamiento de informacin?

Se cuenta con un plan de Continuidad como respaldos para los recursos o dispositivos como servidores?

Existe un plan de seguridad que garantice la proteccin de la informacin?

Existe un plan de seguridad que garantice la proteccin del personal de trabajo debido a las condiciones en que laboran?

Existe un plan de seguridad que garantice la proteccin de los dispositivos y recursos de la dependencia?

Estn asegurados fsicamente los servidores?

Existe un lugar de almacenamiento de respaldo de la informacin dentro de la dependencia?

Existe un lugar distinto de la "EMPRESA" de almacenamiento de respaldo de la info

rmacin?Existen un control el cual supervise el plan de Seguridad y garantice un buen rendimiento?

Se realiza un estudio en el cual se identifique los casos o incidentes que vulneren el plan de seguridad?

Se cuenta con la tecnologa y seguridad necesaria para evitar el sabotaje e infiltraciones?

Se utiliza tcnicas de encriptacin como un procedimiento de seguridad para asegurarque la informacin es enviada y recibida por canales confiables?

Utilizan tcnicas para evitar la infeccin de software malicioso?

Se realiza mantenimiento preventivo en los equipos de la dependencia durante periodos por tcnicos encargados?

Tiene cada usuario su propia contrasea?

Las contraseas las cambian peridicamente?

Se exige peridicamente el cambio de contrasea?

Existe un departamento encargado de asignar las contraseas?

Queda un registro de ingreso y actividades de administrador?

Queda un registro de ingreso y actividades de usuario?

Queda un registro de ingreso y actividades de usuario estudiantes?

Posee informacin de todos los usuarios q tienen acceso al mdulo?

Se lleva un seguimiento a las copias de seguridad?

8/9/2019 Preguntas Auditoras ISO27001

10/12

Existe limitacin de acceso a los usuarios del sistema?

Los funcionarios tienen permisos para modificar informacin?

Considera que el usuario y contrasea suministrados al momento de ingresar al sistema son suficientes para evitar el sabotaje o la violacin al mdulo de aplicacionesweb?

Se garantizan que se utilizan tcnicas de seguridad y procedimientos de seguridad asociados para autorizar accesos y controlar los flujos de informacin desde y hacia la red?

Existen procedimientos de capacitacin sobre?:- Controles de seguridad de los planes que maneja la "EMPRESA"?- Valores ticos y sistmicos (concientizar en controles de Seguridad y la tica).- Entrenamiento para los usuarios de atencin- Requerimientos de educacin contnua profesional (Perfiles de competencia, Certificaciones necesarias).- Confidencialidad, integridad y desempeo de las funciones en una forma segura.- Prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad?

En cuanto a los procedimientos de capacitacin a usuarios?:

- Existe un reglamento para proporcionar estos servicios- Se imparten cursos de capacitacin de forma frecuente- Se brindan asesoras en las reas que se requiera?

Las capacitaciones brindadas contribuyen en las acciones laborales y de brindar un mejor desarrollo?

Existen polticas y procedimientos para dar solucin a problemas de usuarios relacionados por fallas del software?

Existe un control y revisin del funcionamiento del software de manera frecuente para verificar que los procesos se realicen de manera adecuada?

Existen polticas y procedimientos para priorizar problemas de usuarios por fallasdel software?

Existe un mesa de ayuda tcnica para resolver problemas en los dispositivos o recursos como servidores o Pcs?

Existe una identificacin de los incidentes o fallas del software para optimizacin omejora del Software?

Existe una optimizacin del software en cuanto a las fallas encontradas y mejorar su rendimiento?

Existe una optimizacin del Software para brindar mayor servicios y realizar ms proc

esos de manera optimizada?

Se da solucin oportuna en un determinado tiempo a los problemas e incidentes reportados?

El funcionario encargado de realizar las mejoras del software lleva un registro delas actualizaciones y mejoras que se realizan en el software?

Existen polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado?

8/9/2019 Preguntas Auditoras ISO27001

11/12

Se realizan revisiones en los equipos de cmputo con el fin de supervisar la instalacin de software no admitido por la "EMPRESA" y que pueda provocar inconsistencias en el rendimiento del PC?

Se lleva control de inventario sobre los dispositivos y recursos adquiridos dentro de la dependencia?

Existen polticas y procedimientos de seguridad para el acceso y salida de las personas que ingresa a la dependencia?

Existe controles para restringir el acceso fsico de las personas al rea?

Existen controles fsicos y ambientales para garantizar el bienestar y proteccin delos recursos y funcionarios?

Los controles funcionan de manera adecuada?

Las condiciones fsicas donde se encuentran los equipos de cmputo cumplen con los requerimientos de seguridad establecidos?

Las instalaciones del centro de cmputo, cumplen con los requerimientos en cuanto a?:- Espacio y movilidad?

- Posibilidad de movilidad de los equipos?- Suelo fijo?

Se administran las instalaciones y equipo de comunicaciones y energa, de acuerdo con los reglamentos, requerimientos tcnicos y lineamientos de seguridad y salud?

Se maneja una planta de energa de reserva por si la electricidad prestada por el proveedor falla?

Se realiza Mantenimiento sobre el equipo de cmputo que manejan los funcionarios?

Existe un plan de soporte tcnico en las dependencias?

Se asigna personal especializado para realizar soporte tcnico sobre los equipos decmputo de las dependencias?

Se tiene conciencia y se aplica sobre las medidas de prevencin que se deben usar sobre los equipos, dispositivos y software para evitar complicaciones ms adelante?

El estado de la infraestructura fsica es apropiado y seguro para la dependencia?

Existen polticas o procedimientos relacionados con los procesos de monitoreo de las actividades encaminadas a brindar seguridad lgica (software)?

Existen polticas o procedimientos relacionados con los procesos de monitoreo de la

s actividades encaminadas a brindar seguridad fsica (servidores y equipos de cmputo)?

Se monitorea de forma continua, compara y mejora el ambiente de control en cuanto?:- Infraestructura?- Software del mdulo de aplicaciones web?- Servidores?- Equipos de cmputo?

8/9/2019 Preguntas Auditoras ISO27001

12/12

Se define quien va a realizar el monitoreo?

Se toman acciones correctivas de acuerdo al resultado de la evaluacin del monitoreo?

Existe documentacin de este proceso?