cuestionario

21

Click here to load reader

Upload: sarai-uitz

Post on 17-Dec-2015

9 views

Category:

Documents


0 download

DESCRIPTION

cuestionario

TRANSCRIPT

Auditora a la direccin informtica:1. La direccin de los servicios de informacin desarrolla regularmente planes a corto, medio y largo plazo que apoyen el logro de la misin y las metas generales de la organizacin?Si______ No______Observaciones:2. Dispone su institucin de un plan Estratgico de Tecnologa de Informacin?Si______ No______Observaciones:3. Durante el proceso de planificacin, se presta adecuada atencin al plan estratgico de la empresa? Si______ No______Observaciones:4. Las tareas y actividades en el plan tiene la correspondiente y adecuada asignacin de recursos?Si______ No______Observaciones:5. Existe un comit de informtica?Si______ No______Observaciones:6. Existen estndares de funcionamiento y procedimientos que gobiernen la actividad del rea de Informtica por un lado y sus relaciones con los departamentos usuarios por otro?Si______ No______Observaciones:7. Existen estndares de funcionamiento y procedimientos y descripciones de puestos de trabajo adecuados y actualizados?Si______ No______Observaciones:8. Los estndares y procedimientos existentes promueven una filosofa adecuada de control?Si______ No______Observaciones:9. Las descripciones de los puestos de trabajo reflejan las actividades realizadas en la prctica?Si_____ No______Observaciones:10. La seleccin de personal se basa en criterios objetivos y tiene en cuenta la formacin, experiencia y niveles de responsabilidad?Si______ No______Observaciones:11. El rendimiento de cada empleado se evala regularmente en base a estndares establecidos?Si______ No______Observaciones:12. Existen procesos para determinar las necesidades de formacin de los empleados en base a su experiencia?Si______ No______Observaciones:13. Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalizacin de los contratos laborales no afectan a los controles internos y a la seguridad informtica?Si______ No______Observaciones:14. Existe un presupuesto econmico?Si______ No______ Cul?_________________________________Observaciones:15. Hay un proceso para elaborarlo?Si______ No______ Cmo? _________________________________16. Existen procedimientos para la adquisicin de bienes y servicios?Si______ No______Observaciones:17. Existe un plan operativo anual?Si______ No______ 18. Existe un sistema de reparto de costes informticos y que este sea justo?Si______ No______19. Cuentan con plizas de seguros?Si______ No______20. Existen procedimientos para vigilar y determinar permanentemente la legislacin aplicable?Si______ No______

Auditoria de la seguridad fsica:La siguiente encuesta est enfocada a conocer la seguridad que cuenta las instalaciones y equipos de cmputo, as como las herramientas y procedimientos a seguir en caso de emergencia.1. El lugar donde se ubica el centro de cmputo est seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos? S ____ No____2. El centro de cmputo da hacia el exterior?S ____ No ____3. Aparte del centro de cmputo se cuenta con algn lugar para almacenar otros equipos de cmputo, muebles, suministros, etc.? Si ____ Dnde? __________________________________ No____4. Se cuenta con una salida de emergencia? Si ____No ____5. Existen sealamientos que las hagan visibles? Si ____ Dnde? ________________________________ No ____6. Es adecuada la iluminacin del centro de cmputo?Si ____No ____ Por qu? _____________________________________ 7. La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales requieren? Si ______ No ______ 8. Se cuenta con tierra fsica? S ______ No ______ 9. Los contactos de los equipos de cmputo estn debidamente identificadas? S ______ No ______ 10. Se cuenta con los planos de instalacin elctrica? Si ______ No ______ 11. Se cuenta con equipo interrumpible? S ______ No ______ 12. Los cables estn dentro de paneles y canales elctricos? S ______ No ______ 13. Los interruptores de energa estn debidamente protegidos y sin obstculos para alcanzarlos? S ______ No ______ 14. Con que periodo se les da mantenimiento a las instalaciones y suministros de energa?a. 1 ao o ms( )b. Cada 6 meses ( )c. Nunca ( ) 15. Existe alarma para?:a. Detectar fuego (calor o humo) en forma automtica? ( )b. Avisar en forma manual la presencia del fuego? ( )c. Detectar una fuga de agua? ( )d. No existe ( )16. Esta alarma tambin est conectada?:a. Al puesto de guardias ( )b. A la estacin de bomberos ( )c. A ningn otro lado ( )d. Otro__________________________________________________17. Existen extintores? Si _____ Cuntos? __________________________________ No ____18. Tipo de extintores: Manual ____ Automtico ____ No existen ___ 19. Indique el tipo de vigilancia que existe para controlar el acceso al centro de cmputo las 24 horas:a. Vigilante ( )b. Recepcionista ( )c. Tarjeta de control de acceso ( )d. Nada ( )20. Se le ha prohibido a los operadores el consumo de alimentos y bebidas as como fumar en el interior del centro de cmputo para parar evitar daos al equipo? SI ___NO ___21. Los equipos del centro de cmputo cuentan con sesin de administrador que est protegida por clave? SI ___NO ___22. Estas contraseas son generadas de manera automtica?SI ___NO __23. Se ha aconsejado al personal para que las contraseas que usen?:a. No tengan algn significado personal ( )b. Contengan nmeros no consecutivos ( )c. Contengan letras maysculas y minsculas ( )d. Sean renovadas cada 3 meses ( )e. Sean de al menos 8 caracteres ( )f. No sean conocidas por otro personal ( )

24. Cuentan con manuales para cada programa que se maneja? S___ No___ 25. Se cuenta con reglamento para el usuario y personal? S___ No___ 26. Usuarios y personal respetan los reglamentos y polticas estipuladas dentro del centro de cmputo? Si___ No___ 27. Qu tipo de mantenimiento realizan? a. Preventivob. Correctivo 28. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa?S___ No___29. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos?Si___ No_____30. Sabe que hacer el personal en caso de una emergencia?Si ______ No ______ 31. Se ha adiestrado al personal sobre el uso de extintores?Si ______ No ______ 32. Se da algn tipo de induccin al personal para que este informado de las funciones que realizar?Si____ No____ Cuestionario para la secretaria:La siguiente encuesta est enfocada a conocer la seguridad que cuenta las instalaciones y equipos de cmputo, as como las herramientas y procedimientos a seguir en caso de emergencia.1. El lugar donde se ubica el centro de cmputo est seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos? S ____ No____2. El centro de cmputo da hacia el exterior? S ____ No ____3. Aparte del centro de cmputo se cuenta con algn lugar para almacenar otros equipos de cmputo, muebles, suministros, etc.? Si ____ Dnde? __________________________________ No____4. Se cuenta con una salida de emergencia? Si ____No ____5. Existen sealamientos que las hagan visibles? Si ____ Dnde? ________________________________ No ____6. Es adecuada la iluminacin del centro de cmputo?Si ____No ____ Por qu? ________________________________

7. La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales requieren? Si ______ No ______ 8. Se cuenta con tierra fsica? S ______ No ______9. Los contactos de los equipos de cmputo estn debidamente identificadas? S ______ No ______ 10. Se cuenta con los planos de instalacin elctrica? Si ______ No ______ 11. Se cuenta con equipo interrumpible? S ______ No ______ 12. Los cables estn dentro de paneles y canales elctricos? S ___ No ___13. Los interruptores de energa estn debidamente protegidos y sin obstculos para alcanzarlos? S ______ No ______

14. Con que periodo se les da mantenimiento a las instalaciones y suministros de energa?______________________________________________________________________________________________________________________15. Existe alarma para?:a. Detectar fuego (calor o humo) en forma automtica? ( )b. Avisar en forma manual la presencia del fuego? ( )c. Detectar una fuga de agua? ( )d. No existe ( )16. Esta alarma tambin est conectada?:a. Al puesto de guardias ( )b. A la estacin de bomberos ( )c. A ningn otro lado ( )d. Otro__________________________________________________17. Existen extintores? Si _______ Cuntos? ______________ No ______18. Tipo de extintores: Manual ____ Automtico ____ No existen _____

19. Indique el tipo de vigilancia que existe para controlar el acceso al centro de cmputo las 24 horasa. Vigilante ( )b. Recepcionista ( )c. Tarjeta de control de acceso ( )d. Nada ( )20. Se le ha prohibido a los operadores el consumo de alimentos y bebidas as como fumar en el interior del centro de cmputo para parar evitar daos al equipo? SI ___NO __21. Los equipos del centro de cmputo cuentan con sesin de administrador que est protegida por clave? SI ___NO ___22. Estas contraseas son generadas de manera automtica?SI ___NO ___23. Se ha aconsejado al personal para que las contraseas que usen?:a. No tengan algn significado personal ( )b. Contengan nmeros no consecutivos ( )c. Contengan letras maysculas y minsculas ( )d. Sean renovadas cada 3 meses ( )e. Sean de al menos 8 caracteres ( )f. No sean conocidas por otro personal ( )24. Cuentan con manuales para cada programa que se maneja? S___ No___ 25. Se cuenta con reglamento para el usuario y personal? S___ No___ 26. Usuarios y personal respetan los reglamentos y polticas estipuladas dentro del centro de cmputo? Si___ No___ 27. Qu tipo de mantenimiento realizan? a. Preventivob. Correctivo 28. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa?Si ______ No ______ 29. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos?Si ______ No ______ 30. Sabe que hacer el personal en caso de una emergencia?Si ______ No ______ 31. Se ha adiestrado al personal sobre el uso de extintores?Si ______ No ______ 32. Se da algn tipo de induccin al personal para que este informado de las funciones que realizar?Si ______ No ______ Auditora de servicios de subcontratacin:Cuestionario departamento. 1. Cuenta con servicios de subcontratacin (Outsourcing)? SI _____ NO_____ Si la respuesta es NO, pase a la seccin dentro del recuadro, si la respuesta es S, contine con la pregunta 2.2. De la siguiente lista, seleccione que tipo de Outsourcing es con el que cuenta: Outsourcing informtico tradicional Outsourcing total Outsourcing parcial Proveedor nico Outsourcing de transicin 3. Aparte de los servicios seleccionados previamente, Cuenta con otro servicio de subcontratacin (Outsourcing)?SI _____ NO_____CUAL(ES): ____________________________4. En qu tipo de actividades estn enfocados los servicios de subcontratacin con los que cuentan?________________________________________________________________________________________________________________________________

5. Quin o qu rea se encarga de la gestin de contratos de Outsourcing, especficamente del rea de informtica?________________________________________________________________________________________________________________________________6. De qu manera beneficia los servicios de Outsourcing en el rea de informtica?________________________________________________________________________________________________________________________________7. Qu ventajas considera de estos servicios?________________________________________________________________________________________________________________________________8. Qu desventajas considera que tienen estos servicios?9. Qu grado de satisfaccin alcanza el rea de informtica con los servicios de subcontratacin? Bueno Excelente Regular No beneficia10. Como responsable de esta rea, Considera que tiene un grado de eficacia y control la subcontratacin externa? SI _____ NO_____

Si la respuesta es NO:A. Existe alguna razn para no considerar una subcontratacin externa? SI _____ NO_____ Por qu?___________________________________________________________________________________B. Considera innecesaria una subcontratacin en un tiempo futuro? SI _____ NO_____ Por qu?___________________________________________________________________________________C. Qu razones tendra para adquirir una subcontratacin en dado caso que llegara a requerir?

D. En un punto de vista personal, Qu tipo de subcontratacin cree que sea requerida en esta secretara?

Cuestionario para la secretaria.1. Sabe con qu tipo de servicios de subcontratacin / Outsourcing cuentan?________________________________________________________________________________________________________________________________2. En qu tipo de actividades estn enfocados los servicios de subcontratacin con los que cuentan?________________________________________________________________________________________________________________________________3. Cul es la finalidad de estos servicios de subcontratacin?________________________________________________________________________________________________________________________________4. Quin o qu rea se encarga de la gestin de contratos de Outsourcing?________________________________________________________________________________________________________________________________5. De qu manera cree que benefician los servicios de Outsourcing en esta dependencia? ________________________________________________________________________________________________________________________________6. Qu ventajas considera de estos servicios?________________________________________________________________________________________________________________________________7. Qu desventajas considera que tienen estos servicios?________________________________________________________________________________________________________________________________8. Existe una capacitacin para un mejor desempeo con respecto a estos servicios de subcontratacin?________________________________________________________________________________________________________________________________

Auditora de bases de datos:Cuestionario para el departamento.1. Se cuenta con un gestor de base de datos?SI _____ NO_____ Por qu? (Si la respuesta fue NO) ___________________________________________________________2. Qu manejador utilizan?______________________________________________________________________________________________________________________3. Los datos estn disponibles para los usuarios autorizados?SI _____ NO_____ 4. Los datos son validados antes de ser introducidos en la base de datos?SI _____ NO_____ 5. La informacin se actualiza peridicamente?SI _____ NO_____ 6. Existe manuales de utilizacin accesibles a los usuarios de la base de datos?SI _____ NO_____ 7. El administrador de la base de datos tiene experiencia suficiente para administrar esa rea?SI _____ NO_____ 8. El administrador tiene los conocimientos necesarios sobre el sistema gestor de base de datos? SI _____ NO_____ 9. Se puede garantizar la seguridad de la informacin personal?SI _____ NO_____ 10. Los datos estn disponibles para los usuarios autorizados? SI _____ NO_____ 11. La base de datos posee valor informativo (datos sensibles)?SI _____ NO_____ 12. Los datos son validados antes de ser introducidos en la base de datos?SI _____ NO_____ 13. Existe un control de vistas de datos para usuarios especficos? SI _____ NO_____

14. Se realiza la gestin de disponibilidad, integridad y confidencialidad? SI _____ NO_____ 15. Se puede garantizar la seguridad de los datos personales almacenados en la base de datos en funcin del nivel de seguridad? SI _____ NO_____ 16. Existe un documento de poltica de seguridad de la informacin accesible para los empleados y puedan realizar consultas sobre ella? SI _____ NO_____ 17. En la poltica se haya recogido la prevencin y deteccin de virus, as como otro software malicioso? SI _____ NO_____ 18. Existe seguridad de acceso al recinto, ya sea mediante guardas de seguridad, tarjetas de control, seguridad biomtrica, etc.? SI _____ NO_____ 19. Hay alarma contra intrusos interconectada con la polica? SI _____ NO_____ 20. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? SI _____ NO_____ Cuestionario para otro departamento:1. Tiene acceso a toda la informacin almacenada en la base de datos? SI _____ NO_____ 2. Tiene acceso a documentacin o manuales para acceder a la informacin de la base de datos?SI _____ NO_____ 3. Ha firmado un compromiso para mantener en secreto sus contraseas personales? SI _____ NO_____ 4. Sabe de la existencia de una persona responsable de la seguridad? SI _____ NO_____ 5. Tiene acceso a informacin sensible dentro del sistema?SI _____ NO_____ 6. Tiene experiencia en el manejo de informacin sensible? SI _____ NO_____ 7. Ha presentado problemas en el manejo de la informacin almacenada en la base de datos? SI _____ NO_____ 8. Est enterado del correcto funcionamiento con las base de datos? SI _____ NO_____ 9. Se muestra un mensaje que advierte de la restriccin a la base de datos slo a usuarios autorizados para ello? SI _____ NO_____ 10. Firma un control de vistas de datos para usuarios especficos? SI _____ NO_____ 11. Como parte del personal que interacta con la base de datos, Es entrenado mediante cursos para la correcta utilizacin de la base de datos? SI _____ NO_____ 12. Conoce las medidas de seguridad que hay con respecto a la proteccin de datos? SI _____ NO_____ Auditoria de Sistemas:Cuestionario para el departamento:1. Los Sistemas Operativos cuentan con licencias?SI ( )NO ( )2. El software que se utilizan para laborar cuenta con licencias? SI ( )NO ( )3. Utiliza software de prueba?SI ( )NO ( )4. Utilizan algn servidor para realizar trabajos?SI ( )NO ( )5. Cuentan con instalacin para servidor?SI ( )NO ( )6. Cuentan con algn software de diseo?SI ( )NO ( )7. Utilizan alguna suite de ofimtica?SI ( )NO ( )8. Se lleva a cabo desarrollo de software en la empresa?SI ( )NO ( )9. Cuenta con algn IDE adecuado para el desarrollo de software?SI ( )NO ( )

Cuestionario para otra rea diferente a sistemas 1. Los Sistemas Operativos cuentan con licencias?SI ( )NO ( )2. El software que se utilizan para laborar cuenta con licencias? SI ( )NO ( )3. Utilizan alguna suite de ofimtica?SI ( )NO ( )4. Utilizan alguna suite de ofimtica?SI ( )NO ( )5. Sabe cmo utilizar un editor de texto?SI ( )NO ( )6. Sabe cmo utilizar una hoja de clculo?SI ( )NO ( )7. Sabe cmo utilizar un software de diseo?SI ( )NO ( )8. Sabe cmo utilizar un manejador de base de datos?SI ( )NO ( )Auditora de Seguridad lgica:Cuestionario para el departamento1. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?SI ( )NO ( )2. Se ha instruido a estas personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin?SI ( )NO ( )3. Los usuarios tienen cuentas de usuarios en los sistemas de cmputo de tal manera que impidan que otros usuarios puedan acceder a su informacin?SI ( )NO ( )4. Se cuenta con bitcoras de mantenimiento al equipo de cmputo?SI ( )NO ( )5. Se cuenta con copias de los archivos en lugar distinto al de la computadora?SI ( )NO ( )6. Las computadoras cuentan con algn antivirus?SI ( )NO ( )7. Cuenta con algn firewall?SI ( )NO ( )8. Los empleados estn capacitados para el manejo de software(s) de trabajo?SI ( )NO ( )9. Qu tipo de medidas se toman para el acceso a internet en la empresa?SI ( )NO ( )10. Se hacen respaldos de los archivos?SI ( )NO ( )11. Los equipos del centro de cmputo cuentan con sesin de administrador que est protegida por clave?SI ( )NO ( )12. Estas contraseas son reemplazadas cada 3 meses para asegurar la privacidad del equipo?SI ( )NO ( )13. Estas contraseas son generadas de manera automtica?SI ( )NO ( )14. Las contraseas son establecidas por la empresa?SI ( )NO ( )Cuestionario secretaria1. Su equipo cuenta con alguna contrasea?SI ( )NO ( )2. Su computadora cuenta con antivirus?SI ( )NO ( )3. Se cuenta con copias de los archivos en lugar distinto al de la computadora?SI ( )NO ( )4. Cada cuando se hace el mantenimiento a los equipos de cmputo?SI ( )NO ( )5. Cuanta con algn firewall o cortafuegos?SI ( )NO ( )6. Recibe capacitacin sobre el software de trabajo que utiliza?SI ( )NO ( )7. Estn restringidas algunas pginas de internet?SI ( )NO ( )8. Tiene la autorizacin de instalar algn software sin autorizacin del encargado del rea?SI ( )NO ( )9. Escanea sus dispositivos de almacenamiento peridicamente para detectar virus?SI ( )NO ( )10. Ha cambiado la contrasea del equipo anteriormente?SI ( )NO ( )11. Las contraseas las elige usted?SI ( )NO ( )12. Las contraseas son definidas por la empresa?SI ( )NO ( )

Auditora de las telecomunicacionesLista de ControlSiNoComentarios

1. El departamento cuenta con polticas del sitio?

2. El departamento cuenta con un control de acceso al sitio?

3. El departamento maneja inventarios de equipos de comunicaciones?

4. El departamento cuenta con algn tipo de seguridad en cuanto al manejo de internet?

5. Se mantienen los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones y otros equipos de proceso de datos?

6. El departamento cuenta con redes secundarias?

7. Utilizan alguna topologa de red. Cul?

8. Implementan algn tipo de monitoreo en la red. Cul?

9. Existen procedimientos para la proteccin de cables y bocas de conexin.

10. Existe un procedimiento formal de prueba que cubre la introduccin de cualquier nuevo equipo o cambios en la red de comunicaciones.

11. Existen procedimientos adecuados de identificacin, documentacin y toma de acciones correctivas ante cualquier fallo de comunicaciones.

12. El plan general de recuperacin de desastres considera el respaldo y recuperacin de los sistemas de comunicaciones.

13. Cuentan con nmeros telefnicos internos de la dependencia para estar en contacto con los otros departamentos.

14. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas

15. Manejan Software de Cifrados de Informacin

16. Ha comprobado que no existan parches de seguridad del softwarey recibe regularmente las actualizaciones de seguridad / vulnerabilidades del software que utiliza en la red?

17. Mantiene suficientes registros (logs) de la actividad de red aprobada?

18. Conoce todo el software que puede interactuar con la red, los nmeros de puerto que utilizan, el tamao y la ubicacin de los ejecutables, etc?

19. Se cambian las contraseas de las cuentas de usuario de la red con regularidad?

20. Se cifran los datos confidenciales que se transfieren a travs de la red?

21. Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?

22. Suele comprobar si los programas no autorizados que se ejecutan en su sistema que potencialmente podra permitir a un usuario conectarse a travs de la red?

23. Monitoriza la actividad de red en busca de trfico excesivo o inusual que llega a su sistema?

24. Cuentan con conmutadores en red, para la expansin de redes locales?

25. Las terminaciones del cable de red estn correctamente configuradas en base al cdigo de colores de los pares trenzados?

26. Se tienen suficientes nodos en la red para conectar todos los equipos que lo requieren?

27. Cuenta con un anlisis de vulnerabilidades en la implementacin y configuracin de los dispositivos de red?

28. Cuentan con administracin interna de la red es decir, cuentan con VLANs creadas en el servidor para tener una mayor administracin en cada una de las oficinas que se dedican a diferentes actividades?

29. Para evitar vulnerabilidades en las WLAN Usan protocolos de autenticacin, como est establecido en el estndar IEEE 802.11?

30. La cantidad de dispositivos Access Point es la adecuada en funcin del nmero de usuarios que se conectan, como lo establece el estndar 802.11?

Cuestionario secretaria1. Qu tan familiarizada est en el manejo de la red?_______________________________________________________________________________2. Qu le parece el servicio de red?_______________________________________________________________________________3. Ha tenido algn problema en cuanto a la red?SI ( )NO ( ) Cul? _______________________________________________________4. Qu tan rpido y eficiente es el tiempo de respuesta del internet?SI ( )NO ( ) Por qu? ____________________________________________________5. Estn restringidas algunas pginas de internet?SI ( )NO ( ) Cul? ______________________________________________________6. Tiene acceso libre a cualquier sitio?SI ( )NO ( ) Cul? ______________________________________________________7. A travs de qu medios se conecta?______________________________________________________________________________8. Qu tramites tiene que hacer para poder tener acceso a la red?______________________________________________________________________________9. Qu calificacin le dara al servicio de telecomunicaciones? Siendo 10 excelente y 1 malo.