Guía para Evaluar La Ciberseguridad.

Código:
Guía para Evaluar la Versión:
(LOGO O NOMBRE DE LA FIRMA)

Ciberseguridad Fecha de vigencia:
Guía para Evaluar la Ciberseguridad

Estamos en un momento de la historia donde el hombre tiene la necesidad de estar
constantemente conectado e interactuando con un mundo cada día más digital, que
requiere de dispositivos nuevos, internet, aplicaciones y equipos para simplificar su
vida, donde los computadores hacen parte esencial del día a día de las personas en
su vida privada como en sus compañías, y se encuentren expuestos a nuevos
riesgos a través de sus equipos y redes, lo que ha requerido de herramientas para
prevenir, detectar y resolver vulnerabilidades y en algunos casos ataques
informáticos.
El estado ha tenido que ir generando estrategias y regulaciones a fin de proteger su

infraestructura y la seguridad y defensa del gobierno, a fin de mitigar el cibercrimen y
cubrir sus vulnerabilidades informáticas que pongan en riesgo la continuidad normal
de los servicios de una o varias entidades del estado.
En el caso de las entidades privadas se han venido reportando casos desde el

acceso abusivo al sistema de información, el hurto por medios informáticos,
interceptación de información, transferencia de activos, suplantación de sitios web, y
daño informático, entre otros.
La ciberseguridad o seguridad informática se torna clave para la protección de la

privacidad, disponibilidad e integridad de la información, ya sea en el ámbito
personal o dentro de una entidad con una estructura informática robusta, en
entidades privadas como públicas.
ISACA (Information Systems Audit and Control Association) define la ciberseguridad

como la: “Protección de activos de información, mediante el tratamiento de las
amenazas que ponen en riesgo la información que se procesa, se almacena y se
transporta mediante los sistemas de información que se encuentran
interconectados”.
Es decir que la ciberseguridad abarca los equipos, las redes, aplicaciones, sus
metodologías para el procesamiento automático de información y todo lo relacionado
con la infraestructura informática.
Página 1 de 8
www.auditool.org
Este documento es una guía para realizar una revisión a la seguridad informática de un sistema de información, en
ningún caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades del
encargo o propias y realizar los ajustes pertinentes.
Código:

Objetivo
Detectar riesgos y deficiencias en la seguridad informática, a fin de Implementar
herramientas para proteger la integridad, disponibilidad y confidencialidad de la
información crítica de la entidad.
Alcance
Esta guía debe ser aplicada a los sistemas de información financiera, operativa y de
negocios donde opera el cliente.
Políticas y procedimientos de seguridad informática
Verificado
Cuestionario Comentarios
por:
Verifique que se encuentren documentadas
las políticas y procedimientos de seguridad
informática.
Indague sobre el procedimiento para
identificar cuando se realizan cambios en el
sistema de información.
Verifique que los cambios en el sistema de
información se encuentran autorizados por una
persona que cuente con la jerarquía y autoridad
para hacerlo.
Verifique la periodicidad de la revisión de las
políticas de riesgos y seguridad informática.
Indague si la persona responsable del
cumplimiento de las políticas de seguridad
cuenta con la jerarquía y autoridad para la toma
de decisiones que afecten el sistema de
información.
Verifique si existe un área o personal encargado

de la evolución de riesgos informáticos y de
seguridad.
Verifique si se han presentado incumplimiento a
las políticas de seguridad y que tipo de sanciones
se han aplicado en cada caso.
Página 2 de 8
www.auditool.org
Código:

Verificado
por:
Verifique si dentro de la planificación
estratégica se encuentra contemplada la
planeación de seguridad informática.
Verifique las políticas de seguridad para la
relación con proveedores.
Recursos humanos
Verificado
por:
Verifique que la compañía cuente con un
programa de capacitación y concientización
sobre los riesgos de seguridad informática.
Revise que dentro del proceso de selección
de personal se consulten los antecedentes
laborales y judiciales de los candidatos
seleccionados.
Verifique que se realicen evaluaciones al
personal nuevo de TI sobre las competencias
y experiencia en temas de seguridad
informática.
Verificar si los directivos cuentan con
competencias digitales.
Verifique que dentro de la estructura de la
entidad se tengan cargos especializados en
temas digitales.
Verifique si dentro del plan de inducción de
los empleados nuevos se les capacita sobre
las políticas de seguridad informática y las
obligaciones y deberes que esto implica.
Verifique si los contratos de trabajo tienen
una cláusula de propiedad intelectual sobre
los desarrollos que se pueden generar de
acuerdo con el cumplimiento de su puesto
de trabajo.
Indague si el personal de la entidad se ha
Página 3 de 8
www.auditool.org
Código:

Verificado
por:
capacitado recientemente sobre riesgos
informáticos.
Activos informáticos
Verificado
por:
Verifique que la entidad cuenta con un inventario
de los equipos relacionados con los sistemas de
información.
Verifique la propiedad de los equipos
sensibles dentro del sistema de información.
Verifique que las reglas y usos autorizados de
los equipos estén notificadas a los usuarios.
Verifique que el espacio de servidores cuente
con controles de humedad y temperatura.
Verifique el cumplimiento del programa de
mantenimiento y compárelo con las
especificaciones del fabricante.
Verifique que se encuentre restringidas
páginas que puedan descargar archivos no
autorizados o contenidos que no contribuyan
a la efectividad o eficiencia del trabajo.
Verifique si el centro de datos cuenta con
una UPS para la continuidad del servicio
eléctrico en caso de interrupción del servicio.
Aplicaciones del sistema de información
Verificado
por:
Verifique que la entidad cuenta con un
sistema de antivirus para su sistema de
información y el mismo se encuentra
actualizado.
Página 4 de 8
www.auditool.org
Código:

Verificado
por:
Verifique que se realicen las actualizaciones
del sistema operativo como del software.
Verifique que la entidad cuente con antivirus,
firewall físico, antispam, filtrado de
contenidos, antispyware y firewall de
aplicaciones.
Verifique que el firewall se utilice para
controlar los accesos a los sistemas de
información públicos.
Verifique si se lleva un control de las
actividades del firewall.
Verifique el cambio de las contraseñas que
vienen por defecto en los equipos nuevos.
Verifique si se utiliza alguna metodología
para encriptar datos que se encuentren en
tránsito y los archivos de datos de las copias
de seguridad.
Verifique que la entidad cuenta con políticas
sobre el uso seguro de dispositivos móviles
en la red.
Verifique que los usuarios tengan el menor
nivel de privilegios y que los mismos les
permita desempeñar su trabajo
satisfactoriamente.
Verifique que se realizan copias de seguridad
y que las mismas se encuentran
debidamente custodiadas.
Verifique que los procedimientos para
realizar la copia de seguridad permitan
garantizan la integridad de la información y
su recuperación inmediata en caso de un
siniestro.
Controles de acceso
Verificado
por:
Página 5 de 8
www.auditool.org
Código:

Verificado
por:
Verifique que los accesos a la red y a los
equipos cuenten con un usuario y una
contraseña de seguridad.
Verifique que el protocolo para asignar
claves incluya cierto grado de complejidad,
como combinar minúsculas, mayúsculas,
números y símbolos y prohíba incluir
información personal en la clave.
Verifique que los usuarios registrados
correspondan a empleados de la compañía.
Verifique el nivel de autoridad del personal
encargado de realizar el registro de usuarios,
claves y privilegios en el sistema de
información.
Verifique que el sistema controla el número
de intentos de acceso al sistema.
Verifique si el sistema está programado para
solicitar automáticamente el cambio
periódico de contraseñas.
Valide que solo personal relacionado con el
desarrollo de aplicaciones tenga acceso al
código fuente del sistema de información.
Verifique si el centro de datos cuenta con
controles físicos de acceso (llaves o
cerraduras, y bloqueo).
Valide que el personal que ingresa al centro
de datos cuenta con credenciales o insignias
token.
Verifique que los proveedores de servicios se
encuentren acompañados mientras estén en
las instalaciones de la entidad.
Revise si se realiza monitoreo para la
detección de accesos no autorizados
mediante un log de auditoria o tabla de
registro de cambios en el sistema.
Protocolos de seguridad
Página 6 de 8
www.auditool.org
Código:

Verificado
por:
Verifique que se encuentren implementados
protocolos de seguridad de web y que tipos
de certificados utilizan.
Verifique si están implementado protocolos
de seguridad para las aplicaciones,
transporte, red o enlace de datos.
Revise que los programas que se encuentren
instalados en los equipos cuenten con las
licencias de uso de software de acuerdo con
las regulaciones de la jurisdicción, estén
actualizadas y de acuerdo con la normas y
contratos.
Verifique que este restringido los equipos de
cómputo para que los usuarios no puedan
instalar o modificar la configuración del
equipo.
Indague si los usuarios pueden hacer
descargas de software o quien es el
encargado de instalar y descargar
aplicaciones.
Indague sobre las normas y regulaciones que
se deben aplicar en el cumplimento de
seguridad informática como propiedad
intelectual, protección de registros,
privacidad y protección de datos personales y
controles criptográficos.
Verifique si existe un procedimiento para la
gestión de incidentes, que incluyan reporte
de eventos, reporte de debilidades,
decisiones sobre ellos y respuesta a los
incidentes de seguridad de la información.
Evaluación del riesgo
Verificado
por:
Página 7 de 8
www.auditool.org
Código:

Verificado
por:
Indague sobre las políticas y procedimientos
de evaluación del riesgo de seguridad
informática.
Indague como la entidad identifica factores
de riesgos que deben ser monitoreados
permanentemente.
Verifique como la entidad determina que los
riesgos están en un nivel aceptable o deben
implementar acciones para mitigarlos.
Verifique el costo beneficio de los controles
implementados, comparado con el costo que
asumiría la entidad si el riesgo se materializa.
Indague sobre las evaluaciones de riesgo de
las nuevas aplicaciones y equipos de
informática antes de su implementación.
Un tercero realiza inspecciones sobre el
sistema de seguridad y riesgos informáticos a
los que está expuesta la entidad.
Verifique si se realizan acciones concretas
para solucionar las vulnerabilidades
detectadas por el tercero que realiza la
inspección de seguridad del sistema de
información.
Verifique que se encuentre documentado el
plan de contingencia.
Control de cambios
Fecha en que entró
Modificación (Breve Porque (razón de la
Versión en vigencia la
descripción del cambio y en modificación) y quien lo
anterior versión anterior
qué campo): propuso:
(aaaa/mm/dd)
Página 8 de 8
www.auditool.org

Guía para Evaluar La Ciberseguridad.

Cargado por

Copyright:

Formatos disponibles

Guía para Evaluar La Ciberseguridad.

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía para Evaluar La Ciberseguridad.

Cargado por

Copyright:

Formatos disponibles

Código:

Guía para Evaluar la Versión:

(LOGO O NOMBRE DE LA FIRMA)