Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin.

Cuestionario
Objetivos Este cuestionario tiene como objetivo conocer la situacin actual de la Institucin en cuanto a las actividades llevadas a cabo referido a la Seguridad de Informacin. Contenido El presente cuestionario comprende los siguientes aspectos: 3. Poltica de Seguridad 3.1. Poltica de seguridad de la informacin 4. Aspectos organizativos para la Seguridad 4.1 Estructura para la seguridad de la informacin 4.2 Seguridad en los accesos de terceras partes 4.3 Outsourcing 5. Clasificacin y control de activos 5.1 Responsabilidad sobre los activos 5.2 Clasificacin de la informacin 6. Seguridad ligada al personal 6.1 Seguridad en la definicin del trabajo y los recursos 6.2 Formacin de usuarios 6.3 Respuesta ante incidencias y malos funcionamientos de la seguridad 7. Seguridad fsica y del entorno 7.1 Areas Seguras 7.2 Seguridad de los equipos 7.3 Controles generales 8. Gestin de comunicaciones y operaciones 8.1 Procedimientos y responsabilidades de operacin. 8.2 Planificacin y aceptacin del sistema. 8.3 Proteccin contra software malicioso. 8.4 Gestin interna de respaldo y recuperacin. 8.5 Gestin de redes. 8.6 Utilizacin y seguridad de los medios de informacin. 8.7 Intercambio de informacin y software. 9. Control de accesos 9.1 Requisitos de negocio para el control de accesos 9.2 Gestin de acceso de usuarios 9.3 Responsabilidades de los usuarios 9.4 Control de acceso a la red 9.5 Control de acceso al sistema operativo 9.6 Control de acceso a las aplicaciones 9.7 Seguimiento de accesos y usos del sistema 9.8 Informtica mvil y teletrabajo 10. Desarrollo y Mantenimiento de Sistemas 10.1 Requisitos de seguridad de los sistemas 10.2 Seguridad de las aplicaciones del sistema 10.3 Controles criptogrficos 10.4 Seguridad de los archivos del sistema 10.5 Seguridad en los procesos de desarrollo y soporte 11. Gestin de Continuidad del Negocio 11.1 Aspectos de la gestin de continuidad del negocio

12. Cumplimiento

El presente documento est compuesto por una matriz con dos columnas: 1. 2. La primera Mejores Prcticas Recomendadas, pregunta aspectos que nuestra Firma guarda en relacin a la seguridad de la informacin. La segunda Estado del Cliente y Observaciones, es la informacin/actividades con las que actualmente la Institucin cuenta o ha elaborado; asimismo, el estado de la misma, esto es, si se encuentra formalizada o en estado de formalizacin.

MEJORES PRACTICAS RECOMENDADAS

ESTADO DEL CL

3 POLITICA DE SEGURIDAD DE LA INFORMACION 3.1. POLITICA DE SEGURIDAD DE LA INFORMACION DEFINICIN DE UNA POLTICA DE SEGURIDAD. Se ha definido una poltica de seguridad?. Sustente Explique qu clase de poltica de seguridad documentada existe? Existe dentro de las polticas de seguridad un enunciado que defina con claridad las intenciones de la Administracin? REVISIN Y EVALUACIN Quin es el responsable de la poltica de seguridad de la informacin? Quin mas, es capaz de realizar cambios o revisiones formales en la poltica? Cmo es comunicada la poltica a lo largo de la organizacin? A quines es comunicada? Quin publica la poltica? Qu rol juega el departamento legal en crear y mantener la poltica de Seguridad de la informacin? Alguna vez la poltica ha sido revisada por el equipo legal? Algn otro departamento participa o contribuye en el desarrollo de la poltica o de su mantenimiento? Cmo contribuyen estos departamentos?

Qu responsabilidades de seguridad estn definidas en la poltica de seguridad? Cmo son mantenidos y actualizadas dichas responsabilidades? Requieren los empleados firmar una confirmacin de conocimiento de las polticas de seguridad, afirmando el entendimiento y aceptacin de las mismas? Con qu frecuencia se firman estas confirmaciones? Todos los empleados firman la misma poltica?

EVALUACIN DE RIESGOS DE SEGURIDAD A LOS QUE EST EXPUESTA LA INFORMACIN. Se ha realizado alguna evaluacin de los riesgos de seguridad de la informacin?

MEJORES PRACTICAS RECOMENDADAS

ESTADO DEL CL

3 POLITICA DE SEGURIDAD DE LA INFORMACION Existe una metodologa de anlisis de riesgos? Quin desarrolla y usa la metodologa de anlisis de riesgos y como es mantenida? Cmo son consolidados los resultados del anlisis? Se realizan pruebas de vulnerabilidades de seguridad? Cmo son ejecutadas estas actividades? Qu grupos tienen responsabilidades de anlisis? Quin define el criterio de riesgo?