Header Ads

Autoevaluación de la Seguridad de la Información

    http://www.oscarschmitz.com/search/label/%23tool
  1. ¿Cuáles son las políticas de seguridad que protege las actividades de nuestro equipo de trabajo u organización? ¿Consideramos que la máxima autoridad responsable de la organización se encuentra comprometida con estas políticas?
  2. ¿Quién es la persona referente en gestionar los aspectos de la seguridad de la información dentro de nuestro equipo de trabajo? ¿Cómo se encuentran conformados los roles dentro de nuestro equipo de trabajo? ¿Para qué están cada uno de ellos?
  3. ¿Para qué debe acceder un tercero a los activos de información de nuestro equipo de trabajo? ¿De qué tercero estamos hablando? ¿Cuáles son los mecanismos de control que utilizamos cuando accede un tercero?
  4. ¿Las actividades contratadas externamente cumplen las mismas o mejores políticas de seguridad que la de nuestra organización?
  5. ¿Cuáles son los activos de información más relevantes con los que tenemos contacto? ¿Qué clasificación poseen? ¿Cómo están siendo protegidos?
  6. ¿Cómo es protegida la propiedad intelectual de los programas que desarrollamos? ¿Cómo está estructurado el licenciamiento de nuestros desarrollos?
  7. ¿Tenemos un módulo de seguridad totalmente probado y alineado a las mejores prácticas internacionales? ¿Cómo hemos implementado la administración de privilegios y perfiles dentro del aplicativo? ¿Qué características distintivas puedo indicar sobre el concepto de contraseñas en nuestros desarrollos?
  8. ¿Cuáles son los controles y monitoreos que son propuestos a través del módulo de seguridad de nuestro aplicativo? ¿Qué reportes o informes ofrece? ¿Qué actividades de seguridad del usuario estamos registrando?
  9. ¿Cada cuánto realizamos un entrenamiento de nuestros sistemas a todos nuestros clientes? ¿Y sobre los aspectos aplicados a la seguridad de los activos de información? ¿Nuestros clientes nos piden el entrenamiento o nosotros realizamos el pedido en forma periódica? ¿Nuestros clientes saben lo que no saben o no saben que no saben?
  10. ¿Cuál es el circuito administrativo con que cuenta nuestro equipo de trabajo, para la recepción, seguimiento, resolución y aprendizaje de los incidentes o errores encontrados por nuestros clientes?
  11. Antes de que nos retiremos de nuestro escritorio ¿Bloqueamos la pantalla de nuestra computadora a fin de que ninguna persona pueda acceder a nuestra información?
  12. Antes de retirarse de la organización ¿Controlamos que la información que queda en nuestro escritorio no sea confidencial y sea fácilmente accedida por un tercero?
  13. ¿Cuál es nuestro plan de acción en caso de ocurrir una emergencia en las instalaciones de nuestra organización que impida darle continuidad al negocio?
  14. ¿Nuestro equipo de trabajo posee separado las funciones de control de las operativas, y las administrativas de las de ejecución?
  15. ¿Se encuentran separados los ambientes de desarrollo, prueba y producción?
  16. ¿Con qué frecuencia realizamos copias de resguardos de nuestra información? ¿Por cuánto tiempo son resguardadas?
  17. ¿Cómo se definieron los requerimientos de seguridad del módulo de seguridad de nuestro aplicativo? ¿Desarrollamos un módulo único o distinto por cada uno de los aplicativos desarrollados?
  18. ¿Con qué validaciones cuenta el ingreso de datos de nuestro aplicativo? ¿Qué controles de proceso interno posee? ¿Qué controles conciliatorios implementamos en la exposición de datos de salida?
  19. ¿Qué metodología utiliza nuestro equipo en la protección de los programas y bases de datos utilizados en nuestros desarrollos? ¿Quién es la persona responsable de la protección y seguimiento de estos activos de información?
  20. ¿Cómo determinamos los riesgos y el momento oportuno de la instalación de paquetes de programación en los diferentes ambientes de prueba y producción? ¿Cómo es el proceso de control y validación?

No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de luoman. Con tecnología de Blogger.