Requerimiento Evaluación Preguntas Respuesta
Corta Detalles/ Comentarios Valor
Porcentaje de cumplimiento Seguridad de las operaciones
Procedimientos operacionales y responsabilidades
Se recomienda controlar los cambios en los sistemas e instalaciones de procesamiento
de información.
¿Se cuenta con un procedimiento para control de cambios en los servidores y sistemas de procesamiento?
No Sin comentarios 0%
69% ¿Se cuenta con el procedimiento de soporte
a producción y cambios de emergencia de software en producción?
No Sin comentarios 0%
¿Cómo mantiene informado a los funcionarios de los cambios críticos que puedan tener un impacto en la prestación del servicio del sistema misional?
Si
Con anterioridad se informa por medio del correo institucional o medio audiovisual.
100%
Se recomienda supervisar y adaptar el uso de recursos, así
como proyecciones de los futuros requisitos de capacidad
para asegurar el desempeño requerido del sistema.
¿Qué alarmas se han implementado para monitorear el estado de la infraestructura tecnológica, que permitan identificar y corregir las fallas oportunamente?
Si
Los responsables de cada recurso tecnológico a cargo, deben monitorizar continuamente a través de software especializado. 100%
Se recomienda que los recursos para desarrollo,
prueba y producción se separen para reducir los riesgos de acceso no autorizado o los cambios al
sistema operacional.
¿Está el ambiente de sistemas en
producción segregado, física o lógicamente, de los ambientes de desarrollo de software y realización de pruebas?
Si Sin comentarios 100%
¿Cómo se protege la información
confidencial contra acceso no autorizado en los sistemas de producción, prueba y desarrollo? Si Se manejan perfiles de acceso dependiendo de los privilegios a la información 100% Procedimientos operacionales y responsabilidades
Se recomienda que los recursos para desarrollo,
prueba y producción se separen para reducir los riesgos de acceso no autorizado o los cambios al
sistema operacional.
¿Está el ambiente de sistemas en
producción segregado, física o lógicamente, de los ambientes de desarrollo de software y realización de pruebas?
108
D.8 (Continuación)
Requerimiento Evaluación Preguntas Respuesta
Corta Detalles/ Comentarios Valor
Porcentaje cumplimiento Seguridad de las operaciones
Procedimientos operacionales y responsabilidades
¿Cómo se protege la información confidencial contra acceso no autorizado en los sistemas de producción, prueba y desarrollo? Si Se manejan perfiles de acceso dependiendo de los privilegios a la información 100% 69 % Protección contra códigos maliciosos Se recomienda implantar controles de detección, prevención y recuperación
para protegerse contra códigos maliciosos, junto a procedimientos adecuados para concientizar a los
usuarios.
¿Qué productos antivirus tienen instalados los equipos personales, portátiles y servidores de la organización
Si Sin comentarios 100%
¿Los usuarios pueden deshabilitar o anular el software y/o actualizaciones del antivirus?
No Sin comentarios 100%
Copias de respaldo
Se recomienda hacer regularmente copias de seguridad informática y del
software y probarse regularmente acorde con la
política de respaldo.
¿Se tiene procedimiento para hacer copias de respaldo (backups) de la información del Sistema de información misional?
Si Sin comentarios 100%
¿Con qué frecuencia se realizan estos
respaldos (backups)? Si
Se realiza un backup
semanal 100%
¿Con qué frecuencia prueba su sistema de respaldo (backups) para verificar que la información se puede recuperar?
No se realizan pruebas
al sistema de respaldo 0% ¿Se mantienen los respaldos fuera de
sus instalaciones?. Si es así, ¿cubre el contrato o acuerdo de nivel de servicio con el proveedor externo de
almacenamiento las responsabilidades de seguridad (incluyendo los controles de acceso físico) y las responsabilidades civiles?
Si
Dentro del contrato se estipulan las
responsabilidades penales y civiles
100%
¿Conforme los respaldos (backups) llegan a la terminación de su vida programada, ¿se destruyen o se vuelven a utilizar los medios?
N/A
Pasan la bodega de la entidad y se conservan para mantener memoria historica de la entidad
109
D.8 (Continuación)
Requerimiento Evaluación Preguntas Respuesta
Corta
Detalles/
Comentarios Valor
Porcentaje de cumplimiento Seguridad de las operaciones
Registro y seguimiento Se recomienda que la grabación de registros de auditoría de actividades de usuario, excepciones, y eventos de seguridad informática sean producidas y guardadas durante un período
acordado para ayudar en futuras investigaciones y en la
supervisión del control de acceso.
¿Se generan bitácoras (logs) o pruebas de auditoría (audit trails) para todos los sistemas que almacenan o procesan información del Sistema de información misional?
Si Sin comentarios 100%
69% ¿Están protegidas las bitácoras (logs) contra
acceso o modificación no autorizada? Si Sin comentarios 100% ¿Las pruebas de auditoría (audit trails) reportan
todos los intentos de violaciones al sistema de seguridad, todos los eventos significativos relacionados con seguridad?
No Sin comentarios 0% ¿Cuenta con un procedimiento para revisar las
bitácoras de (logs)? No Sin comentarios 0%
¿La revisión de bitácoras de (logs)? es automática o manual, cada cuento se realiza, quienes realizan la revisión, y que acciones se toman sobre los eventos detectados?
N/A
Manual; se revisa cada vez que se requiere alguna información
50% Se recomienda que los relojes
de todos los sistemas de procesamiento de información relevantes estén sincronizados con una fuente de horario
confiable acordada.
¿Cuál es el procedimiento para sincronizar todos los relojes de los servidores y dispositivos usados en la prestación del servicio contratado por el Sistema de información misional?
N/A No existe un procedimiento establecido 0% Gestión de la vulnerabilidad técnica Se recomienda obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información en uso, evaluarse la exposición de
la organización a tales vulnerabilidades, y tomar medidas apropiadas para gestionar el riesgo asociado.
¿Existe un proceso para la liberación de parches (Service Packs) y actualizaciones (Updates) de configuración para solucionar problemas de seguridad de los sistemas operativos y aplicaciones que procesan información del Sistema de
información misional?
Si Sin comentarios 100%
¿Se hacen escaneos periódicos del tráfico de la red y de los componentes de la red/dominio para asegurarse de que no existan vulnerabilidades?
No Sin comentarios 0% Fuente: Autores
110