Seguridad logicaPrograma de trabajo para la revisin de aspectos de Seguridad de la Informacin.Auditora al ___Responsable: Tiempo Asignado:

ConceptoControlResponsable del ControlFrecuenciaPruebaDesarrollo pruebaCumple? Si/No/ParcialmenteRef. Papeles de TrabajoObservacionesActividades por Realizar4. Seguridad lgica25. Se han implementado procedimientos de administracin de accesos de usuarios a los sistemas informticos.Revisar las polticas de seguridad, verificando que incluyan recomendaciones de administracin de usuarios y contraseas as como requerimientos de complejidad de contrasea. Validar el cumplimiento de los controles que se tienen para su divulgacin a los funcionarios de la Institucin.

Obtener y revisar las polticas de usuario y contrasea configuradas en el servidor de dominio (y dems servidores relevantes de acuerdo con la localizacin de las aplicaciones core y financieras del Institucin), aplicaciones crticas, bases de datos de las mismas, confirmando que, como mnimo: - Toda cuenta requiera de una contrasea - Todo usuario tenga asignado un nico ID - Las contraseas requeridas deban ser cambiadas peridicamente - Las contraseas cuenten con requerimientos de complejidad incluyendo tipos de caracteres y longitud mnima.

26. Se ha implementado un proceso formal de revisin peridica de los derechos de acceso a los sistemas informticos.Revisar las polticas de seguridad, verificando que incluyan la periodicidad de revisin de los derechos de acceso a los sistemas informticos y se determine el responsable de realizarla.

Obtener una muestra de las revisiones y:- verificar que los responsables establecidos fueron apropiados de acuerdo con su funcin.- Verificar que la revisin de los permisos de los servidores y aplicaciones estn incluidos en la confirmacin dada por los responsables.- Verificar que cualquier excepcin fue identificada e investigada y resulta oportunamente.

27. Se han implementado controles para la seleccin y uso de contraseas para el acceso a los sistemas informticos.

28. Se han implementado controles automticos para prevenir accesos no autorizados en caso de equipos informticos desatendidos.

29. Se han implementado controles y procedimientos para el acceso de usuarios remotos.

30. Se han implementado controles respecto al acceso fsico y lgico a puertos de diagnstico y de configuracin de los equipos de cmputo.

31. Los usuarios de los sistemas informticos y el personal del rea de sistemas se encuentran segregados en las redes internas de la Institucin.

32. Se han implementado controles y procedimientos para restringir el acceso de los empleados a redes compartidas, conforme a las polticas definidas por la Institucin.

33. Los empleados tienen un identificador personal para sus accesos a los sistemas informticos, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas.

34. Se han implementado controles y procedimientos para el uso de programas utilitarios capaces de eludir los controles de sistemas y aplicacin.

35. Se han implementado controles automticos que desactiven las sesiones tras un perodo definido de inactividad.Verificar la existencia de polticas relacionadas con la no creacin y asignacin de usuarios genricos y con su creacin de acuerdo con un estndar establecido por la Institucin.

Verificar si las polticas de contraseas implantadas son adecuadas bajo el esquema de la Institucin. Para esto, identificar.1. Usuarios con acceso al sistema. Comparar si los usuarios en el sistema corresponden a aquellos que estn activos en la Institucin.2. Obtener una lista de los derechos de acceso de los usuarios (por ejemplo, usuarios con acceso total al sistema o acceso a las funciones de administracin de seguridad) para los componentes tcnicos relevantes.Revisar la lista de usuarios con privilegios de acceso y determinar si la cantidad de usuarios es apropiada, si los privilegios otorgados son apropiados de acuerdo con la descripcin de su trabajo o funcin.Revisar:- Nmero excesivo de usuarios,- Cuentas genricas; y- Otros grupos como miembro de uno de los grupos administradores.

3. Verificar que el login annimo del FTP ("File Transfer Protocol") est restringido.4. Determinar si las cuentas por defecto han sido deshabilitadas5. Para cada componente tcnico de accesos lgicos relevante, obtener evidencia de la configuracin implementada:Parmetro Valor recomendadoIdle session time out 60 minutosPassword Complexity HabilitadoMinimum password length 6 o mayorFrequency of Forced Password Change 90 das o menosEnforce password history Por lo menos 12 mesesReset account lockout counter after 60 minutosAccount lockout duration 0MaximumPasswordAge 90 das o menosPasswordHistorySize 12, 6 o 4LockoutBadCount Entre 3 y 5 intentosLockoutDuration Forever

6. Notificacin de la divulgacin de las polticas de contraseas.7. Consideraciones adicionales en la asignacin de contraseas (nmeros, caracteres repetidos, etc.).8. Verificar el listado de usuarios confirmando que no se utilizan passwords nulos para conexin a las bases de datos.9. Identificar y obtener una lista de recursos y utilitarios asociados con las aplicaciones relevantes que puedan afectar a los estados financieros y que no estn asegurados de forma adecuada. Determinar si el acceso a los recursos es apropiado.10. La seguridad de las terminales puede ser definida indicando que el logon directo del root solo puede realizarse desde la consola.

seguridad fisicaPrograma de trabajo para la revisin de aspectos de Seguridad de la Informacin.Auditora al ___Responsable: Tiempo Asignado:

ConceptoControlResponsable del ControlFrecuenciaPruebaDesarrollo pruebaCumple? Si/No/ParcialmenteRef. Papeles de TrabajoObservacionesActividades por Realizar5. Seguridad Fsica y Ambiental36. La Institucin ha definido permetros de seguridad para establecer medidas de proteccin de la informacin y de los recursos de procesamiento.

37. La Institucin ha implementado controles de acceso fsico a los ambientes que resguardan los recursos de procesamiento de informacin.

38. Se han implementado controles de seguridad para los ambientes que resguardan los recursos de procesamiento de informacin, frente a incendios, inundaciones, explosiones y otros eventos adversos.

39. Se han definido lineamientos para el resguardo de los recursos de procesamiento de informacin cuando se realizan trabajos en las zonas incluidas en los permetros de seguridad.

40. Los equipos usados para almacenar, procesar o transmitir informacin se encuentran protegidos contra fallos de energa u otras anomalas relacionadas al suministro elctrico.

41. Se ejecutan procedimientos peridicos de mantenimiento de los equipos de almacenamiento, procesamiento y transmisin de informacin.

42. Se han implementado medidas de seguridad adicionales para los equipos que se utilizan fuera de los locales de la Institucin, de acuerdo con los riesgos a los que se encuentran expuestos.1. Validar la existencia de una sectorizacin en zonas de operaciones, servidores, cintas y comunicaciones, confirmando la existencia de controles de seguridad internos que aseguren que cada empleado slo pueda acceder a las zonas que requiere.

2. Realizar una visita al Centro de Cmputo y validar que se encuentren implementados los mtodos de restriccin de acceso.Mediante entrevista corroborativa, obtener el listado de funcionarios que deben tener acceso al Centro de Cmputo. Obtener del sistema de control de acceso el listado de usuarios con acceso y compararlos, validando que no existan usuarios no autorizados con acceso.Confirmar que se diligencie adecuadamente la bitcora de registro de visitantes, validando que se solicite su firma durante nuestro ingreso al centro.

3. Identificar la apropiada operatividad de los controles ambientales del Centro de Cmputo tales como: alarmas, extintores vigentes, pisos falsos, detectores de humo, etc. Verificar la existencia de mecanismos de deteccin y extincin de fuego incluyendo detectores de humo, extintores manuales y procedimientos automticos de apagado de incendios as como la ltima fecha de revisin de dichos elementos. Confirmar que exista un procedimiento de revisin constante para dicho control.

4. Validar que se cuente con soportes que permitan confirmar que se han realizado los mantenimientos requeridos a los controles ambientales y equipos de cmputo para el procesamiento, almacenamiento y transmisin de informacin:- Servidores y dems equipos de cmputo - Aire Acondicionado - Planta elctrica y UPS ("Uninterrumpible Power Supply") - Sistema anti incendios - Sensores de humedad

5. Realizar una visita al centro de cmputo y confirmar que no existan materiales inflamables en l.

6. Realizar una visita al centro de cmputo principal del Institucin y verificar la existencia de UPS y plantas elctricas que soporten los principales servidores de la Institucin. Confirmar que exista un procedimiento de revisin constante para dicho control.

Identificar si las fuentes alternas de poder implantadas son adecuadas y se encuentran en operacin. Para esto tener en cuenta:A. Cantidad de UPS's instaladas.B. Pruebas realizadas sobre las mquinas.C. Respuesta de los sistemas.D. Mecanismos de recuperacin.E. Mecanismos de respaldo por fallas.

7. Confirmar la existencia de vidrios de seguridad y otros controles fsicos para evitar el impacto de eventualidades externas en los computadores.

8. Verificar la existencia e implementacin de controles y las correspondientes autorizaciones de la salida de equipos de la Institucin, y de acuerdo con una muestra, observar que las autorizaciones fueron dadas por personal autorizado.

Centro computo