Identificacion y Evaluacion de Procesos
-
Upload
juan-carlos-figueroa -
Category
Documents
-
view
42 -
download
0
Transcript of Identificacion y Evaluacion de Procesos
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
CHECKLIST
IDENTIFICACION Y EVALUACION DE PROCESOS DE TI
GESTION – SEGURIDAD – RIESGO – BEST PRACTICES
AUDITOR: ALEXANDER OSORIOJUNIO 2.011
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
1. Gestión estratégica de las tecnologías de información y las telecomunicaciones informáticas (TIC’s)1.1. Implementación, adaptación y/o revisión del marco
metodológico en las áreas de competencia Cobit (Auditoria) ITIL (Gestión Servicios) MSF (Desarrollo) ISO27.000 (SeguridadIT) PMI (Gestión Proyectos) CMMI (Gest. Procesos) CVDS (Desarrollo) MagerIT (Gest. Riesgo)
ISO 9000 (QoS) BSC (C.Gestión) P.E. MOF (Operaciones) _ _ _
1.2. Planificación Estratégica de TIPO1.2, PO4 COBIT;
Declaración de Misión Declaración de Visión Valores Objetivos Análisis FODA Estrategias FA/FO/DA/DO
1.3. Administración del Banco de los Proyectos asociados a la Prestación de los Servicios como PSC
Proyectos y Status de c/u Uso de software de gestión Carpeta de cada proyecto
Objetivos Estimaciones (T/C) Calendario de Actividades Estructura Organizacional Cuadro de recursos
1.4. Control de Gestión asociados a la Prestación de los Servicios como PSC
PO1.2, PO4 COBIT,
Identificación de Procesos Factores Clave de Éxito Actividades Inductores de Eficiencia Indicadores de Resultado Indicadores de Rendimiento Cuadro Integral de Mando
1.5. Capacitación técnica/gerencial en el área de competencia Relación de cursos/seminarios Gerenciales últimos 12 meses
1.6. Revisión y adecuación al plan de continuidad de negocio(BS 25999:2006) (ISO 22301)
Evaluación de Riesgo Inicial Evaluación de Riesgo al introducir cambios Checklist de acciones Lista de contactos Asignación de responsabilidades Directivas de ejecución Pruebas al BCP
1.7. Revisión y adecuación al plan de recuperación de desastre Asignación de responsabilidades Directivas de ejecución
1.8.
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
2. Administración del recurso humano altamente especializado y el de apoyo de la Gestión del Negocio
ISO27002:2005(A.8.2.2) Capacitación y educación en seguridad de la información
Control: Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitación y actualizaciones regulares de las políticas y procedimientos organizacionales.
2.1. Captación de capital humano Archivo de Personal Elegibles Convenios con Universidades Portales de Empleo Niveles salariales acordes al Mercado y/o de otras
empresas similares
2.2. Desarrollo del personal interno (ISO, ATC, Networking, etc.) Cursos, talleres y/o seminarios internos Cursos, talleres y/o seminarios externos
2.3. Capacitación técnica en áreas de competencia (Seguridad, PKI, etc.)
Relación 1:1 cursos-trabajador en los últimos 12 meses
2.4. Fomento del conocimiento organizacional Charlas e inducciones LSMFE, Normativas, etc. Charlas e Inducciones sobre la Empresa
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
3. Coordinación del mantenimiento de la infraestructura física de apoyo a TIC´s - AREA DE DATACENTER3.1. Supervisión, vigilancia y custodia de instalaciones(ANSI/TIA/EIA-942) (ISO 27000:2005)
Supervisor/Coordinador responsable del área Personal de Seguridad/Vigilancia en áreas sensibles
(oficial de seguridad) Cámaras de vigilancia para monitorear actividad en
las instalaciones Alarmas/señales visuales y/o auditivas en acceso a
las áreas (visibles/audibles) Se solicita con anticipación permiso para el acceso
físico a las áreas sensibles Registro de Permanencia o Grabaciones en equipos
DVR para auditoria/prueba (tiempo de retención) Carnets de bandas, aproximación, marcación, etc.
para ingreso en Áreas No Sensibles Sistemas biométricos, mixtos, y/o monitoreados para
ingreso en Áreas Sensibles (incluye los HSM’s)
3.2. Instalaciones y mejoras en los centros de datos3.2.1. Reducción del impacto ante incidentes en edificaciones(ANSI/TIA/EIA-942)
Señalizaciones Covenin/Insapsel/LOPCYMAT Distancia prudencial de tuberías de aguas
blancas/negras/riadas Áreas físicas por encima del nivel de desbordamiento
de fuentes de agua Sistemas aliviaderos de anegaciones (sumideros,
canalizaciones, salidas) El centro de datos se encuentra distanciado de una
falla geológica conocida El piso tiene una capacidad antisísmica de carga
mínima por pie cuadrado (recomendado 2.4 kPa) Las paredes están resguardadas por muros de
protección anti-ondas explosivas
3.2.2. Prevención, alerta y mitigación de incendios(ANSI/TIA/EIA-569-5.2) (ANSI/TIA/EIA-942)
Los ductos de entrada cuentan con retardadores de propagación de incendio "firestops"
Funcionan los sistemas, mecanismos y alarmas de detección de humo
Suficientes equipos de extinción/mitigación de incendios (No tóxicos, No corrosivos)
Registro periódico de la revisión de los sistemas (Fecha de últimas revisiones)
El personal del área ha sido adiestrado en el uso de los extintores de incendio en su fase incipiente
3.2.3. Prevención de interrupciones en los servicios y operatividad durante incidentes(ANSI/TIA/EIA-607) (ANSI/TIA/EIA-942)
Luces de emergencia en cantidad y con reserva de tiempo suficiente para aplicar el plan de apagado seguro
Correcta distribución del flujo del aire acondicionado a través de ductos y similares
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
Control de la Temperatura entre 18°24° centígrados 24x7x365
Control de la humedad entre 30%55% con un cambio de aire por hora 24x7x365
Contrato de Servicio vigente del Aire acondicionado (AA)
El servicio al AA es prestado por parte de una Empresa Certificada por el Fabricante
Las lecturas de variaciones del AA se encuentran Automatizadas
Existen señales auditivas y/o visibles ante posibles fallas en A/A
Existe una Bitácora de los Mantenimientos realizados al AA
El piso es de material antiestático (concreto, losa, etc.). No usan alfombras
Cableado eléctrico normalizado (certificado) por empresa u ente reconocido (tomas a 15 cm. cada 1.8 mts).
Medidores de Sobrecarga eléctrica de las líneas de suministro
Registro de las últimas mediciones (censo de carga) en el área
Sistemas de equipos de Acondicionamiento Eléctrico (AE) para mantenimiento y/o suplido alterno in-interrumpido de potencia (UPS) o Planta
Contrato de Servicio de los equipos de AE está vigente
El servicio a equipos de AE es prestado por parte de una Empresa Certificada por el Fabricante
Las lecturas de variaciones del AE se encuentran Automatizadas
Existen señales auditivas y/o visibles ante posibles fallas en A/E
Protectores y supresores de corriente para los equipos individuales
Cantidad mínima de conductos de 4” para la distribución del cableado del backbone (ANSI/TIA/EIA-569)
Se cuenta con barra de puesta a tierra según norma ANSI/TIA/EIA-607
Limpieza y Mantenimiento adecuado, ambiente libre de polvo y poluciones
3.2.4. Prevención de colisiones involuntarias por movilización y permanencia en las áreas
(ANSI/TIA/EIA-942)
Piso falso para una adecuada instalación del cableado de equipos
Se ha evitado el uso de Cielo falso en el área o cuarto de telecomunicaciones
Altura mínima entre el piso falso y el techo de 2,6 mts.
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
Distribución física adecuada de los equipos e implementos dentro del área
Uso de Racks y/o gabinetes para distribución y aseguramiento de equipos y cableado
Espacio de trabajo adecuado entre los Racks frontal y trasero de 82 cms.
Iluminación a 2.40/2.6 mts del piso y una intensidad mínima de 540 lux
Rampas y espacios de almacenamiento que faciliten movilidad y acceso de equipos
No hay Mobiliario y/o Equipos innecesarios que estorben
Los materiales y/o equipos inservibles fueron removidos
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
4. Mantenimiento de la infraestructura lógica y física de TIC’s4.1. Planificación operativa del mantenimiento y licenciamiento de
la infraestructura mayor de TI Equipos Servidores Equipos Activos (Switches, routers, etc) Sistemas Operativos Sistemas de Base de Datos generales Sistemas de Oficina Sistemas Administrativos Sistemas de gestión y BD’s PKI
4.2. Planificación de la capacidad (Capacity Planning)4.3. Respaldos de aplicaciones, datos y servicios Se dispone de copias de seguridad en sitios remotos
Los respaldos se encuentran resguardados física y ambientalmente
Hay copias remotas en otra localidad física de los respaldos
Verificar que las copias de seguridad se completaron Se realizan pruebas de calidad a las copias de
seguridad Las pruebas de calidad de los respaldos se
encuentran planificadas Se dispone de los registros (logs) de las pruebas de
las copias de seguridad Los medios utilizados para contener los datos de los
respaldos son reutilizados SIN exceder su vida útil Se dispone de un manual o instrucciones de
operación para gestionar los respaldos
4.4. Administración de los equipos servidores de producción, preproducción, prueba y desarrollo
Existe un plan documentado de encendido seguro de los equipos
Existe un plan documentado de apagado seguro de los equipos
Se encuentran aplicados los Services Packs publicados y hotfixes a los servidores
Se adquirieron y reportaron (activaron) todos los software del sistema en Producción
Se adquirieron y reportaron (activaron) todos los software del sistema en Prueba
4.5. Administración de las Bases de Datos Verifican los Trabajos programados Chequean el Visor de Sucesos Monitorean el desempeño Verifican la Replicación de datos
4.6. Gestión de almacenamiento de las bases de datos y de las aplicaciones
Verifican el Espacio en disco Los archivos de datos almacenados se encuentran
cifrados o en volúmenes con encriptación Las carpetas contenedoras de las bases de datos
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
están protegidas contra accesos no autorizados
4.7. Control de cambios de las aplicaciones, meta-datos, equipos activos y firmware
Existe un procedimiento documentado para el control de cambios en los entornos de Producción
Se sigue el procedimiento y se deja registro de los cambios solicitados y aprobados
Existe un procedimiento para regresar a un punto de recuperación antes del cambio
Uso de software para facilitar el control de cambios
4.8. Control de calidad para cada uno de los procedimientos ejecutados (QoS)
Se supervisa que todos los procesos anteriores son llevados a cabo y por las personas responsables
4.9. Capacitación técnica/gerencial en el área de mantenimiento de la infraestructura lógica y física de TIC’s
Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables de la plataforma
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
5. Control documental de los productos y servicios provistos por el PSC5.1. Elaboración y actualización de los manuales y las ayudas de
las aplicaciones Manuales de las apps de PKI (etokens, browsers,etc) Ayudas en línea para aplicaciones
5.2. Elaboración y actualización de las normas y procedimientos de los sistemas internos del PSC
Control de versiones de los Manuales
6. Administración de los bienes y recursos tecnológicos6.1. Planificación operativa para mantenimiento y adquisición de los
equipos informáticos Equipos Workstation Equipos portátiles Impresoras y similares
6.2. Elaboración, revisión y divulgación de normas y mejores prácticas de uso de los equipos informáticos
6.3. Gestionar los requerimientos de equipos informáticos6.4. Revisión y Configuración de los equipos informáticos de
acuerdo al Uso final Services Pack aplicados Parches aplicados Cuenta de Administrador restringida con contraseña Usuario del equipo con privilegios reducidos
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
7. Aseguramiento de los activos de información7.1. Implementación, adaptación y/o revisión del marco
metodológico en el área de competencia BS7799-3:2005 CMMI Versión 1.2 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ITGI. COBIT. Versión 4 MAGERIT. Versión 2 UNE-ISO/IEC 17799
7.2. Elaboración y actualización de políticas de seguridad informática
Políticas aprobadas por la máxima autoridad Se divulgaron las políticas Normas sobre clasificación de información Normas de escritorio limpio Normas de uso de equipos Normas de uso de Internet Normas de uso de correo electrónico Normas de movilización de equipos Delimitación de responsabilidades
7.3. Gestión de usuarios y roles La administración de usuarios y contraseñas está centralizada en un único departamento
Para el acceso a los sistemas se cuenta con una estructura de SINGLE SIGNON (login único)
Los Usuarios retirados de la Organización han sido inhabilitados para acceder al sistema
Se obliga el cambio de todos los password con una frecuencia menor a tres (3) meses
No se permiten passwords en blanco en ningún usuario o servicio
Se han establecido un máximo de dos (2) Users Id con privilegios de administración por Servidor
Los passwords de Administradores y Supervisores son resguardados apropiadamente
Existen perfiles de usuario que brindan acceso garantizando una adecuada segregación de funciones
7.4. Prevención y detección de intrusos Sistemas IDS instalados y operando (HIDS, NIDS, DIDS)
Sistemas IPS instalados y operando Revisión de logs y alertas Reprogramación de falsos positivos Estadísticas de origen y tipo de ataques
7.5. Implementación de controles para la prevención de ataques internos y externos del perímetro
Hay estrategia de protección antivirus Se analizan los falsos positivos y los falsos negativos
para reconfigurar los programas de protección Se han realizados pruebas de penetración Se utilizan herramientas de monitoreo para detectar
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
fraudes al INTT y a la nación
7.6. Detección de usos indebidos de la infraestructura tecnológica7.7. Monitorear el cumplimiento de las políticas de seguridad
informática Se lleva un registro de incidentes de seguridad Se monitorean los intentos fallidos de acceso. Estadísticas de uso, acceso a sistemas, etc.
7.8. Capacitación técnica/gerencial en el área de competencia SGSI
Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables del Proceso
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
8. Desarrollo y mantenimiento de sistemas de información9. Implementación, adaptación y/o revisión del marco metodológico en el
área de competencia UP RUP XP MSF
OpenUP MeRinde _______ _______
9.1. Planificación operativa de la inversión en herramientas para el desarrollo de software
CMMI ACQ
9.2. Control de la ejecución de los proyectos asociados al Proceso Proyectos y Status de c/u Uso de software de gestión Carpeta de cada proyecto
Objetivos Estimaciones (T/C) Calendario de Actividades Estructura Organizacional Cuadro de recursos
9.3. Capacitación técnica/gerencial en el área de competencia Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables del Proceso
9.4. Análisis de los requerimientos de información Casos de Uso
9.5. Conceptualización y diseño de aplicaciones9.6. Elaboración y mantenimiento de programas de aplicación Manual de Ciclo de Vida (CVDS)
9.7. Elaborar programas de conversión y migración de datos o para integración de aplicaciones
9.8. Control de versiones de las aplicaciones propias y de terceros Existe un procedimiento documentado para el control de cambios en las plataformas
Se sigue el procedimiento y se deja registro de los cambios solicitados y aprobados
Existe un procedimiento para regresar a un punto de recuperación antes del cambio
Uso de software para gestionar el cambio de version
9.9. Actualización de los diccionarios de las base de datos9.10. Elaboración y mantenimiento del sitio WEB de la Empresa9.11. Evaluación de los sistemas adquiridos a empresas a
contratistas
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
10. Provisión de la comunicación entre usuarios, aplicaciones y datos10.1. Planificación operativa de la inversión en telecomunicaciones10.2. Monitorear el rendimiento de la red LAN y WAN y de sus
enlaces Se monitorean las conexiones en las VLAN Se inhabilitan los puntos de red sin uso
10.3. Actualización de las versiones de IOS/FOS en los dispositivos activos
IOS/FOS Actualizados a última versión Son descargadas las actualizaciones
automáticamente desde sitios WEB Oficiales Son descargadas las actualizaciones por medio de
correo electrónico Se garantiza por medio de una firma digital que la
información no ha sido modificada en ruta
10.4. Control del uso de ancho de banda y balanceo de cargas10.5. Administración de las VLAN’s, Subredes y conjunto de
direcciones IP, VPN10.6. Implementar los controles para la seguridad perimetral Fortaleza de claves de usuarios
Autenticación EIGRP Desconexión sesiones TCP “vivas” Expiración de conexiones Uso de los Puertos Auxiliares IP con source routing Protocolo SNMP actualizado NIC’s con ACL’s SSH versión 2 o superior Fortaleza servicio HTTPS Fortaleza en el Cifrado SSL Negar servicios con CLEAR TEXT Inhabilitadas las direcciones internas provenientes
desde el exterior Existe personal dedicado a las alertas de seguridad Existe algún levantamiento de alerta sobre el tráfico
sospechoso Las direcciones ilegales están inhabilitadas (lista
negra) Inhabilitado el eco de solicitudes y respuestas
(ICMP) Deshabilitados los modems dentro de la red interna Se dispone de los registros de auditoria de logins y
logouts de los servidores Se utiliza el cifrado (encriptación) de SSL/TLS en la
transmisión Se ha detenido la ejecución de servicios innecesarios
en los servidores Se han cerrado los puertos que no son requeridos
por los servicios
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
Se ha desinstalado el software innecesario de los servidores
Anulación de procesos Servicio IMAP4
10.7. Conexión del cableado horizontal (ANSI/TIA/EIA-606-A; ANSI/TIA/EIA-568-A; ANSI/TIA/EIA-568-B.1; .ANSI/TIA/EIA-568-B.3; ANSI/TIA/EIA-569; ANSI/UL 969-1997; ANSI/EIA/TIA-942)
Uso de WallPlates Patchcords para conectorizar equipos Uso de Canaletas para los cables Cableado categoría 5e o superior Trenzado estándar T568A o T568B Abrazaderas para grupos de cables Distancias máximas no excedidas Rotulado identificando los puntos Códigos de colores para cableado Reporte de certificación de cableado Croquis de Conexiones de Piso
10.8. Conexión del cableado vertical de la sede(ANSI/TIA/EIA-606-A; ANSI/TIA/EIA-568-A; ANSI/TIA/EIA-568-B.1; .ANSI/TIA/EIA-568-B.3; ANSI/TIA/EIA-569; ANSI/UL 969-1997; ANSI/EIA/TIA-942)
Uso de Gabinetes intermedios (IDF) Uso de Patchpanels Patchcords para conectorizar equipos Uso de Canaletas para los cables Cableado categoría 5e o superior Trenzado estándar T568A o T568B Abrazaderas para grupos de cables Distancias máximas no excedidas Rotulado identificando los puntos Códigos de colores para cableado Reporte de certificación de cableado Croquis de Conexiones Edificación
10.9. Coordinar las instalaciones de redes con las empresas Contratistas
Orden de Trabajo/Servicio Lista de chequeo
10.10. Administración de las cuentas de correo Se escanean los mensajes de salida en busca de palabras claves y contenidos inapropiados
Se bloquea el correo electrónico saliente hacia determinadas direcciones IP y nombres de dominio
Contienen los mensajes la exención de responsabilidad de la empresa por uso inapropiado
Los correos advierten el uso comercial y/o confidencial de la información enviada
Los correos enviados son clasificados de acuerdo a categorías de sensibilidad y confidencialidad
Se retienen los correos electrónicos por un tiempo prudencial cuando el personal está retirado
Se realizan copias de seguridad de los buzones diariamente
Servidor de puerta de enlace cuenta con protección antispam
Servidor de enrutamiento SMTP independiente al servidor de los buzones
Servidor de buzones de correo independiente de la
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
plataforma de seguridad Filtrado inteligente de mensajes (IMF) en las puertas
de enlace (gateway) del servidor de correosEn el límite de la puerta de enlace durante el IMF:
Deshabilitado el envío de notificación de rechazo al remitente externo
Al eliminar de la entrega un e-mail y guardar una copia de estos se realiza un análisis posterior
Se encuentra planificado el almacenamiento necesario de las copias filtradas de los Spam
Se efectúa un análisis estadístico del umbral y del Spam Calification Level (SCL)
Filtrado de conexiones SMTP entrantes Existe filtrado de remitentes y destinatarios (lista
negra), incluido remitentes sin identificar Bloquear el correo electrónico entrante de
determinadas direcciones IP y nombres de dominio Deshabilitados los correos entrantes dirigidos a los
grupos de distribución de correo internos Filtrado basado en listas de bloqueo en tiempo real
(RBL) de terceros Supresión de la resolución de nombres mostrados de
remitentes Sistema de detección de virus con filtrado de
adjuntos en el servidor Se aplica de forma coherente las directivas antivirus
en los sistemas cliente Se generan notificaciones de seguridad para el
correo electrónico saliente de Internet infectado Se bloquean mensajes por el tipo de dato adjunto o
eliminación del archivo adjunto (.exe, .cmd y .com, etc.)
Configuraciones correctas del Sistema de correo electrónico de acuerdo a las Mejores Prácticas
Se restringe el tamaño del buzón de los correos El servicio POP3 para correos personales o de otros
proveedores ha sido bloqueado Se advierte oportunamente al usuario de dichos
límites y su disponibilidad de espacioExiste un Manual/Normativa de Uso del correo electrónico corporativo: Se encuentra relacionada con el de Políticas de
Seguridad de la Información Están debidamente identificados en el documento las
partes responsables de su uso y aplicación Contiene exención de responsabilidad de la empresa
por uso inapropiado por parte del personal Contempla las sanciones ante la entidad y ante
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
terceros Incluye el procedimiento de altas y bajas de usuarios
internos Incluye el procedimiento de altas y bajas para
contratados Incluye el procedimiento de altas y bajas para
cuentas de Administrador/Super-usuario Ha sido revisado por el Departamento Legal/Jurídico
o quien haga sus veces (protección legal) Se encuentra aprobado el documento por la instancia
adecuada Ha sido divulgado en forma efectiva a todas las
partes interesadas Se ha revisado y actualizado esta documentación en
los últimos 12 meses Existe una política sobre la clasificación y uso de la
información Existen Acuerdos de Confidencialidad de la
información: Firmados por los Empleados y archivados en los
Expedientes En las Cláusulas Contractuales de las Contratistas
PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)
IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad
(Suficiencia)Continuidad
11. Prestación de soporte técnico a usuarios internos de PROCERT11.1. Implementación, adaptación y/o revisión del marco
metodológico en el área de competencia ITIL como marco de trabajo Cobit 4.0
11.2. Administrar las aplicaciones y capacidades instaladas en los puestos de trabajo
11.3. Administración de casos de soporte mediante escritorio de ayuda (helpdesk)
Seguimiento de casos Estadísticas de casos Escritorio de ayuda
11.4. Prestación de soporte técnico remoto para solución de casos11.5. Capacitación y formación de usuarios finales Calendario de cursos de capacitación
11.6. Capacitación técnica/gerencial en el área de competencia Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables de la plataforma