Identificacion y Evaluacion de Procesos

PROVEEDOR DE CERTIFICADOS PROCERT C.A. Prueba de Cumplimiento(Evidencia)

IDENTIFICACION Y EVALUACION DE PROCESOS ExistenciaEfectividad

(Suficiencia)Continuidad

CHECKLIST

IDENTIFICACION Y EVALUACION DE PROCESOS DE TI

GESTION – SEGURIDAD – RIESGO – BEST PRACTICES

AUDITOR: ALEXANDER OSORIOJUNIO 2.011




1. Gestión estratégica de las tecnologías de información y las telecomunicaciones informáticas (TIC’s)1.1. Implementación, adaptación y/o revisión del marco

metodológico en las áreas de competencia Cobit (Auditoria) ITIL (Gestión Servicios) MSF (Desarrollo) ISO27.000 (SeguridadIT) PMI (Gestión Proyectos) CMMI (Gest. Procesos) CVDS (Desarrollo) MagerIT (Gest. Riesgo)

ISO 9000 (QoS) BSC (C.Gestión) P.E. MOF (Operaciones) _ _ _

1.2. Planificación Estratégica de TIPO1.2, PO4 COBIT;

Declaración de Misión Declaración de Visión Valores Objetivos Análisis FODA Estrategias FA/FO/DA/DO

1.3. Administración del Banco de los Proyectos asociados a la Prestación de los Servicios como PSC

Proyectos y Status de c/u Uso de software de gestión Carpeta de cada proyecto

Objetivos Estimaciones (T/C) Calendario de Actividades Estructura Organizacional Cuadro de recursos

1.4. Control de Gestión asociados a la Prestación de los Servicios como PSC

PO1.2, PO4 COBIT,

Identificación de Procesos Factores Clave de Éxito Actividades Inductores de Eficiencia Indicadores de Resultado Indicadores de Rendimiento Cuadro Integral de Mando

1.5. Capacitación técnica/gerencial en el área de competencia Relación de cursos/seminarios Gerenciales últimos 12 meses

1.6. Revisión y adecuación al plan de continuidad de negocio(BS 25999:2006) (ISO 22301)

Evaluación de Riesgo Inicial Evaluación de Riesgo al introducir cambios Checklist de acciones Lista de contactos Asignación de responsabilidades Directivas de ejecución Pruebas al BCP

1.7. Revisión y adecuación al plan de recuperación de desastre Asignación de responsabilidades Directivas de ejecución

1.8.




2. Administración del recurso humano altamente especializado y el de apoyo de la Gestión del Negocio

ISO27002:2005(A.8.2.2) Capacitación y educación en seguridad de la información

Control: Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceros, deben recibir el apropiado conocimiento, capacitación y actualizaciones regulares de las políticas y procedimientos organizacionales.

2.1. Captación de capital humano Archivo de Personal Elegibles Convenios con Universidades Portales de Empleo Niveles salariales acordes al Mercado y/o de otras

empresas similares

2.2. Desarrollo del personal interno (ISO, ATC, Networking, etc.) Cursos, talleres y/o seminarios internos Cursos, talleres y/o seminarios externos

2.3. Capacitación técnica en áreas de competencia (Seguridad, PKI, etc.)

Relación 1:1 cursos-trabajador en los últimos 12 meses

2.4. Fomento del conocimiento organizacional Charlas e inducciones LSMFE, Normativas, etc. Charlas e Inducciones sobre la Empresa




3. Coordinación del mantenimiento de la infraestructura física de apoyo a TIC´s - AREA DE DATACENTER3.1. Supervisión, vigilancia y custodia de instalaciones(ANSI/TIA/EIA-942) (ISO 27000:2005)

Supervisor/Coordinador responsable del área Personal de Seguridad/Vigilancia en áreas sensibles

(oficial de seguridad) Cámaras de vigilancia para monitorear actividad en

las instalaciones Alarmas/señales visuales y/o auditivas en acceso a

las áreas (visibles/audibles) Se solicita con anticipación permiso para el acceso

físico a las áreas sensibles Registro de Permanencia o Grabaciones en equipos

DVR para auditoria/prueba (tiempo de retención) Carnets de bandas, aproximación, marcación, etc.

para ingreso en Áreas No Sensibles Sistemas biométricos, mixtos, y/o monitoreados para

ingreso en Áreas Sensibles (incluye los HSM’s)

3.2. Instalaciones y mejoras en los centros de datos3.2.1. Reducción del impacto ante incidentes en edificaciones(ANSI/TIA/EIA-942)

Señalizaciones Covenin/Insapsel/LOPCYMAT Distancia prudencial de tuberías de aguas

blancas/negras/riadas Áreas físicas por encima del nivel de desbordamiento

de fuentes de agua Sistemas aliviaderos de anegaciones (sumideros,

canalizaciones, salidas) El centro de datos se encuentra distanciado de una

falla geológica conocida El piso tiene una capacidad antisísmica de carga

mínima por pie cuadrado (recomendado 2.4 kPa) Las paredes están resguardadas por muros de

protección anti-ondas explosivas

3.2.2. Prevención, alerta y mitigación de incendios(ANSI/TIA/EIA-569-5.2) (ANSI/TIA/EIA-942)

Los ductos de entrada cuentan con retardadores de propagación de incendio "firestops"

Funcionan los sistemas, mecanismos y alarmas de detección de humo

Suficientes equipos de extinción/mitigación de incendios (No tóxicos, No corrosivos)

Registro periódico de la revisión de los sistemas (Fecha de últimas revisiones)

El personal del área ha sido adiestrado en el uso de los extintores de incendio en su fase incipiente

3.2.3. Prevención de interrupciones en los servicios y operatividad durante incidentes(ANSI/TIA/EIA-607) (ANSI/TIA/EIA-942)

Luces de emergencia en cantidad y con reserva de tiempo suficiente para aplicar el plan de apagado seguro

Correcta distribución del flujo del aire acondicionado a través de ductos y similares




Control de la Temperatura entre 18°24° centígrados 24x7x365

Control de la humedad entre 30%55% con un cambio de aire por hora 24x7x365

Contrato de Servicio vigente del Aire acondicionado (AA)

El servicio al AA es prestado por parte de una Empresa Certificada por el Fabricante

Las lecturas de variaciones del AA se encuentran Automatizadas

Existen señales auditivas y/o visibles ante posibles fallas en A/A

Existe una Bitácora de los Mantenimientos realizados al AA

El piso es de material antiestático (concreto, losa, etc.). No usan alfombras

Cableado eléctrico normalizado (certificado) por empresa u ente reconocido (tomas a 15 cm. cada 1.8 mts).

Medidores de Sobrecarga eléctrica de las líneas de suministro

Registro de las últimas mediciones (censo de carga) en el área

Sistemas de equipos de Acondicionamiento Eléctrico (AE) para mantenimiento y/o suplido alterno in-interrumpido de potencia (UPS) o Planta

Contrato de Servicio de los equipos de AE está vigente

El servicio a equipos de AE es prestado por parte de una Empresa Certificada por el Fabricante

Las lecturas de variaciones del AE se encuentran Automatizadas

Existen señales auditivas y/o visibles ante posibles fallas en A/E

Protectores y supresores de corriente para los equipos individuales

Cantidad mínima de conductos de 4” para la distribución del cableado del backbone (ANSI/TIA/EIA-569)

Se cuenta con barra de puesta a tierra según norma ANSI/TIA/EIA-607

Limpieza y Mantenimiento adecuado, ambiente libre de polvo y poluciones

3.2.4. Prevención de colisiones involuntarias por movilización y permanencia en las áreas

(ANSI/TIA/EIA-942)

Piso falso para una adecuada instalación del cableado de equipos

Se ha evitado el uso de Cielo falso en el área o cuarto de telecomunicaciones

Altura mínima entre el piso falso y el techo de 2,6 mts.




Distribución física adecuada de los equipos e implementos dentro del área

Uso de Racks y/o gabinetes para distribución y aseguramiento de equipos y cableado

Espacio de trabajo adecuado entre los Racks frontal y trasero de 82 cms.

Iluminación a 2.40/2.6 mts del piso y una intensidad mínima de 540 lux

Rampas y espacios de almacenamiento que faciliten movilidad y acceso de equipos

No hay Mobiliario y/o Equipos innecesarios que estorben

Los materiales y/o equipos inservibles fueron removidos




4. Mantenimiento de la infraestructura lógica y física de TIC’s4.1. Planificación operativa del mantenimiento y licenciamiento de

la infraestructura mayor de TI Equipos Servidores Equipos Activos (Switches, routers, etc) Sistemas Operativos Sistemas de Base de Datos generales Sistemas de Oficina Sistemas Administrativos Sistemas de gestión y BD’s PKI

4.2. Planificación de la capacidad (Capacity Planning)4.3. Respaldos de aplicaciones, datos y servicios Se dispone de copias de seguridad en sitios remotos

Los respaldos se encuentran resguardados física y ambientalmente

Hay copias remotas en otra localidad física de los respaldos

Verificar que las copias de seguridad se completaron Se realizan pruebas de calidad a las copias de

seguridad Las pruebas de calidad de los respaldos se

encuentran planificadas Se dispone de los registros (logs) de las pruebas de

las copias de seguridad Los medios utilizados para contener los datos de los

respaldos son reutilizados SIN exceder su vida útil Se dispone de un manual o instrucciones de

operación para gestionar los respaldos

4.4. Administración de los equipos servidores de producción, preproducción, prueba y desarrollo

Existe un plan documentado de encendido seguro de los equipos

Existe un plan documentado de apagado seguro de los equipos

Se encuentran aplicados los Services Packs publicados y hotfixes a los servidores

Se adquirieron y reportaron (activaron) todos los software del sistema en Producción

Se adquirieron y reportaron (activaron) todos los software del sistema en Prueba

4.5. Administración de las Bases de Datos Verifican los Trabajos programados Chequean el Visor de Sucesos Monitorean el desempeño Verifican la Replicación de datos

4.6. Gestión de almacenamiento de las bases de datos y de las aplicaciones

Verifican el Espacio en disco Los archivos de datos almacenados se encuentran

cifrados o en volúmenes con encriptación Las carpetas contenedoras de las bases de datos




están protegidas contra accesos no autorizados

4.7. Control de cambios de las aplicaciones, meta-datos, equipos activos y firmware

Existe un procedimiento documentado para el control de cambios en los entornos de Producción

Se sigue el procedimiento y se deja registro de los cambios solicitados y aprobados

Existe un procedimiento para regresar a un punto de recuperación antes del cambio

Uso de software para facilitar el control de cambios

4.8. Control de calidad para cada uno de los procedimientos ejecutados (QoS)

Se supervisa que todos los procesos anteriores son llevados a cabo y por las personas responsables

4.9. Capacitación técnica/gerencial en el área de mantenimiento de la infraestructura lógica y física de TIC’s

Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables de la plataforma




5. Control documental de los productos y servicios provistos por el PSC5.1. Elaboración y actualización de los manuales y las ayudas de

las aplicaciones Manuales de las apps de PKI (etokens, browsers,etc) Ayudas en línea para aplicaciones

5.2. Elaboración y actualización de las normas y procedimientos de los sistemas internos del PSC

Control de versiones de los Manuales

6. Administración de los bienes y recursos tecnológicos6.1. Planificación operativa para mantenimiento y adquisición de los

equipos informáticos Equipos Workstation Equipos portátiles Impresoras y similares

6.2. Elaboración, revisión y divulgación de normas y mejores prácticas de uso de los equipos informáticos

6.3. Gestionar los requerimientos de equipos informáticos6.4. Revisión y Configuración de los equipos informáticos de

acuerdo al Uso final Services Pack aplicados Parches aplicados Cuenta de Administrador restringida con contraseña Usuario del equipo con privilegios reducidos




7. Aseguramiento de los activos de información7.1. Implementación, adaptación y/o revisión del marco

metodológico en el área de competencia BS7799-3:2005 CMMI Versión 1.2 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ITGI. COBIT. Versión 4 MAGERIT. Versión 2 UNE-ISO/IEC 17799

7.2. Elaboración y actualización de políticas de seguridad informática

Políticas aprobadas por la máxima autoridad Se divulgaron las políticas Normas sobre clasificación de información Normas de escritorio limpio Normas de uso de equipos Normas de uso de Internet Normas de uso de correo electrónico Normas de movilización de equipos Delimitación de responsabilidades

7.3. Gestión de usuarios y roles La administración de usuarios y contraseñas está centralizada en un único departamento

Para el acceso a los sistemas se cuenta con una estructura de SINGLE SIGNON (login único)

Los Usuarios retirados de la Organización han sido inhabilitados para acceder al sistema

Se obliga el cambio de todos los password con una frecuencia menor a tres (3) meses

No se permiten passwords en blanco en ningún usuario o servicio

Se han establecido un máximo de dos (2) Users Id con privilegios de administración por Servidor

Los passwords de Administradores y Supervisores son resguardados apropiadamente

Existen perfiles de usuario que brindan acceso garantizando una adecuada segregación de funciones

7.4. Prevención y detección de intrusos Sistemas IDS instalados y operando (HIDS, NIDS, DIDS)

Sistemas IPS instalados y operando Revisión de logs y alertas Reprogramación de falsos positivos Estadísticas de origen y tipo de ataques

7.5. Implementación de controles para la prevención de ataques internos y externos del perímetro

Hay estrategia de protección antivirus Se analizan los falsos positivos y los falsos negativos

para reconfigurar los programas de protección Se han realizados pruebas de penetración Se utilizan herramientas de monitoreo para detectar




fraudes al INTT y a la nación

7.6. Detección de usos indebidos de la infraestructura tecnológica7.7. Monitorear el cumplimiento de las políticas de seguridad

informática Se lleva un registro de incidentes de seguridad Se monitorean los intentos fallidos de acceso. Estadísticas de uso, acceso a sistemas, etc.

7.8. Capacitación técnica/gerencial en el área de competencia SGSI

Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables del Proceso




8. Desarrollo y mantenimiento de sistemas de información9. Implementación, adaptación y/o revisión del marco metodológico en el

área de competencia UP RUP XP MSF

OpenUP MeRinde _______ _______

9.1. Planificación operativa de la inversión en herramientas para el desarrollo de software

CMMI ACQ

9.2. Control de la ejecución de los proyectos asociados al Proceso Proyectos y Status de c/u Uso de software de gestión Carpeta de cada proyecto

Objetivos Estimaciones (T/C) Calendario de Actividades Estructura Organizacional Cuadro de recursos

9.3. Capacitación técnica/gerencial en el área de competencia Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables del Proceso

9.4. Análisis de los requerimientos de información Casos de Uso

9.5. Conceptualización y diseño de aplicaciones9.6. Elaboración y mantenimiento de programas de aplicación Manual de Ciclo de Vida (CVDS)

9.7. Elaborar programas de conversión y migración de datos o para integración de aplicaciones

9.8. Control de versiones de las aplicaciones propias y de terceros Existe un procedimiento documentado para el control de cambios en las plataformas

Se sigue el procedimiento y se deja registro de los cambios solicitados y aprobados

Existe un procedimiento para regresar a un punto de recuperación antes del cambio

Uso de software para gestionar el cambio de version

9.9. Actualización de los diccionarios de las base de datos9.10. Elaboración y mantenimiento del sitio WEB de la Empresa9.11. Evaluación de los sistemas adquiridos a empresas a

contratistas




10. Provisión de la comunicación entre usuarios, aplicaciones y datos10.1. Planificación operativa de la inversión en telecomunicaciones10.2. Monitorear el rendimiento de la red LAN y WAN y de sus

enlaces Se monitorean las conexiones en las VLAN Se inhabilitan los puntos de red sin uso

10.3. Actualización de las versiones de IOS/FOS en los dispositivos activos

IOS/FOS Actualizados a última versión Son descargadas las actualizaciones

automáticamente desde sitios WEB Oficiales Son descargadas las actualizaciones por medio de

correo electrónico Se garantiza por medio de una firma digital que la

información no ha sido modificada en ruta

10.4. Control del uso de ancho de banda y balanceo de cargas10.5. Administración de las VLAN’s, Subredes y conjunto de

direcciones IP, VPN10.6. Implementar los controles para la seguridad perimetral Fortaleza de claves de usuarios

Autenticación EIGRP Desconexión sesiones TCP “vivas” Expiración de conexiones Uso de los Puertos Auxiliares IP con source routing Protocolo SNMP actualizado NIC’s con ACL’s SSH versión 2 o superior Fortaleza servicio HTTPS Fortaleza en el Cifrado SSL Negar servicios con CLEAR TEXT Inhabilitadas las direcciones internas provenientes

desde el exterior Existe personal dedicado a las alertas de seguridad Existe algún levantamiento de alerta sobre el tráfico

sospechoso Las direcciones ilegales están inhabilitadas (lista

negra) Inhabilitado el eco de solicitudes y respuestas

(ICMP) Deshabilitados los modems dentro de la red interna Se dispone de los registros de auditoria de logins y

logouts de los servidores Se utiliza el cifrado (encriptación) de SSL/TLS en la

transmisión Se ha detenido la ejecución de servicios innecesarios

en los servidores Se han cerrado los puertos que no son requeridos

por los servicios




Se ha desinstalado el software innecesario de los servidores

Anulación de procesos Servicio IMAP4

10.7. Conexión del cableado horizontal (ANSI/TIA/EIA-606-A; ANSI/TIA/EIA-568-A; ANSI/TIA/EIA-568-B.1; .ANSI/TIA/EIA-568-B.3; ANSI/TIA/EIA-569; ANSI/UL 969-1997; ANSI/EIA/TIA-942)

Uso de WallPlates Patchcords para conectorizar equipos Uso de Canaletas para los cables Cableado categoría 5e o superior Trenzado estándar T568A o T568B Abrazaderas para grupos de cables Distancias máximas no excedidas Rotulado identificando los puntos Códigos de colores para cableado Reporte de certificación de cableado Croquis de Conexiones de Piso

10.8. Conexión del cableado vertical de la sede(ANSI/TIA/EIA-606-A; ANSI/TIA/EIA-568-A; ANSI/TIA/EIA-568-B.1; .ANSI/TIA/EIA-568-B.3; ANSI/TIA/EIA-569; ANSI/UL 969-1997; ANSI/EIA/TIA-942)

Uso de Gabinetes intermedios (IDF) Uso de Patchpanels Patchcords para conectorizar equipos Uso de Canaletas para los cables Cableado categoría 5e o superior Trenzado estándar T568A o T568B Abrazaderas para grupos de cables Distancias máximas no excedidas Rotulado identificando los puntos Códigos de colores para cableado Reporte de certificación de cableado Croquis de Conexiones Edificación

10.9. Coordinar las instalaciones de redes con las empresas Contratistas

Orden de Trabajo/Servicio Lista de chequeo

10.10. Administración de las cuentas de correo Se escanean los mensajes de salida en busca de palabras claves y contenidos inapropiados

Se bloquea el correo electrónico saliente hacia determinadas direcciones IP y nombres de dominio

Contienen los mensajes la exención de responsabilidad de la empresa por uso inapropiado

Los correos advierten el uso comercial y/o confidencial de la información enviada

Los correos enviados son clasificados de acuerdo a categorías de sensibilidad y confidencialidad

Se retienen los correos electrónicos por un tiempo prudencial cuando el personal está retirado

Se realizan copias de seguridad de los buzones diariamente

Servidor de puerta de enlace cuenta con protección antispam

Servidor de enrutamiento SMTP independiente al servidor de los buzones

Servidor de buzones de correo independiente de la




plataforma de seguridad Filtrado inteligente de mensajes (IMF) en las puertas

de enlace (gateway) del servidor de correosEn el límite de la puerta de enlace durante el IMF:

Deshabilitado el envío de notificación de rechazo al remitente externo

Al eliminar de la entrega un e-mail y guardar una copia de estos se realiza un análisis posterior

Se encuentra planificado el almacenamiento necesario de las copias filtradas de los Spam

Se efectúa un análisis estadístico del umbral y del Spam Calification Level (SCL)

Filtrado de conexiones SMTP entrantes Existe filtrado de remitentes y destinatarios (lista

negra), incluido remitentes sin identificar Bloquear el correo electrónico entrante de

determinadas direcciones IP y nombres de dominio Deshabilitados los correos entrantes dirigidos a los

grupos de distribución de correo internos Filtrado basado en listas de bloqueo en tiempo real

(RBL) de terceros Supresión de la resolución de nombres mostrados de

remitentes Sistema de detección de virus con filtrado de

adjuntos en el servidor Se aplica de forma coherente las directivas antivirus

en los sistemas cliente Se generan notificaciones de seguridad para el

correo electrónico saliente de Internet infectado Se bloquean mensajes por el tipo de dato adjunto o

eliminación del archivo adjunto (.exe, .cmd y .com, etc.)

Configuraciones correctas del Sistema de correo electrónico de acuerdo a las Mejores Prácticas

Se restringe el tamaño del buzón de los correos El servicio POP3 para correos personales o de otros

proveedores ha sido bloqueado Se advierte oportunamente al usuario de dichos

límites y su disponibilidad de espacioExiste un Manual/Normativa de Uso del correo electrónico corporativo: Se encuentra relacionada con el de Políticas de

Seguridad de la Información Están debidamente identificados en el documento las

partes responsables de su uso y aplicación Contiene exención de responsabilidad de la empresa

por uso inapropiado por parte del personal Contempla las sanciones ante la entidad y ante




terceros Incluye el procedimiento de altas y bajas de usuarios

internos Incluye el procedimiento de altas y bajas para

contratados Incluye el procedimiento de altas y bajas para

cuentas de Administrador/Super-usuario Ha sido revisado por el Departamento Legal/Jurídico

o quien haga sus veces (protección legal) Se encuentra aprobado el documento por la instancia

adecuada Ha sido divulgado en forma efectiva a todas las

partes interesadas Se ha revisado y actualizado esta documentación en

los últimos 12 meses Existe una política sobre la clasificación y uso de la

información Existen Acuerdos de Confidencialidad de la

información: Firmados por los Empleados y archivados en los

Expedientes En las Cláusulas Contractuales de las Contratistas




11. Prestación de soporte técnico a usuarios internos de PROCERT11.1. Implementación, adaptación y/o revisión del marco

metodológico en el área de competencia ITIL como marco de trabajo Cobit 4.0

11.2. Administrar las aplicaciones y capacidades instaladas en los puestos de trabajo

11.3. Administración de casos de soporte mediante escritorio de ayuda (helpdesk)

Seguimiento de casos Estadísticas de casos Escritorio de ayuda

11.4. Prestación de soporte técnico remoto para solución de casos11.5. Capacitación y formación de usuarios finales Calendario de cursos de capacitación

11.6. Capacitación técnica/gerencial en el área de competencia Existe personal entrenado para asumir la ausencia temporal/definitiva de los responsables de la plataforma

Identificacion y Evaluacion de Procesos

Documents

Transcript of Identificacion y Evaluacion de Procesos