GUIA DE AUTOCONTROL A LA SEGURIDAD INFORMÁTICA

No Preguntas S N NP Observación
Sistema de Seguridad Informática.
El Plan de Seguridad Informática está aprobado por el máximo X
1.
dirigente de la instalación y está actualizado.
2. Existe Responsable de la Actividad Informática. X
3. Existe al menos un Especialista de Seguridad Informática. x
El Especialista de Seguridad Informática, está preparado para X
4.
realizar esta actividad
Compruebe si existe el Registro de Incidencias del nodo y si está X
5.
actualizado.
Clasificación y control de los bienes informáticos.
6. Posee la entidad listado de todos sus medios informáticos. X
Existe un expediente por puesto de trabajo y se controlan los X
7. bienes hasta nivel de componentes. ¿Tienen instalado un
Sistema Automatizado de Control de Inventario?
Está cada bien informático bajo la custodia documentada de X
8. una persona responsable de su protección. Existe registro de
incidencia por cada puesto de trabajo y están actualizados.
Se aplica lo establecido en la Res. 85 sobre la Baja de los X
9.
Medios, en cuanto a Dictamen Técnico y Destino Final.
Del Personal.
Está firmado el Acta de Conocimiento y Compromiso de X
10. Cumplimiento que incluye las funciones y responsabilidades de
cada usuario con la seguridad informática.
Se incluye en contrato de trabajo la obligación de la X
administración con relación a la preparación del contratado, así
11.
como la responsabilidad del trabajador hacia la seguridad
informática.
Seguridad Física y Ambiental.
a) Está delimitada y se aplican las medidas de protección X
física al área del Nodo,
b) Existe SADI
12. c) Existe SACI
d) Está visible quienes son los autorizados a acceder a
esta área.
e) Se garantizan las condiciones de climatización.
Los bienes informáticos están protegidos contra fallas de X No existe certificación
13. alimentación y otras anomalías eléctricas. La instalación cuenta de tierra física.
con certificación de tierra física.
X
14. Las PC y servidores están sellados y se controla la entrega de
estos sellos.
Los bienes informáticos están protegidos en locales seguros, X
15. contra posibles acciones malintencionada, delictiva y amenazas
ambientales.
Revise si las líneas de alimentación a la que se conectan los
16. equipos informáticos son independientes de la red de
alimentación
Si tienen equipos informáticos utilizándose en viviendas, cuentan X No existen medios en
17. con autorización escrita, al igual que los medios de informática esta categoría.
móviles.
No Preguntas S N NP Observación
Las PCs que procesan información crítica están desconectadas X No PC en esta
18. de la red.
categoría.
Los dispositivos de almacenamiento de información crítica son X No dispositivos en
19. tratados según procedimiento establecido.
esta categoría.
Existe un plan de mantenimiento para los equipos informáticos y X Esta actividad la
20. hay evidencia de que este se cumple. realiza el GET,
mediante contrato.
Seguridad en Operaciones.
Se cumple el principio de separación de funciones, el X
21. administrador de red no realiza funciones de especialista de
seguridad informática.
Los nuevos sistemas informáticos cuentan con la aprobación X
22.
correspondiente.
Identificación, autentificación y control de acceso.
a) Si existen sistemas con acceso por múltiples usuarios, X
cada usuario cuenta con identificador personal y único.
b) Los niveles de acceso a los diferentes módulos de los
23.
sistemas económico financieros están en
correspondencia con los autorizados.
c) Están debidamente documentados.
Verifique si están establecidos los procedimientos para otorgar X
24. o suspender el acceso de los usuarios a las tecnologías de la
información y si se cuenta con la autorización correspondiente.
Los identificadores de usuarios son personales, no pueden ser X
25. genéricos. De existir deben contar con la autorización pertinente
escrita.
Los accesos y permisos autorizados a los usuarios se X
corresponden con los habilitados. Compruebe que no existan
26.
cuentas de usuarios activas pertenecientes a personas que no
laboran en la entidad
a) Verifique que las contraseñas cumplen los requisitos X
establecidos.
b) Que son privadas e intransferibles.
c) Que no existen cuentas de usuarios sin contraseñas.
d) Verifiquen quelas contraseñas no tengan activadas que
nunca caducan.
27.
e) Verifique que las contraseñas se renuevan con una
periodicidad acorde con lo definido en el Plan de
Seguridad Informática de la Entidad.
f) Compruebe que se guarda una copia sellada de las
cuentas de usuario con privilegios de administración de
la red, en la dirección de la entidad.
Seguridad ante programas malignos.
28. Posee la entidad software antivirus en su red interna. X
Está implementado el antivirus establecido por el MINTUR. Está X
29.
actualizado
Verifique que cuando ocurre contaminación se procede según lo X
establecido, se registra como incidencia y se procede al cese de
30.
la operación de los medios implicados y a su desconexión de
las redes cuando corresponda.
Respaldo de la Información.
No Preguntas S N NP Observación
Verifique que están establecidos los procedimientos que X
garanticen:
a) La existencia de copias de seguridad de datos,
programas y sistemas operativos según lo establecido
en el plan de seguridad informática.
31. b) Que la cantidad y frecuencia de las mismas este acorde
a las características e importancia de la información, de
manera que garantice su recuperación en caso de
destrucción a algún tipo de fallo.
c) Existe la identificación adecuada de las salvas y su
contenido.
Verificar que existen copias de seguridad en locales externos al X
32. lugar de donde se procesa la información y si esta actualizado
en el Registro de Salvas Externas.
Verifique que tienen instalado un programa para realizar las X
33.
salvas de los servidores, si están actualizadas.
Seguridad en redes.
Cumple la red interior con las condiciones técnicas y de X
34. seguridad adecuadas para garantizar su buen funcionamiento e
inviolabilidad
La red cuenta con el Registro de la Agencia de Control y X
35.
Supervisión del MIC y si está actualizado.
Existe en la entidad personal suficiente y con la preparación X
36.
adecuada para atender la red interna de infocomunicaciones.
37. Existe al menos un administrador de la red. X
Los servidores tienen habilitados solo los puertos y servicios X
38. necesarios, en correspondencia con las prestaciones que
brindan.
Se revisan periódicamente la configuración de seguridad de los X
39.
sistemas operativos de los servidores.
Posee la entidad el diagrama de la red interna con detalle de X
40.
terminales, servidores y direcciones IP.
Se analiza la utilización de la conectividad controlada mediante X Esta actividad la
41. el acceso al MRTG (muestra gráfica del comportamiento del realiza el GET
ancho de banda). mediante contrato.
No se utiliza la cuenta de Administrador en los Servidores para X
42.
el trabajo diario.
Se bloquea la sesión cuando no se está trabajando, X
43.
requiriéndose de autentificación para desbloquearla.
Tienen instalado el sistema para realizar el análisis de las X
44.
trazas.
45. Las trazas se guardan por un tiempo no menor de un año. X
46. Se tiene evidencia de la revisión periódica de dichas trazas. X
No Preguntas S N NP Observación
Verificar si la entidad tiene autorizado acceder a Internet, de ser X
así:
a. Si cuenta con la autorización correspondiente.
b. Si existe Dictamen de Seguridad Informática y se
encuentra vigente.
c. Posee la entidad Control de las PCs con acceso a
Internet.
d. Posee la entidad control de los usuarios de Internet.
e. Verifique que las PC con acceso a Internet tengan las IP
47. fijas, las cuentas de los usuarios estén ancladas a sus
PCs y que este limitado el tiempo de acceso a la
navegación.
f. Que los usuarios tengan los accesos autorizados a los
servicios recibidos.
g. Se limita la navegación en Internet mediante paquetes por
tiempo de conexión o control de volumen de información a
bajar por usuario
h. Si tiene habilitado el cortafuego y si tienen bloqueados los
sitios declarados en listas negras.
Con relación al correo electrónico. X
a) Posee la entidad control de las PCs con acceso a correo
internacional
48. b) Posee la entidad control de todos sus usuarios de
Correo Electrónico.
c) Se limita el tamaño de los ficheros adjuntos para el envío
de correos electrónicos.
a) Los servicios WEB propios de la entidad están X
debidamente hosteados y protegidos
b) Se hace como espejo o replica del sitio principal en
servidores ubicados en Cuba y si se establece las
medidas requeridas para garantizar su seguridad
49. c) Se colocan páginas o sitios Web desde entidades
estatales en servidores extranjeros que ofrecen estos
servicios de forma gratuita.
d) Los servidores destinados a facilitar accesos hacia o
desde el exterior están instalados en las mismas
maquinas que los servidores internos de la red
Existen conexiones conmutadas y cuentan con la aprobación X
50.
correspondiente y están ancladas.
No se realiza administración remota a través de estas redes X
51.
públicas de transmisión de Datos.
Posee la entidad listado actualizado de usuarios autorizados a X
52.
acceso mediante conexiones RAS (conexiones remotas)
Los teléfonos utilizados por los usuarios internos para acceso X
53.
de las cuentas RAS se encuentran anclados en el servidor.
Los servicios de entrada para acceso RAS poseen identificador X
54.
del llamador.
Posee la entidad control de los teléfonos propios utilizados para X
55.
acceso de entrada a conexiones RAS.
Posee la entidad listado de todas las cuentas conmutadas X
56.
activas.
Comunicaciones fijas y móviles.
Cumplen los locales tecnológicos, Módulo de Distribución X
57. Flexible MDF (rack telefónico), local de pizarra y nodo de datos
con las condiciones técnicas y de seguridad apropiadas.
Posee la pizarra privada los requerimientos técnicos y de X
58. seguridad necesarios para garantizar su buen funcionamiento e
inviolabilidad.
No Preguntas S N NP Observación
Posee la entidad registro de control detallado de los troncos y X
59.
extensiones que corresponden a cada pizarra privada.
Posee la entidad registro de control detallado de los atributos de X
salida de los servicios telefónicos fijos-directos, troncos y
60.
extensiones de pizarra – y móviles (Local, Larga Distancia
Nacional, Internacional y Roaming).
Posee la entidad evidencia de mecanismos de control del tráfico X
61. de salida de sus servicios, en especial el de Larga Distancia
Nacional e Internacional.
Existen en la entidad servicios telefónicos sin uso que pudieran X
62.
ser utilizados en el sector residencial.
Existen equipos de comunicación móviles, su asignación y X
63.
servicios cuentan con la aprobación correspondiente.
Existe código de acceso en pizarra telefónica o candado en los X
64.
teléfonos fijos.
Se controlan y analizan los gastos de comunicaciones fijas y X
65.
móviles.
Se tienen definidos los números con salida nacional e X No existen números
66. internacional. con salida
internacional.
Automática.
Existe al menos un técnico que atiende los temas de X
67.
automática.
Tiene contratado el servicio de instalación y mantenimiento para X
68.
el equipamiento de instrumentación y control.
Otros
Posee la entidad copias de los contratos y anexos actualizados X
69.
correspondientes a todos sus servicios de Infocomunicaciones.
Para los servicios de transmisión de datos en uso, posee la X
70. entidad las autorizaciones y licencias de operación que, a tales
efectos, emite el Órgano Regulador.
Posee la entidad un listado actualizado de todos los servicios de X
Infocomunicaciones activos y su distribución por dependencia.
71.
Está ese listo conciliado con la Oficina Comercial que lo
atiende, firmado e incluido en su expediente.