1. No category

Encuesta de Seguridad de la
Información
Guía No 1
CONTROL DE CAMBIOS
VERSIÓN
FECHA
CAMBIOS INTRODUCIDOS
1.0.0
2011-09-30 Creación del Documento
2.0.0
2011-11-30 Actualización
3.0.0
28/03/2016 Actualización SSPTI
CONTENIDO
1. DERECHOS DE AUTOR................................................................................... 4
2. audiencia ........................................................................................................... 5
3. introducción ....................................................................................................... 6
4. encuesta de seguridad en la entidad ................................................................. 7
4.1.
Infraestructura física, acceso y medio ambiente. ........................................... 8
4.2.
Lógico ............................................................................................................ 8
4.3.
Metodológico. ................................................................................................. 9
1. DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Información
con derechos reservados por parte del Ministerio de Tecnologías de la Información
y las Comunicaciones.
Todas las referencias a las políticas, definiciones o contenido relacionado,
publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los
anexos con derechos reservados por parte de ISO/ICONTEC.
2. AUDIENCIA
Entidades públicas de orden nacional y entidades públicas del orden territorial, así
como proveedores de servicios de Gobierno en Línea y terceros que deseen adoptar
el Modelo de Seguridad de la Información en el marco de la Estrategia Gobierno en
línea.
3. INTRODUCCIÓN
Este anexo tiene el propósito de brindarle a las entidades un conjunto de preguntas
que les ayuden al levantamiento de la información de su infraestructura física, lógica
y metodológica de seguridad, como parte del estudio de la situación actual de cada
una de ellas, sugerido por el Modelo de Seguridad y Privacidad de la Información.
4. OBJETIVO
El objetivo de realizar esta encuesta de seguridad es obtener información base para
conocer las necesidades puntuales de implementación de seguridad de la
información al interior de la entidad, el desarrollo de esta encuesta permite conocer
la si las necesidades de la Entidad son de tipo administrativo o de tipo técnico
permitiendo dar un panorama para la correcta implementación del MSPI.
5. ENCUESTA DE SEGURIDAD EN LA ENTIDAD
5.1.
Infraestructura física, acceso y medio ambiente.
a. Centro de Datos. Definir qué es un centro de datos y averiguar si en
la entidad existen o no.
b. Control de Acceso. Definir control de acceso y averiguar si en la
entidad se utilizan.
c. Barreras. Existen barreras físicas que aíslen las áreas coyunturales
de la entidad.
d. CCTV. ¿Se utilizan circuito cerrado de televisión?
e. Cableado y Canaletas
i. Datos. Existencia y estado del cableado eléctrico (fotos).
ii. Eléctrico. Existencia y estado del cableado de datos (fotos).
f. Seguridad Perimetral. ¿Existe un Firewall en la entidad y se entiende
para qué debe existir?
g. Switches y Hubs. Averiguar cómo está construida la red de área local
en cuanto a equipos activos.
h. Equipos en el Piso (fotos). ¿Een la entidad hay equipos en el piso?
i. Aire Acondicionado. ¿Necesitan y utilizan aire acondicionado?
j. Reguladores y UPS. ¿Hay reguladores y UPS?
k. Planta de Emergencia. ¿Hay planta de generación de emergencia?
5.2.
Lógico
l. Actualización de Servidores. ¡Se actualizan y parchan con
regularidad los servidores? ¿Cuál de los métodos siguientes
utilizan?
i. YUM
ii. WSUS
iii. Manual
m. Pruebas de Intrusión. Definir qué son prueba s de intrusión y
averiguar si se han hecho o se hacen con regularidad.
i. Hacking Ético
ii. Ingeniería Social
5.3.
Metodológico.
Averiguar cuáles de los siguientes puntos metodológicos existe y se utilizan en
la entidad.
n.
o.
p.
q.
r.
s.
t.
u.
v.
w.
x.
Políticas. ¿Hay un manual como tal?
Procedimientos. ¿Para qué labores?
Normas. ¿Cuáles?
Estándares. ¿Aplicados a qué?
Concientización. ¿Hacen regularmente procesos de concienciación
en lo referente a seguridad de la información? ¿Se hace inducción a
los empleados nuevos?
Acuerdos de Confidencialidad. ¿Los hay como tal o están embebidos
en el contrato laboral?
Renuncia de Propiedad de Información. ¿Se ha firmado aparte o
existe dentro del contrato laboral?
Código de Buena Conducta. ¿Existe?
Metodología de Riesgos?
Metodología de Gestión de Activos?
Plan de Tratamiento de Riesgos?