Respuestas preguntas de_politicas_auditoria
- 1. PREGUNTAS POLITICA DE INTERRNET ¿Dónde se encuentran publicadas estas políticas? Los Estándares, Normar y políticas de la empresa se encuentran publicadas en la Intranet para que los funcionarios tenga acceso y pleno conocimiento de las mismas ¿Qué herramienta de monitoreo se utiliza? Todo el monitoreo de la Red se realiza por la Herramienta Nagios Analyzer. La cual es configurada por el área de TI, y es la encargada de enviar alerta a los Ingenieros cuando la red está saturada ¿Cómo se comprueba el funcionamiento del Firewall? Todos los PCs de la empresa están navegando con un proxy establecido 192.168.222.1 puerto 3128. Se realiza pruebas cada 30 días con los asesores de la navegación, y que dicha navegación no tenga salida si no está configurada el proxy en sus maquinas de trabajo ¿Cómo y quién catalogan los incidentes en la red? ¿Quién cataloga la lista de sitios restringidos y que seguridad hay sobre esta información? Las ACL son creadas por el personal de TI y Aprobadas por el Jefe de Seguridad Informática con visto bueno del Gerente de TI
- 2. PREGUNTAS POLITICA DE USO DE MEDIOS EXTRAIBLES ¿Conocen los interesados de estas políticas cuales son las faltas y las sanciones? Las políticas esta publicadas en la intranet para todos los usuarios. Cada vez que hay un usuario nuevo en la organización se da un breve capacitación de seguridad de la información y a su vez se firman unos acuerdos de confidencialidad los cuales son aceptados por los empleados ¿Cómo se configuran los equipos, por herramienta informática o manualmente? Se configura por la herramienta Aranda asset management para el acceso de medios extraíbles, si un usuario necesita tener acceso a algún medio tiene que ser autorizado por el jefe con supervisión de TI ¿Herramienta o como se monitorea el sistema para detectar riesgos potenciales? La empresa cuenta con una consola de McAfee el cual es administrador por el proveedor, en cada puesto de trabajo es instalado un agente el cual reporta diario el estad de la máquina y las amenazas que puede tener. ¿Se tiene un inventario detallado de los equipos con puertos habilitados y deshabilitados? Esta configuración es realizada por el programa Aranda asset management ¿Existen actas de entrega de equipos y periféricos a los usuarios? Existe un archivo en el cual se encuentra la hoja de vida que cada uno de los equipos, en el cual detalla el estado y por cuantos usuario ha sido asignado
- 3. PREGUNTAS POLITICA USO DE CONTRASEÑA ¿Existe un cronograma para la revisión de las políticas y donde se encuentra? ¿Cada cuánto un usuario debe cambiar su contraseña? El sistema le indica mensualmente al usuario que debe cambiar su contraseña. ¿Qué hace el sistema si una contraseña no cumple con las condiciones establecidas? El sistema envía un mensaje de alerta el usuario que no cumple con los requisitos básicos para el ingreso de la clave y que debe de girar una nueva ¿Es una clave única que integra todas las aplicaciones o son claves independientes por aplicación? Cada aplicación es independiente para su ingreso, aunque se está implementando una aplicación IMPRIVATA el cual almacena las claves de los aplicativos que se configure en el mismo, el programa mismo realiza un cambio de la clave y lo hace periódicamente ¿Qué sucede con la clave de un usuario cuando termina su contrato, vacaciones, licencias etc.? Los usuario deben llenar un formato en alguno de los casos el cual dependiendo de los casos es inhabilitado (en caso de retiro), suspendido (caso de vacaciones), re-asignando si lo es requerido por el jefe de área el cual es entregada la clave con acta (ENTREGA DE CLAVES SEGURAS) suministradas por el departamento de TI
- 4. PREGUNTAS POLITICA AREA DE TRABAJO LIMPIO ¿Existen métricas, informes y estadísticas de los usuarios infractores, sus sanciones y reincidencias? La verificación de trabajo limpio lo realiza cada Jefe de área validando el estado de los puestos de empleados, en caso de ver alguna anomalía se realiza retroalimentación al empleado ¿Quién verifica la basura de los usuarios? En la basura esta ya marcada por la empresa, solo se bota elementos que no sea institucionales (Informes, cartas, etc.). Para este tipo de documento existe una canasta especial el cual es destruida por el área de TI ¿Cómo se determina el tiempo de permanencia de un documento en la impresora y quien lo monitorea? Existe un configuración en el Servidor de Impresiones el cual se configura para que cada usuario tenga un PIN y solo la impresión se ejecute cuando el este enfrente de la impresora digitando el PIN ¿Está programado el tiempo de bloqueo en un pc y cuánto es? Desde el Servidor de Domino se tiene programado que después de 15 Segundos de inactividad se bloquee el equipo ¿Quién y cada cuanto tiempo hay ronda para verificar esta política? Esta tarea es evaluada por el Jefe de área todos los días, Se aplica más en el momento de salir a Almuerzo, Break, etc. PREGUNTAS DE CONCLUCION ¿Existe registro documental de la entrega esta política a los usuarios? Si, existe una A-Z en donde especificando la política y los acuerdos de confidencialidad ¿Existe registro del versionamiento y revisión de estas políticas? Hasta el momento solo se lleva una versión de esta Política