Auditoria
Enviado por jagarf • 23 de Agosto de 2015 • Informe • 5.928 Palabras (24 Páginas) • 135 Visitas
1.0 | Políticas y Estándares | |
1.1 | Proporcione una copia de sus políticas y estándares de Seguridad de la Información. (En el caso de que usted no lo haya proporcionado) | Copia proporcionada |
1.2 | ¿Cuándo se adoptaron y quién en la administración las aprobó? | Se adoptaron en el año 2008 con la administración actual |
1.3 | ¿Con qué frecuencia son actualizadas sus políticas y estándares de Seguridad de la Información? | cada 6 meses |
1.4 | ¿Cómo y con qué frecuencia son informadas las Políticas y Estándares de Seguridad de la Información a empleados, sub contratistas o personal temporal? | En su curso de ingreso a la empresa y por medio de wallpapers a través del dominio |
1.5 | ¿Describa cómo es monitoreado el cumplimiento de sus políticas y estándares de Seguridad de la Información? | a través de logs en equipos de comunicación y servidores |
2.0 | Identificación y Autenticación | |
2.1 | ¿Están todos los usuarios identificados por un nombre de Usuario Único (User ID) en los sistemas? | Si |
2.2 | ¿Están relacionados los nombres de usuarios (user ID) con una contraseña que se deshabilita después de un número específico de intentos fallidos continuos de conexión? | Si, cada 3 intentos fallidos se bloquea |
2.3 | ¿Se les obliga a los usuarios a cambiar periódicamente las contraseñas? | si, cada 30 dias |
2.4 | ¿Se desactivan los nombres de usuario (User ID) después de un período de inactividad? | si, cada 60 dias |
2.5 | ¿Cuáles son las reglas mínimas de construcción de las contraseñas para los sistemas que procesan o almacenan Información Confidencial de Banamex/Citi? | Las contraseñas se establecen de mínimo 7 caracteres cumpliendo los requerimientos de complejidad y tienen una vigencia de 30 días sin permitir la repetición de contraseñas anteriores |
2.6 | ¿Se necesitan IDs funcionales para la operación de las aplicaciones que procesan información de Banamex/Citi? | No se requieren |
2.7 | ¿Se visualiza en pantalla el texto real de las contraseñas cuando se ingresan? | No |
2.8 | ¿Qué controles están implementados para controlar el acceso al sistema de ID's ? (Dueños ID's, revisión de logs, revisiones periódicas, etc.) | Revisión de losg de seguridad |
3.0 | Autorización y Controles de Acceso | |
3.1 | ¿Cuál es el proceso para otorgar y/o revocar privilegios a los accesos lógicos de los sistemas? | a través de un sistema de reportes, todas documentadas electrónicamente. |
3.2 | Liste a las personas o grupos responsables de otorgar y/o revocar el acceso a aplicaciones o sistemas que procesan información de Banamex/Citi. | Rodrigo Cruz, Emmanuel Sanchez, Iván Cortés |
3.3 | ¿Quién es responsable y cuánto tiempo se requiere para que el administrador de seguridad cambie los privilegios de acceso a los sistemas después de que se le notifica de un cambio en la función de empleado, de subcontratista o posición de trabajo? | 1 Hr. |
3.4 | ¿Tiene un proceso documentado para habilitar a los gerentes de negocio para que revisen y verifiquen los privilegios cuando menos semestralmente para los sistemas y aplicaciones que procesan información de Banamex/Citi? | Si |
3.5 | Los usuarios de los sistemas que están en producción y que contienen información confidencial de Banamex/Citi, ¿Están restringidos a un sólo nombre de usuario (User ID) por sistema? | Si |
3.6 | ¿Permite que los empleados tengan acceso remoto a su red corporativa desde la computadora de su hogar o desde otros dispositivos propios de los empleados? | No |
3.7 | ¿Permite el uso de redes de área local inalámbricas (WLANs) y de otros dispositivos inalámbricos en su red en donde se puede tener acceso a información confidencial de Banamex/Citi? | No |
3.8 | ¿Permite que los empleados tengan acceso a cuentas externas de correo electrónico de Internet (Ejemplo; Yahoo, Hotmail, etc.) desde su red? | No, utilizamos un firewall para el control de acceso a Internet |
3.9 | ¿Permite que los empleados utilicen programas de mensajes instantáneos (Ejemplo; MSN Messenger), redes de peer-to-peer (par-a-par) u otras herramientas de grupos de Internet que trasmitan o almacenen información de Banamex/Citi dentro o fuera de su red? | No |
3.10 | ¿Están configurados todos los servidores y estaciones de trabajo para prevenir un 'boot up' desde algún dispositivo periférico? | Si, desde el BIOS están deshabilitadas las opciones de boot up con mouse, teclado o cualquier periférico |
3.11 | ¿Tiene procedimientos para la instalación y administración controlada de quemadores de CD, unidades ZIP, unidades removibles (disquetes) y memorias USB que puedan utilizarse para copiar información de Banamex/Citi? | Están prohibidos estos dispositivos de almacenamiento en la operación |
3.12 | ¿Se encuentra autorizado el acceso a archivos del sistema, protegidos y controlados? | No está autorizado y se protegen los archivos de sistema no entrando con el usuario "root", solo se crean logins a nivel usuario con los permisos correspondientes de carpetas |
3.13 | ¿Cómo se protege la información Confidencial/Restringida de acceso no autorizado en los sistemas de producción, prueba, desarrollo y Aseguramiento de la Calidad? | Se crean logins a nivel usuario con los permisos correspondientes de carpetas y archivos |
3.14 | Liste todos los productos de seguridad (Ejemplo; Active Directory, RACF, Antivirus, etc.) que se utilizan para todas las plataformas de los sistemas operativos que procesan información confidencial de Banamex/Citi. | Active Directory, Antivirus, Firewall |
3.15 | Donde no es posible tener controles de acceso, existen controles compensatorios como pruebas de auditorias (audit trails) o procesos de verificación? | Si |
3.16 | ¿Aplican los procedimientos anteriores a los empleados de planta, eventuales y/o sub contratistas quienes tengan acceso a información Confidencial de Banamex/Citi? | Si |
4.0 | Confidencialidad e Integridad | |
4.1 | Describa su esquema de clasificación de la información. | Niveles del 1 al 5 (Altamente Confidencial, Confidencial, Restringida, Interna, Pública) |
4.2 | ¿Cuáles son los procedimientos para etiquetar (Identificar) los informes impresos, desplegados en las pantallas, medios magnéticos, mensajes electrónicos y transferencias de archivos de información de Banamex/Citi? | Nivel 1 - No generar impresos. Nivel 2 - Se puede imprimir por los responsables de su generación. Nivel 3 - Restringido a todo el personal, excepto a los responsables del proceso. Nivel 4 - Consulta y gestión para todo el personal de la empresa. Nivel 5 - No aplica ningún control |
4.3 | ¿Mantiene un inventario para hardware, software, información, activos físicos y servicios en donde se procesa la información de Banamex/Citi? | Si, se revisa cada 6 meses o cada que hay cambios, lo que suceda primero |
4.4 | ¿Cuáles son los procedimientos y controles para desechar y reutilizar el equipo de computo? | Se formatea el equipo con un programa de software especial |
4.5 | ¿Se asegura que toda la información confidencial, cuando ya no es útil conforme se especifica en el contrato de Banamex/Citi o cómo está documentado por el Relationship Manager de Banamex/Citi, se destruya haciéndola imposible de utilizar y recuperar o qu | Si |
4.6 | ¿Está encriptada (codificada) toda la información electrónica de Banamex/Citi que transmite? | Si |
4.7 | Para todos los medios transportables electrónicos que maneja y contienen información confidencial de Banamex/Citi, describa los procedimientos de control de inventario que utiliza (para registro de salida, envío y recepción), y cómo se protege esta inform | Registro en bitácora de entrada y salida |
4.7.1 | Si actualmente envía medios transportables de almacenamiento (Ejemplo; CDs, cintas, disquetes, etc.) con información electrónica de Banamex/Citi, ¿Puede su red soportar transmisiones electrónicas (Ejemplo; SFTP Secure File Transfer Protocol)? | No se envía actualmente, nuestra red si puede soportar SFTP |
4.8 | ¿Sólo utiliza algoritmos criptográficos, longitud de llaves, protocolos de administración de llaves y seguridad comercialmente disponibles para proteger la confidencialidad e integridad de la información de Banamex/Citi que se está procesando, transmitien | Si |
4.9 | ¿Cuál es el proceso para la liberación de parches (Service Packs) y actualizaciones (Updates) de configuración para solucionar problemas de seguridad de los sistemas operativos que procesan la información de Banamex/Citi? | Se prueban en el servidor de pruebas previo a meterlos en producción |
4.10 | ¿Cuáles son los procesos para proteger la información confidencial de Banamex/Citi que se almacena en medios electrónicos? | Encriptamiento / con contraseña |
4.11 | ¿Cuál es el proceso para deshacerse de la información confidencial de Banamex/Citi almacenada en papel? | Trituradora de papel Interna |
4.12 | ¿Tiene políticas, normas, estándares, procesos y procedimientos para la retención de registros de información? | Si, se utilizan políticas de seguridad de información descritas ateriormente con una retención de registros mientras el cliente esté activo y hasta 1 año después de su cancelación |
4.13 | Si la información de Banamex/Citi está almacenada en una base de datos, proporcione detalles específicos, incluyendo como mínimo la siguiente información: | MySQL Server, Versión XXX, campos sensibles en formato de contraseña |
4.14 | Si se utilizan para procesar aplicaciones de Banamex/Citi | Se protegen los campos configurados en la base de datos como "contraseña", es decir, se guarda encriptada |
4.15 | ¿Cuáles son los procedimientos para manejar el inventario de respaldos (backups) que contengan información de Banamex/Citi? | Se encripta el archivo de respaldo. Respaldos diarios con retención de cintas a 1 año. |
4.16 | ¿Con qué frecuencia prueba su sistema de respaldo (backups) para cerciorarse que la información se puede recuperar? | Diariamente |
4.17 | Si se mantienen los respaldos fuera de sus instalaciones, ¿Cubre el contrato o convenio de Nivel de Servicio con el proveedor externo de almacenamiento las responsabilidades de seguridad (incluyendo los controles de acceso físico), y las responsabilidades | Si |
4.18 | Conforme los respaldos (backups) llegan a la terminación de su vida programada, ¿Se destruyen con seguridad o se vuelven a utilizar los medios? Si se vuelven a utilizar los medios, ¿Se borra primero toda la información? ¿Qué procedimiento se utiliza para | Se destruye con seguridad |
4.19 | ¿Qué productos antivirus están instalados, su actualización es manual o automática, y reciben mantenimiento en todas las computadoras personales, laptops, servidores de LAN y de correo, y otros dispositivos que almacenan el contenido que reciben de fuente | Mcafee Ver 10 con actualización automática en todos los equipos de la red |
4.20 | ¿Se usa algún shareware o freeware en el procesamiento de información de Banamex/Citi? Si es así, ¿Qué se usa? ¿Se ha cumplido con los requisitos comerciales (licencias) para el uso de estos programas? | No se usa ningún shareware |
4.21 | ¿Envía alguna comunicación directa a clientes o personal de Banamex/Citi como parte de sus procesos de negocio? | No |
4.21.1 | De ser así, ¿Están TODAS las solicitudes de comunicación a clientes o personal de Banamex/Citi sujetas al mismo proceso de control de cambios? ¿Se permite algún cambio ad hoc a estos procesos de negocio? Si la respuesta es afirmativa, ¿Han sido explícitam | N/A |
5.0 | Detección y Respuesta de Incidentes | |
5.1 | ¿La administración junto con la Unidad de Negocio de Banamex/Citi, ha desarrollado, implementado y documentado procedimientos para asegurar el cumplimiento del proceso del Equipo de Respuesta de Incidentes de Seguridad? ¿Incluyen los procedimientos los co | Si |
5.2 | ¿Cuáles son los procedimientos específicos para recopilar la evidencia y la documentación así como la cadena de protección de custodia de la evidencia? | El área de procesos recopila y custodia la información |
5.3 | ¿Se ha probado la ejecución de responsabilidades durante un incidente? | Si |
5.4 | ¿Tiene pruebas de auditoria (audit trails) para todos los sistemas que almacenan o procesan información de Banamex/Citi? ¿Están aseguradas estos logs (bitácoras) contra el acceso o modificación no autorizados? | Si, las bitacoras están restringidas |
5.5 | Las pruebas de auditoria (audit trails) reportan: | Si, todos los eventos descritos |
5.6 | ¿Con qué frecuencia se revisan los logs (bitácoras)? Describa el proceso que usa (automático o manual) y proporcione evidencia de la revisión de los logs (bitácoras). | Diariamente |
5.7 | ¿Cuales son los desarrollos, implementaciones y procedimientos documentados para un incidente de Seguridad de la Información? | Contamos con un Syslog |
5.8 | ¿Existe una lista claramente definida de contactos de Banamex/Citi con nombres, números de teléfono y siempre accesible para permitir una rápida escalación? | Si |
5.9 | ¿Cuales son los procedimientos de notificación y escalación para la perdida o daño de paquetes? | N/A |
6.0 | Administración | |
6.1 | ¿Cuáles son sus políticas, estándares, procesos y procedimientos para la selección del personal antes de darle el empleo (Es decir, de aquellos solicitantes que han aceptado una oferta de trabajo)? Se realizan verificaciones adicionales para todo el perso | Se cuenta con un proceso de reclutamiento y selección de personal antes de la contratación, que consta de Entrevista, Pruebas Psicométricas, Selección en apego al perfil de la vacante y revisión de documentos. |
6.2 | ¿Firman los empleados un convenio de no divulgación o de confidencialidad de la información? | SI |
6.3 | ¿Tiene cobertura de seguro (fianza)? ¿Cubre al personal? ¿Tiene seguro contra hackers? Si es así, ¿De qué tipos y con qué límites? | NO |
6.4 | ¿Tiene un proceso para tener separadas las funciones de administración de sistemas informáticos y de administración de seguridad de sistemas informáticos para cerciorarse de que exista un proceso independiente de verificación o de segregación de funciones | SI |
6.5 | ¿Se asegura que cualquier persona que se asigna a la Administración de la Seguridad de la Información no pueda realizar transacciones comerciales que entren en conflicto con este puesto? Específicamente, que a los Administradores de la Seguridad de la Inf | SI |
7.0 | Capacitación y Concientización | |
7.1 | • ¿Tiene un programa formal de Capacitación y Concientización de Seguridad de la Información requerido dentro de los 90 días después de la contratación? | Para personal operativo se cuenta con un tema en el programa de capacitación inicial, donde se especifica y se concientiza al personal de nuevo ingreso, sobre la seguridad y control de la información. Para el personal operativo se imparte al ingresar a la compañia y cada tres meses se refuerza. |
7.2 | ¿Cómo le da seguimiento al programa de Capacitación y Concientización de Seguridad de la Información? ¿Cómo mide la efectividad del programa de Capacitación y Concientización de Segur | Se monitorea y respalda la información que es enviada y recibida en la compañía, y con esto se obtinene métricas de incidencias y gravedades ademas de revisar y asegurar la inactivación de todos los puertos de los equipos de computo. |
7.3 | Proporcione una lista de los cursos y temas que son impartidos en su programa de Capacitación y Concientización de Seguridad de la Información | Flujo operativo, candados y diseño en aplicaciones, reglas y penalizaciones |
8.0 | Firewalls y Sistemas de Detección de Intrusión | |
8.1 | ¿Están todas las conexiones de Protocolo de Internet (IP) protegidas por un firewall? | Si |
8.2 | • ¿Están monitoreadas en tiempo real todas las conexiones de Internet y/o externas (no-Internet, Ejemplo;. B2B)por un sistema de detección de intrusiones (IDS) o sistema de prevención de intrusiones (IPS)? | Se está utilizando un Firewall de Juniper NS100 |
8.2.1 | Si es así, cada cuando son actualizadas las firmas (signatures) en los IDS/IPS? ¿Cuando fue la ultima vez que las firmas (signatures) fueron actualizadas? | N/A |
8.2.2 | Describa como los sistemas IDS/IPS son administrados y que tipos de anomalías especificas son señaladas para disparar una alerta de monitoreo. | Son administrados localmente con su interfaz gráfica y disparan alertas de cualquier intento de ataque externo o interno por cualquier protocolo (TCP,UDP) |
8.3 | Describa el proceso de administración de cambios para lo siguiente (incluyendo una revisión independiente de TODOS los cambios previos a la implementación): | Cualquier requerimiento de cambio es introducido en el sistema de reportes para dejar evidencia del mismo y darle seguimiento |
8.4 | ¿Se hacen escaneos periódicos del tráfico de la red y de los componentes clave de la red/dominio para asegurarse de que no existan o que no se hayan introducido vulnerabilidades? ¿Qué herramientas se utilizan para escanear y con qué frecuencia se realizan | Si, se utiliza NESSUS |
8.4.1 | ¿Existe algún componente de red configurado de manera tal, que el Firewall pueda ser saltado o partes de la red donde el Firewall no detecte o examine el trafico de red (Ejemplo; conectado a ambas "Trusted" y "Untrusted" partes de la red sin que el firewa | No, todo el tráfico pasa por el firewall |
8.5 | ¿Está habilitado el 'firewall logging'? ¿Se hacen revisiones periódicas de los 'firewall logs' realizados para detectar si se ha habilitado sin autorización un servicio o si se ha intentado realizar una acción no autorizada? ¿Con qué frecuencia se hacen e | Si, se revisan diariamente los Logs |
8.6 | ¿Están configurados los firewalls con la opción 'deny all' (negar todos) por default y después se habilitan los servicios específicos requeridos? | Si, así está configurado |
8.6.1 | ¿Qué protocolos o puertos tienen salida a Internet en relación con los servicios proporcionados a Banamex/Citi) | Ninguno |
8.7 | ¿Tiene alguna conectividad de entrada vía módem (inbound) en su ambiente operativo? | No |
8.8 | Enliste y proporcione detalles de cualquier conexión directa con sitios de Banamex/Citi (Ejemplo; T1S, etc.)? | Ninguna |
9.0 | Desarrollo y Mantenimiento de Sistemas | |
9.1 | ¿Desarrolla sistemas o aplicaciones que sean usados por Banamex/Citi? | No |
9.2 | Para cualquiera de los descritos en la pregunta 9.1, se utilizan soporte, desarrollo o instalaciones fuera de su empresa? Descríbalos. | No |
9.2.1 | ¿Existe personal extranjero utilizado en el desarrollo? Si es así, ¿En donde están localizados? | Ninguno |
9.3 | Explique el ciclo de vida para el desarrollo de sistemas y aplicaciones | Requerimiento, Aprobación, Desarrollo, Pruebas de calidad, liberación en Producción |
9.4 | Describa en que consiste el procedimiento de seguridad para el sistema o aplicaciones desarrollado. ¿ La función del sistema que ejecuta la seguridad se actualiza periódicamente?. | Escaneo con Nessus actualizable cada que se ejecuta |
9.5 | Como se incorpora un proceso de revisión de la Seguridad de la Información en su metodología de desarrollo de aplicaciones y productos (hardware, software, etc.). Explique. | Aplicando la politica de seguridad de la información al 100% para los desarrollos |
9.6 | ¿Están todas las herramientas de desarrollo o aplicaciones protegidas para prevenir acceso no autorizado en sistemas operativos? | Si |
9.7 | ¿La información de varios clientes se encuentra en una misma base de datos o servidor común? Si es así, ¿Cómo se mantiene segregada la información? | No, banamex cuenta con su propio servidor y Base de datos separada |
9.8 | • ¿Cómo es controlado el código fuente para todos los sistemas operativos / plataformas? | control de versiones manual, no contamos con uno automático, el responsable es el desarrollador de la aplicación |
9.9 | Los programadores tienen acceso al código fuente en cualquier momento del proceso de migración del ambiente de desarrollo al de producción. | Si |
9.10 | ¿Es usada una base de datos de clientes actuales de Banamex/Citi para pruebas fuera del ambiente de producción? Si es así, ¿La información confidencial está enmascarada durante la prueba?. | No, se utilizan registros irreales |
9.10.1 | Si es usada información confidencial fuera del ambiente de producción sin enmascarar, describa los controles para el acceso. Estos controles son equivalentes a los usados al ambiente de producción. | N/A |
9.10.2 | ¿Cuál es el proceso que asegura borrar la información de producción usada en los ambientes de prueba? | N/A |
9.11 | ¿Son copiados archivos de configuración del ambiente de producción al ambiente de prueba como parte de la nueva aplicación? ¿Estos archivos incluyen archivos de contraseñas o números de identificación de usuarios? | No |
9.12 | Está el ambiente de desarrollo (prueba segregado físicamente o lógicamente del ambiente de producción?. Si es segregado físicamente, ¿Cuales son los controles o mecanismos que se usan para separar dichos ambientes? | Si, en servidores separados |
9.13 | Describa el soporte a producción / proceso en la administración del cambio de emergencia de su proceso o metodología de desarrollo. Entregue evidencias del proceso. | N/A |
10.0 | Seguridad Física | |
10.1 | ¿Con que periodicidad se realiza revisiones de seguridad física a las instalaciones? Entregue los resultados de la última revisión. | Consultar con Banamex |
10.2 | Describa los controles de acceso para las instalaciones (Ejemplo; puntos de control perimetrales, uso de tarjetas, control de accesos. Incluyendo tiempo de retención, revisión de paquetes, monitoreo de CCTV). | El acceso del personal a las instalaciones es através de un sistema de huella digital y para los visitantes, personal de capacitación y proveedores, se maneja una bitácora previa identificación oficial y un gafete distintivo. |
10.3 | ¿El edificio o su instalaciones son compartidas? Si es así, describa los pisos ocupados y quienes son los inquilinos contiguos a sus instalaciones. | El edificio es compartido con diferentes empresas, ajenas a la organización el piso es compartido con las empresas F&A y VCIP Soluciones. |
10.4 | ¿Existe alguna área de carga / descarga? Si es así, describa los controles de acceso en el lugar y si está monitoreado por CCTV. | NO |
10.5 | La visitantes firman bitácora de seguridad para el acceso y son acompañados en todo momento por personal de seguridad / empresa en áreas restringidas?. | SI |
10.6 | ¿Existen controles en las instalaciones para restringir la salida o entrada al techo?. | SI |
10.7 | ¿ La información confidencial se encuentra en área restringida con controles de acceso para el personal autorizado? Se requiere de un nivel diferente o tarjetas de acceso para acceder al interior de dicha área? | SI, planeado para la evaluación física |
10.8 | Para los centros de datos y cuartos de servidores / comunicaciones, existen plafones o pisos falsos que puedan ser usados para acceder sin autorización? ¿Las paredes del exterior están construidas del piso al techo? | No existen pisos o plafones falsos, las paredes están construidas del piso al techo. |
10.9 | Existe un proceso para controlar las llaves tipo tarjeta (Ejemplo; Asignación, Revocación e Inventario) | N/A |
10.10 | Las instalaciones del proveedor tienen CCTV Interno / Externo y sistema de almacenamiento de imágenes? ¿Mantiene las registros de imágenes grabados por 31 día o más (Digital o Análogo) y respaldados? | NO |
10.11 | Si aplica, se cambian regularmente las combinaciones de las chapas? ¿Qué tan seguido? ¿Tiene evidencia de los cambios? | N/A |
10.12 | ¿ Las instalaciones son vigiladas constantemente por vigilancia pública o privada? | Vigilancia Privada |
10.13 | ¿Las instalaciones están protegidas por alarmas de detección de intrusos? ¿Existe una estación de monitoreo para alarmas centralizada? | NO |
10.14 | • ¿Están protegidas las instalaciones con sistemas de alarma de detección de humo y fuego? | NO |
10.15 | ¿Están protegidas las instalaciones por sistemas automáticos de supresión de fuego (rociadores/gas inerte)? ¿Cuándo se probaron por última vez? | NO |
10.16 | ¿Si la instalación es un centro de datos (data center) ¿Está identificado fácilmente como tal en el exterior? Describa los controles de acceso existentes | N/A |
10.17 | ¿Tiene el centro de datos (data center) controles de temperatura y humedad que sean independientes del resto del edificio? | N/A |
10.18 | ¿Tiene en las instalaciones fuentes de poder independientes y separadas? ¿Se prueban constantemente estas fuentes de poder? Describa las pruebas y la frecuencia con la que se hacen | SI |
10.19 | ¿Tiene un respaldo de Fuente de Poder Ininterrumpidle (UPS) para los sistemas de cómputo? ¿Cuál es su capacidad (en minutos de respaldo) y cuándo se probó y utilizó por última vez? | SI, 30 MINUTOS |
10.20 | Tiene un generador de respaldo? Si es así, describa: | NO |
10.21 | ¿Cómo están asegurados los IDFs (Intermediate Data Frame) o Racks de las conexiones telefónicas y de los cables de datos? ¿Quién tiene acceso a estos y cómo se autoriza el acceso? ¿Puede proporcionar una lista de las personas que tienen acceso, incluyendo | Atraves de llaves de seguridad |
10.22 | Provea una lista de donde se encuentran los equipos que contienen información confidencial (Servidores de producción, Servidores de desarrollo, Servidores de Continuidad del Negocio, etc.). | no |
10.23 | ¿Puede hacerse el mantenimiento de forma remota al equipo de cómputo de su empresa? Si es así, ¿Quién tiene acceso y cómo es controlado? | NO |
11.0 | Continuidad de Negocio | |
11.1 | • ¿Tiene una estrategia y plan documentado de continuidad del negocio? | Si, contamos con un DRP hacia otro sitio, el Director de Sistemas es responsable del mantenimiento del mismo, calendarizado cada 6 meses |
11.2 | ¿Identifica el Análisis de Impacto del Negocio los riesgos de interrupción del negocio y considera un rango de tiempo fuera de operación (Ejemplo; pérdida permanente o prolongada de un edificio, caídas de sistema de duración media y corta, pérdida de apli | Si |
11.3 | • ¿Su Plan de Continuidad del Negocio incluye todos los procesos principales, tecnología y trabajos manuales para sistemas que soportan el procesamiento de Banamex/Citi? | Si |
11.4 | • ¿Cuando fue la última prueba de continuidad de negocio? | Hace 3 meses, no se encontraron hallazgos |
11.5 | ¿La prueba de continuidad del negocio incluyó a todos los Proveedores y a sus subcontratistas que soportan el proceso de negocio de Banamex/Citi? | N/A |
11.6 | El plan de Continuidad del Negocio se actualizó basado en las lecciones aprendidas, junto con cambios importantes al ambiente operativo, desde la mas reciente prueba COB? | Si |
11.7 | • ¿Se proporciona interna o externamente la instalación del respaldo del Plan de Continuidad del Negocio? | Si, SafeData |
11.8 | ¿Cuál es la distancia entre la instalación de respaldo (backup facility) y la ubicación principal (primary location)? | 30 km |
11.9 | ¿Utiliza su sitio alterno de recuperación (recovery location) diferentes fuentes de energía y accesos de telecomunicaciones de las que usa en su ubicación principal (primary site)? | Si |
11.10 | Las medidas de seguridad en las instalaciones de recuperación son equivalentes a las de producción para asegurar que la prueba se realice con las normas de seguridad requeridas. | Si |
11.11 | ¿Tiene una estrategia y un plan documentado para la declaración y notificación de desastres a Banamex/Citi y a sus socios de negocio? Que tan seguido se realiza la actualización y verificación. Entregue una copia. | No |
11.12 | En el caso de un desastre en una matriz o instalación de transporte, ¿Cómo se determina si los paquetes en tránsito de Banamex/Citi son afectados? | N/A |
12.0 | Sub-contratistas | |
12.1 | ¿Le ha informado a Banamex/Citi con anticipación y ha recibido aprobación documentada de cualquier trabajo con un subcontratista (outsourcing) que se esté realizando actualmente? | N/A |
12.2 | ¿Están documentados los requerimientos de Seguridad de la Información de Banamex/Citi y se les han comunicado a los subcontratistas con los que comparte información confidencial de Banamex/Citi? ¿Cómo se asegura que sus subcontratistas cumplen con estos r | N/A |
12.3 | ¿Existe un proceso documentado de detección y respuesta de Incidentes de Seguridad entre su empresa y el subcontratista? ¿Identifica este proceso sus contactos y los del subcontratista, incluyendo sus detalles? ¿Se estipula la notificación por escalamient | N/A |
12.4 | ¿Se realiza alguna de las siguientes responsabilidades de manera externa en su organización? Si es así, describa en cada punto el convenio del servicio externo (outsourcing) | N/A |
12.4.1 | Administración de Seguridad de la Información | N/A |
12.4.2 | Detección e Incidentes de Seguridad | N/A |
12.4.3 | Evaluación de Vulnerabilidad (Ethical Hacking) | N/A |
12.4.4 | Administración de Sistemas | N/A |
12.4.5 | Administración de Firewalls | N/A |
12.4.6 | Seguridad de la Arquitectura e Ingeniería de la Infraestructura. | N/A |
12.4.7 | Continuidad de Negocio | N/A |
12.4.8 | Seguridad Física | N/A |
12.5 | • ¿Qué funcionalidad específica proporciona el subcontratista, y qué información confidencial de Banamex/Citi se intercambia con el subcontratista? | N/A |
12.6 | ¿Está el subcontratista en un país extranjero? ¿Tiene acceso a información de clientes en o desde ese país? Proporcione detalles. | N/A |
12.7 | ¿Tiene incorporado un Proceso de Revisión de la Seguridad de la Información en sus procesos y procedimientos para la selección, desarrollo e implementación de aplicaciones, productos y servicios? | N/A |
13.0 | Cumplimiento / Leyes y Regulaciones | |
13.1 | • Describa el proceso de auto evaluación para asegurarse de cumplir con todas las regulaciones de las autoridades, así como de las políticas, normas, estándares, procesos y procedimientos de su empresa. | N/A |
13.2 | ¿Se han auditado sus operaciones para asegurar el cumplimiento de las leyes y regulaciones de privacidad? Si es así: | NO |
15.0 | Tranporte de Medios Electrónicos (ETM) | |
15.1 | ¿Cuenta con sistema de registro de esquema de numeración único que corresponda a cada paquete enviado? | N/A |
15.2 | ¿El proveedor mantiene un registro detallado de cada paquete manejado por un período mínimo de 180 días calendario? | N/A |
15.3 | ¿Incluyen los registros del proveedor lo siguiente? | N/A |
15.4 | ¿Puede el proveedor proporciona el acceso de forma segura a estos registros mediante cualquiera de los siguientes métodos? | N/A |
15.5 | ¿El proveedor examina cada paquete para detectar si durante el envió, se produjo algún daño exterior o intento de violación de los puntos de seguridad? | N/A |
15.6 | • ¿El proveedor cuenta con un procedimiento de notificación inmediata a Banamex y/o Citi, en caso de que un paquete sea dañado, mientras se encuentra bajo su responsabilidad? | N/A |
15.6.1 | • Describa los procedimientos para mantener el control directo del material de Banamex/Citi desde la recolección hasta la entrega del paquete. | N/A |
15.6.2 | • ¿Los paquetes son físicamente transportados por los empleados del proveedor? | N/A |
15.6.3 | ¿Cuando es necesario los paquetes se almacenan en un lugar seguro, cerrado, bajo el monitoreo activo y la supervisión directa del proveedor? | N/A |
15.6.4 | ¿Están los paquetes separados en un compartimiento específico bajo llave cuando se cargan en un avión? | N/A |
15.6.5 | ¿Permite el proveedor compartir paquetes de Banamex/Citi con otra carga en cualquier momento mientras está en tránsito? | N/A |
15.7 | ¿El proveedor cuenta con un proceso para almacenar paquetes con contenido no identificados por un periodo mínimo de 45 días? | N/A |
15.8 | ¿Los mecanismos de seguridad en las instalaciones del proveedor, para evitar daño, pérdida o la salida no autorizada, de los paquetes durante el proceso de entrega, por lo menos incluyen lo siguiente?: | N/A |
15.9.1 | ¿Los vehículos se inspeccionan para asegurarse que las puertas de los vehículos estén cerradas apropiadamente con candado antes de permitirles la salida de las instalaciones? | N/A |
15.9.2 | ¿Los vehículos de transporte tienen mallas de seguridad, o un mecanismo equivalente para prevenir que los paquetes caigan del vehículo o se muevan dentro del mismo? | N/A |
15.10 | ¿Están equipados los operadores con radios de dos vías o teléfonos celulares? | N/A |
15.11 | ¿Proporciona el proveedor una notificación automática de correo electrónico a Banamex/Citi de acontecimientos críticos en el progreso del embarque del paquete? | N/A |
15.12 | ¿Cuales son los procedimiento del proveedor para el mantenimiento apropiado de la flotilla de vehículos? | N/A |
15.13 | En el caso de una falla mayor al vehículo o daño: | N/A |
15.14 | Los procedimientos para manejar averías incluyen lo siguiente: | N/A |
16.0 | Mensajería Segura | |
16.1 | ¿Existe un sistema de rastreo que muestre de principio-a-fin una vista de cada paquete dondequiera que esté localizado, incluyendo un monitoreo automatizado de los movimientos del paquete interno, externos y transferencias? | NO |
16.2 | Describa el procedimiento de control de inventarios y proporcione documentación que lo soporte. | N/A |
16.3 | Los procedimientos que rigen el sistema de servicio (s) de alta seguridad proporcionados por el proveedor incluyen lo siguiente: | N/A |
16.3.1 | ¿Proporciona un vehículo seguro con una tripulación que recoge y transporta el paquete? (Esto quizá no sea permitido por la ley local en ciertas localidades) | N/A |
16.3.2 | ¿Proporciona un vehículo Seguro, con una tripulación que en el destino recibe el paquete para llevarlo a las instalaciones de Banamex/Citi? | N/A |
16.3.3 | ¿Cuándo se recoge un paquete, en un lugar designado y se provee de un recibo de los materiales, en qué momento el proveedor asume la responsabilidad del material? | N/A |
16.3.4 | ¿Cuándo es necesario, el paquete es transportado al aeropuerto y se entrega directamente en el avión? (Esto quizás no sea permitido por la ley local en ciertas localidades) | N/A |
16.3.5 | ¿Provee servicio la Asociación Internacional de Transporte Aéreo (Internacional Air Transport Association IATA) un servicio de guardias calificados para preparar el Recibo de Tipo Aéreo (Air Way Bill AWB) de una forma confidencial? | N/A |
16.3.6 | ¿Cuándo es necesario reenviar el master por Air Way Bill se realiza comercialmente la entrega en la localidad para la inspección de aduana? | N/A |
16.3.7 | ¿Carga el paquete dentro la plataforma de carga del avión y en lo que el avión espera para a ser descargado, la trampa de carga está asegurada y sujetada? | N/A |
16.3.8 | ¿Espera en la puerta de salida por 30 minutos después del despegue en caso de que el avión tenga que regresar? | N/A |
16.4 | El Servicio de Mensajería Segura proporcionado por el proveedor incluye lo siguiente: | N/A |
16.4.1 | ¿Los paquetes son recogidos por Banamex/Citi, revisados (origen de revisión) y segregados de otros paquetes localizados en el vehículo? | N/A |
16.4.2 | ¿Una vez que llega al centro del proveedor, cada paquetes es revisado y transportado a mano dentro del repartidor para asegurar su supervisión continua? | N/A |
16.4.3 | ¿Si el paquete se queda una noche mas en tránsito, el paquete es puesto en una área segura y cerrada con alta seguridad? | N/A |
16.4.4 | ¿Un segundo individuo de apoyo se encarga de cargar los paquetes al vehículo correctamente para que el vehículo sea cerrado de forma segura antes de salir? | N/A |
16.4.5 | ¿El proveedor sólo entregará los paquetes al receptor después de una apropiada verificación y obteniendo una firma personal? | N/A |
17.0 | Internet Web Hosting | |
17.1 | ¿Identifique cualquier punto de falla en el ambiente de red (Ejemplo; ISP links, routers, switches, firewalls, DNS, servers, etc.)? | Ninguno |
17.2 | ¿Qué capacidad de administración de tráfico tiene disponible (Servidores, Ancho de Banda y Balanceo de Red) ? | N/A |
17.3 | ¿La aplicación e infraestructura experimentó una evaluación independiente de vulnerabilidad antes de salir a producción? ¿Cuándo fue la fecha de la última evaluación realizada, y quién realizo esta prueba? | N/A |
17.4 | ¿Se resolvieron todos los hallazgos de alto riesgo que se identificaron en la evaluación de vulnerabilidad antes de que entrara en operación el producto, servicio o aplicación? ¿Existe actualmente algún problema no resuelto de Seguridad de la Información | N/A |
17.5 | Describa la configuración de Firewalls usadas para construir las zonas desmilitarizadas (DMZ) donde están los servidores Web. | No tenemos configurados servidores Web hacia Internet o DMZ |
17.6 | Describa, ¿Cómo los servicios de nombre de dominio (DNS) serán habilitados para contener a los sitios Web de Banamex/Citi? ¿La configuración cumple con las reglas de registro de Banamex/Citi? | N/A |
17.7 | ¿Qué políticas o regulaciones locales existen, que estén relacionadas con la implementación de servicios Web? ¿Existen procedimientos de responsabilidad legal para incumplimientos operativos? ¿Cómo será notificado Banamex/Citi cuando estos incumplimientos | N/A |
17.8 | ¿Es externo, independiente, el monitoreo de los sitios Web de Banamex/Citi? Si es así, describa los servicios y condiciones del subcontratista. | N/A |
17.9 | ¿Qué estrategia de mitigación tiene para los ataques de negación de servicio que puedan impactar en la disponibilidad de los sitios Web de Banamex/Citi? | N/A |
17.10 | ¿Tiene un ambiente dedicado para Banamex/Citi? Si no es así, describa los componentes compartidos y las técnicas de separación de Banamex/Citi de los otros clientes. | Si |
17.11 | ¿Tiene capacidad tecnológica para soportar en el futuro aplicaciones Web adicionales de Banamex/Citi? Si es así, ¿Cómo serán separadas estas aplicaciones de las que actualmente tiene? | Si tenemos capacidad tecnológica en diferentes servidores |
17.12 | ¿Cómo es administrado el contenido de los servidores web? Existe un área específica que efectúa la liberación de contenido del sitio de Internet de Banamex/Citi? | N/A |
17.13 | ¿Las direcciones IP actuales de los clientes se mantendrán visibles en el servidor Web? Ejemplo; No habrá Cambios de IP privadas a públicas (NAT) | N/A |
17.14 | Donde es requerido un acelerador o una terminación SSL (Secure Socket Layer) ¿Cómo son administradas las llaves de encripción? ¿Cuáles son los procedimientos para la administración de los certificados? | N/A |
...