MAGERIT
MAP
Ministerio para la Administración Pública
20 de septiembre de 2002
Magerit Versión 1.0 (1997) --
RIS2K Versión 1.0 (1998)
Objetos empotrados
Equipamientos de suministro auxiliar
Personal
Otros tangibles
Integridad organizacional
Información
Meta-información
Soportes tratables informáticamente, no tratables...
Imagen
Confianza hacia el cliente
Equipo físico (hardware)
Equipo lógico (software) de base y paquetes
Equipo lógico (software) de aplicaciones
Equipo lógico (software) de comunicaciones
Modulos aplicaciones software e2000
Bases de datos de aplicación software e2000
Accidentes
Accidente físico de origen industrial
incendio
explosión
inundación por roturas
contaminación por industrias cercanas
contaminación por emisiones radioeléctricas
Avería; de origen físico o lógico
fallo del equipo físico
defecto de origen
sobrevenida durante el funcionamiento
Accidente físico de origen natural
fenómeno sísmico y derrumbe
riada
fenómeno sísmico
fenómeno volcánico
meteoro
rayo
corrimiento de tierras
avalancha
derrumbe
Interrupción de servicios y suministros esenciales
avería de la climatización
corte suministro eléctrico
energía
agua
telecomunicaciones
fluidos
suministros diversos
Accidentes mecánicos y electromagnéticos
accidentes diversos mecánicos
choque
caída
cuerpo extraño
radiación
electroestática
Accidente físico de origen industrial tipo incendio o explosiones
incencio
Accidente físico de origen industrial de tipo inundación o contaminación
inundación
A. físico de o. industrial de tipo contaminación por emisiones electromagneticas
contaminación por radiaciones
Errores
Errores de utilización
errores
Errores de diseño
errores de diseño
dimensionamiento
Errores de ruta, secuencia o entrega
errores de ruta, secuencia o entrega
Errores de monitorización, trazabilidad, registro del trafico de la información
inadecuación de monitorización
Efecto 2000
Intencionales presenciales
Acceso físico no autorizado con destrucción o inutilización del equipo por robo
sustracción física
equipos
accesorios
infraestructura
Acceso lógico no autorizado con intercepción pasiva simple de la información
sustracción lógica
Acceso lógico no autorizado, con alteración o sustracción de la información
ataque lógico
información en tránsito
configuración
programas
datos
Acceso lógico no autorizado con corrupción o destrucción de la información
ataque físico
configuración
Indisponibilidad de recursos, sean humanos o tecnicos
indisponibilidad lógica
indisponibilidad física
desvío
bloqueo
indisponibilidad personal
huelga
abandono del puesto de trabajo
rotación
Intencionales teleactuadas
Acceso lógico no autorizado con intercepción pasiva para analisis de trafico
análisis de tráfico
Acceso lógico no autorizado con corrupción o destrucción de información
corrupción y destrucción de la información
Acceso lógico no autorizado con modificación de la información
modificación de la información
Suplantación de origen (del reemisor, 'man in the middle') o de identidad
suplantación de origen
Repudio del origen o recepción de la información en tránsito
repudio del origen o recepción
Control de acceso físico
Limitar el alcance del acceso físico
Control de acceso lógico
Limitar el alcance del acceso lógico
Prevenir la divulgación
Copias de seguridad
Procedimientos físicos
Limitar el alcance de los incidentes con personal
Formación
Limitar el alcance del ataque físico
Procedimientos lógicos
Limitar el alcance del ataque lógico
Limitar el alcance de los errores
Limitar el alcance de las averias
Prevenir averias
Limitar el alcance de los cortes de suministro eléctrico
Limitar el alcance de un corte electrico
Prevenir errores
Transferir riesgo
Prevenir incendios
Limitar el alcance del incendio
Plan de contingencias
Prevenir inundaciones
Limitar el alcance de las inundaciones
instalar materiales no combustibles y resistentes al fuego en areas criticas
construir subsuelo sólido de hormigón, no combustible
construir suelo del área de seguridad de aluminio o materiales no combustibles
canalizar el cableado subterráneo a través de conductos
instalar puertas, marcos y particiones de metal
utilizar pinturas retardantes o resistentes al fuego en areas de seguridad
construir el techo de áreas de seguridad con materiales no combustibles
canalizar a través de conductos los cables que conectan el alumbrado del techo
instalar conexiones eléctricas con toma de tierra
cubrir o rociar los aislantes de sonido con materiales resistentes al fuego
aislar las áreas de seguridad de lugares con riesgo de fuego (cafeterías, productos químicos, basura, etc.)
aislar el área de seguridad de zonas donde se realicen procesos peligrosos
compartimentar áreas de seguridad para evitar propagación del fuego
construir los compartimientos con materiales no combustibles
extender paredes de áreas de seguridad por encima del falso techo hasta el techo real
ventilar áreas de seguridad permitiendo la disipación del calor
distribuir correctamente sensores de detección y agentes de extinción de incendios
almacenar el papel y otros soportes lejos de áreas de seguridad
instalar mobiliario y elementos de decoración no combustibles
no albergar productos de limpieza inflamables o cáusticos en areas de seguridad
guardar productos inflamables (si se permiten), en contenedores seguros
limpiar regularmente el subsuelo
colocar todos los muebles de metal
almacenar las copias de seguridad en un lugar alejado de áreas de seguridad
no colocar percheros en el interior de áreas de seguridad
almacenar sólo los soportes imprescindibles (cintas, discos) en áreas de seguridad
mantener los medios destructores de papel alejados de áreas de seguridad
no almacenar piezas de plástico en el interior de áreas de seguridad
no decorar áreas de seguridad con posters, ni carteles
guardar las copias de seguridad de los ficheros críticos en lugares alejados
reducir al mínimo las cintas almacenadas fuera de la biblioteca de cintas
separar la biblioteca de cintas de las cajas fuertes de datos
otorgar prioridad de evacuación atodos los discos y cintas con ficheros críticos
almacenar los ficheros de acuerdo con su prioridad de evacuación
asegurar las estanterías de cintas y demás equipamiento
instalar una caja fuerte de datos alejada de áreas de seguridad
seleccionar medios de almacenamiento alternativos
planificar el transporte de ficheros para casos de emergencia
almacenar en lugar alejado soportes con informes y formularios críticos
mantener actualizados regularmente los procedimientos contra incendios
limpiar regularmente la zona que se encuentra debajo del falso suelo
disponer de un equipamiento adecuado de lucha contra incendios
formar regularmente al personal en las técnicas de lucha contra el fuego
asignar responsabilidades individuales en caso de incendio
probar regularmente el sistema de detección de incendios
prohibir fumar en áreas de seguridad y en la biblioteca de medios
realizar pruebas frecuentes con el sistema de alarma antiincendios
simular situaciones de desastre para ejercitar el plan de evacuación
realizar inspecciones periódicas por parte del cuerpo de bomberos
revisar y mantener disponibles los planes de evacuación
realizar inspecciones regulares de sist. de protección y detección automática
instalar equipos de detección de humos y fuentes de calor
instalar equipos de detección óptica o rayos ultravioletas
instalar equipos de control de la humedad
instalar detectores de productos de combustión
instalar detectores de la temperatura del aire
colocar detectores de humo que funcionen correctamente en áreas de seguridad
probar el equipo detección de humos sobre unas bases programadas
conectar los sistemas de detección de incendios con el panel de control general
conectar los sistemas de detección de incendios con la policía
proveer a los equipos de detección de mecanismos de alarma automática
colocar estratégicamente varios sistemas manuales de alarma
el dispositivo de alarma informa del emplazamiento del fuego a los responsables
apagar automaticamente el equipamiento crítico por los mecanismos de alarma
instalar extintores portátiles para incendios de origen eléctrico
colocar extintores portátiles estratégica y perfectamente señalizados
utilizar agua u otros agentes de extinción para los incendios no eléctricos
instalar mecanismos de interrupción automát. de fuentes de energía en incendio
instalar mecanismos de interrupción automática del aire acondic. en incendio
instalar mecanismos de cierre automát. de conductos de aire en caso de incendio
instalar mecanismos de encendido automático de las luces de emergencia
proveer de mecanismos manuales a los sistemas automáticos
implantar sellado automático de las puertas contra incendios
analizar el sistema de detección por parte de expertos
contratar vigilantes nocturnos permanentes
implantar procedimientos para rearmar cualquier equipo contra incendios
facilitar acceso al edificio para personal y equipamiento contra incendio
facilitar acceso a las instalaciones para los equipos de emergencia
instalar sistemas de alimentación ininterrumpida para accesos controlados eleclectrónicamente
facilitar acceso sin demora por parte del equipo de emergencia
facilitar máscaras antigás para el personal de emergencia
proveer mapa con la localización de los dispositivos de alarma
disponer de megáfono de emergencia
conocer todo el personal su emplazamiento y cómo funciona el megáfono
existir un drenaje adecuado bajo el falso suelo
existir desagües en el falso suelo
construir el techo de áreas de seguridad impermeable
instalar desagües adecuados para prevenir inundaciones de zonas adyacentes
disponer de una aspiradora industrial para áreas de seguridad
disponer de plásticos protectores para el hardware
alejar el agua utilizada por el aire acondicionado de áreas de seguridad
sellar el techo para prevenir filtraciones o derrames
instalar ventanas puertas exteriores a prueba de agua
instalar suficientes entradas de desagüe para acomodar la acumulación de agua
instalar sistemas de calefacción subterránea para fundir la nieve
colocar el equipo de aire acondicionado en un lugar alto y acceso restringido
instalar lineas y filtros de los conductos no combustibles
cubrir las tomas de aire con una pantalla protectora
ubicar las tomas de aire por encima del nivel de la calle
instalar tomas de aire que eviten la polución
instalar ventiladores en el techo que suplan la carencia de aire acondicionado
proteger sistema de refrigeración contra incendios
instalar sensores junto con el aire acondicionado
realizar chequeos periódicos por parte del personal de seguridad
instalar equipos de control de calor y humedad
instalar dispositivos de monitorización y grabación de la temperatura y humedad
instalar voltaje suficiente para soportar el equipo a pleno rendimiento
contar con fuentes de energía secundarias y generadores permanentes
instalar sistemas de alimentación ininterrumpida (sai)
proporcionar al personal de mantenimiento y seguridad una copia del cableado
ubicar el cableado en zonas no expuestas al agua u otros daños
situar cuadro de mandos principal en lugar alejado y de acceso restringido
comprobar el estado del cableado que se encuentra bajo el falso suelo
asegurar que todos los circuitos están reforzados
asegurar que todos los circuitos tienen su correspondiente toma de tierra
instalar un sistema de alumbrado de emergencia
probar con regularidad el sistema de alumbrado de emergencia
comprobar que las luces de emergencia iluminan el área deseada
disponer de fuentes de energía de emergencia para activar luces de emergencia
proporcionar una copia del trazado de la iluminación al depart. de mantenimiento
situar áreas de seguridad lejos de ríos o zonas propensas a inundaciones
situar áreas de seguridad alejadas de lineas de alto voltaje
situar áreas de seguridad alejadas de autopistas con tráfico denso
situar áreas de seguridad alejadas de vías de tre
situar áreas de seguridad alejadas de zonas con alto porcentaje de crimen
situar áreas de seguridad alejadas de zonas con alto potencial de incendios
situar áreas de seguridad alejadas de aeropuertos
situar áreas de seguridad alejadas de zonas almacenamiento de productos peligrosos
situar áreas de seguridad alejadas de zonas de bosque denso
construir edificios resistentes a huracanes, tormentas de viento
construir edificios resistentes a inundaciones
construir el edificio con unos cimientos sólidos
disponer de accesos fáciles para el personal de emergencia y el equipamiento
notificar al personal apropiado el advenimiento de un desastre
establecer procedimientos para notificar a las autoridades civiles disturbios
establecer políticas para monitorizar las amenazas
adecuar un centro alternativo para recuperación de las operaciones en desastre
destinar espacio suficiente para seguir con condiciones normales en centro alternativo
establecer un plan de implementación en el centro alternativo
aprobar plan del centro alternativo por el personal de seguridad
utilizar tarjetas identificativas personalizadas
disponer de las fotos de todos los empleados con acceso
permitir el acceso solamente a aquellas personas debidamente identificadas
no permitir acceso a acompañantes de las personas identificadas
verificar la identidad de todo el personal que accede al edificio
no permitir la introducción de ningún objeto en el área de seguridad
no permitir la salida de ningún objeto en el área de seguridad
prohibir la introducción de comida y bebida en el área de seguridad
no permitir que puerta del ascensor abra en el interior del área de seguridad
construir pasillos y vestíbulos sin puertas falsas
controlar los accesos al área de seguridad a través de las escaleras
controlar los accesos al área de seguridad a través de los montacargas
colocar rejas en las ventanas exteriores que estén al nivel de la calle
colocar cristales antibalas en las ventanas exteriores
colocar cristales tintados en las ventanas para no ser vistos desde el exterior
cerrar las puertas del área de seguridad en periodos de inactividad
establecer un procedimiento de control de visitantes
numerar los pases temporales para controlar sus usuarios
hacer pases temporales difíciles de duplicar
registrar las entradas y salidas de los visitantes
acompañar las visitas por personal del centro
no permitir el acceso de las visitas a zonas estrictamente confidenciales
establecer controles físicos (tarjetas, torniquetes, etc.) al área de seguridad
controlar todos los accesos por un guardia de seguridad o personal
reducir el número de accesos al área de seguridad
instalar un circuito cerrado de televisión
no permitir la introducción de cámaras de fotos o video en el área de seguridad
instalar detectores de metal a la entrada del área de seguridad
establecer controles de inspección de cajas y paquetes enviados
instalar mecanismos de alerta que avisen de cualquier anomalia
instalar mecanismos de cierre automático en todas las puertas internas
liberar todas las puertas internas y pasillos de toda obstrucción
colocar el equipamiento de tal manera que no obstruyan la apertura de puertas
instalar sensores magnéticos en todas las puertas de acceso al área de seguridad
establecer controles periódicos de seguridad para todo el personal
instalar sistemas de monitorización de sonido para los momentos de inactividad
no poner ventanas ni paredes exteriores que permitan el paso a saboteadores
conectar todos los dispositivos de control de acceso con el sistema central
situar las zonas con ficheros en lugar estrictamente protegido
establecer revisiones generales periódicas de todo el área de seguridad
establecer un sistema de control de firmas para controlar el acceso a los datos
registrar todos los cambios planeados y realizados en materia de seguridad
establecer reuniones trimestrales del departamento para revisar procedimientos
establecer procedimientos de control de todos los informes confidenciales
controlar el correo interno de informes confidenciales
no acumular basura en el área de seguridad
limpiar regularmente la superficie del equipamiento ubicado en el área de seguri
limpiar los suelos regularmente
realizar el vaciado de las papeleras fuera del área de seguridad
utilizar enmoquetado y alfombrado antiestático
prohibir comer en el área de seguridad
utilizar ceniceros de agua si se permite fumar
conservar limpias y ordenadas las zonas de mantenimiento
limpiar debajo del falso suelo del área de seguridad
establecer un procedimiento riguroso de limpieza
reducir al mínimo la existencia de materiales inflamables
limpiar regularmente las lentes de los circuitos cerrados de televisión
instruir al personal de operaciones y de seguridad en reaccion ante disturbios
formar al personal para actuar en caso de amenaza de bomba
las paredes del área de seguridad deben estar construidas de aluminio
no establecer indicadores sobre la ubicación del área de seguridad
instalar sistemas de intercomunicaciones entre área de seguridad y otras áreas
disponer de linternas de pila seca en el área de seguridad para uso de emergenci
instalar una trituradora de papel para destruir informes confidenciales
colocar papeleras de metal
disponer de un botiquín o servicio médico próximo al área de seguridad
realizar pruebas a nuevos empleados:seguridad, sicológicas, referencias, aptitud
exámenes periódicos: seguridad, rendimiento, aptitud
existencia de responsables alertas respecto a empleados disgustados
detectar conflictos entre empleados
detectar insatisfacciones
detectar posibles problemas familiares
hacer pública una política de personal severa ante las infracciones
conocer los responsables profundamente a sus subordinados
implantar programa continuado de formación en seguridad
formar ante emergencias y evacuación
realizar sesiones de orientación sobre procedimientos de emergencia
realizar prácticas en temas de seguridad
comprobar la formación en temas de seguridad
hacer pública de forma notoria la localización de extintores
hacer pública de forma notoria los números de teléfonos de emergencia
hacer pública de forma notoria los planes de evacuación
hacer pública de forma notoria la asignación de responsables en emergencia
hacer pública de forma notoria los botiquines de primeros auxilios
hacer pública de forma notoria las rutas y salidas de emergencia
asegurar el conocimiento de las normas de emergencia
comprobar periódicamenete el conocimiento de las normas de emergencia
incluir el conocimiento de las normas de emergencia en el plan de formación
formar al personal en primeros auxilios
situar equipo de primeros auxilios fácilmente accesible
nombrar sustitutos de los responsables en situaciones de emergencia
nombrar encargados de apagar el equipo
nombrar encargados de los ficheros críticos
nombrar encargados de la utilización de las medidas antincendio
nombrar encargados de supervisar las medidas de evacuación
nombrar encargados de avisar a los servicios (ambulancias, bomberos, etc.)
nombrar encargados de cortar la corriente eléctrica
nombrar encargados de apagar el aire acondicionado
nombrar encargados de atender al personal herido
nombrar encargado de la revisión de las normas con suficiente autoridad
revisar las normas por parte de personal especializado
nombrar encargado de una comprobación de seguridad semanal
realizar inspección periódica para identificar mejoras en normas de seguridad
no realizar el acceso a las zonas de servicio por las áreas de seguridad
exigir responsable presente cuando se realizan mantenimientos
mantener lista de personal externo para el servicio de mantenimiento
identificar al personal externo
supervisar las actividades del personal externo
comprobar los requisitos de acceso y emplazamiento de los equipos locales
comprobar los requisitos de acceso y emplazamiento de los equipos remotos
bloquear acceso a ficheros de contraseñas
monitorizar las operaciones
establecer rangos de tiempos de ejecución
comprobar que los tiempos de ejecución se corresponden con los rangos
comprobar que el tiempo de utilización se corresponde con el tiempo asignado
no posibilitar a empleados acceso a las herramientas (destornilladores, etc.)
planificar actividades de mantenimiento de los equipos
comprobar la realización del mantenimiento de los equipos
registrar las características de los equipos
verificar periodos de inactividad
comprobar la ejecución de procesos en la lista de explotación
comprobar aleatoriamente los resultados
mantener sistema de distribución de informes actualizado
mantener equipo de respaldo con las mismas características que el equipo normal
mantener compatibilidad entre el equipo normal y el de respaldo
asegurar equipo de respaldo puede absorber el trabajo normal
localizar el equipo de respaldo con la suficiente amplitud
mantener inventario contabilizado de los soportes magnéticos
ordenar los soportes
mantener los soportes no utilizados en sus contenedores
realizar mantenimiento de las unidades de almacenamiento
situar la librería de soportes en una área de seguridad independiente
instalar detectores de campos magnéticos
mantener protección en el transporte
situar las aplicaciones, sistemas y documentación en un área de seguridad
situar los duplicados en una área de seguridad diferente a la de los originales
reemplazar rápidamente el software dañado
nombrar encargados de acceso a librerías de aplicaciones en áreas de seguridad
implantar procedimiento de identificación y firma para la obtención de copias
establecer niveles en la clasificación de seguridad
comprobar periódicamente las utilidades del software de seguridad
comprobar periódicamente las listas de control de acceso
implantar sistemas de contraseñas
implantar contraseñas difíciles de adivinar
utilizar cifrado de la transmisión
utilizar sistemas operativos con utilidades incorporadas para control de acceso
implantar procedimientos de rearranque
documentar las modificaciones de las aplicaciones
controlar las modificaciones de las aplicaciones
monitorizar los accesos
notificar los intentos de accesos no permitidos
verificar en las trazas los privilegios de acceso
realizar inventario de las copias de seguridad
almacenar copias en armarios ignífugos
comprobar las copias de seguridad
controlar los cambios en las aplicaciones
registrar los cambios en las aplicaciones
realizar los cambios en las copias, nunca en los originales
asegurar que la documentación cumple los estándares de operación
realizar copias de seguridad de las aplicaciones en desarrollo
crear un política de clasificación
clasificar los elementos según su criticidad
marcar los elementos que deban ser evacuados
mantener los elementos juntos para facilitar su eliminación en caso de necesidad
realizar copias de seguridad frecuentes
restringir el acceso a las utilidades del sistema
implantar estándar de documentación para diagramas de flujo y modelos lógicos
implantar estándar de documentación para listados
implantar estándar de documentación para formatos de entrada y de salida
implantar estándar de documentación para ejemplos
implantar estándar de documentación para usuario
implantar estándar de documentación para pruebas
implantar estándar de documentación para explicación de códigos, tablas, etc.
implantar estándar de documentación para mensajes de error
implantar estándar de documentación para descripción de ficheros
implantar estándar de documentación para explotación
realizar duplicados de la documentación
almacenar los duplicados en edificios separados de los originales
almacenar los duplicados en armarios ignífugos
realizar inventario anual de los documentos
revisar periódicamente los duplicados
realizar cambios coordinados en aplicaciones y en documentación
revisar cambios en la documentación por un auditor interno
revisar regularmente el cumplimiento de los procedimientos
almacenar los elementos en una área de seguridad independiente
coordinar los procedimientos de copia de seguridad con la duplicación de la doc.
informar al personal de los requisitos legales asociados a la información
participar propietarios de la información en su clasificación
implantar procedimientos para la destrucción de la documentación
implantar procedimientos de identificación de la documentación
implantar procedimientos de clasificación de la documentación
nombrar un administrador de la seguridad
asegurar el apoyo de la dirección
asegurar existencia de una política de seguridad
asegurar coordinación entre departamentos para planificación de servicios
asegurar coordinación entre departamentos para el plan de seguridad
asegurar coordinación entre departamentos para la gestión de la información
asegurar coordinación entre departamentos para la asesoría legal
asegurar coordinación entre departamentos para el reclutamiento de personal
asegurar coordinación entre departamentos para los seguros
asegurar coordinación entre departamentos para la auditoría
establecer funciones de control separadas de las de organización
implantar una filosofía general de la auditoría de control
controlar la utilización del sistema de información
controlar la información de entrada para asegurar su completitud
asegurar que la información de salida cumple los estándares
obtener informe de errores y procedimientos de seguimiento
implantar control de calidad
asegurar el control de las modificaciones en las aplicaciones
probar todas las opciones de las aplicaciones
asegurar control de las conversiones
separar responsabilidades
asegurar el respaldo para aplicaciones, ficheros y equipos
asegurar protección adecuada con compañías de seguros
asegurar que los sistemas son auditables
implicar al auditor en la fase de diseño de sistemas
controlar terminales remotos solo disponibles para el personal seleccionado
implantar acceso a los terminales restringido por cerraduras
proteger las contraseñas a prueba de modificaciones
implantar intervalo de cambio de contraseñas adecuado
combinar contraseñas con llaves físicas
asegurar que software del sistema permite control de los privilegios
asegurar acceso restringido a las listas de acceso y de privilegios
controlar registro de las actividades que se realicen contra la información
controlar la utilización de procedimientos administradores
revisar y controlar los sistemas de seguridad
monitorizar y controlar la depuración de los programas de seguridad
controlar las aplicaciones no salen a la linea de comandos del sistema operativo
asegurar cobertura por incendios
asegurar cobertura por acciones del agua
asegurar cobertura por protección contra el crime
asegurar cobertura por interrupción del negocio
asegurar cobertura por daños a la propiedad de la organización
asegurar cobertura por desastres naturales
asegurar cobertura por fraude
asegurar cobertura por gastos extra
asegurar cobertura por fallos de la energía
asegurar cobertura del equipamiento
asegurar cobertura de los medios
revisar el programa del seguro con un experto
incluir costes de reposición del hardware
incluir costes de reposición del software crítico
incluir costes de reposición de las aplicaciones críticas
incluir costes de reposición de los medios físicos
incluir costes temporales de reposición del personal herido o enfermo
incluir costes de oportunidad correspondientes a la interrupción del negocio
incluir costes potenciales por desastres naturales
asegurar que la cobertura del seguro ha sido totalmente evaluada
instalar el hardware de back up en un emplazamiento separado
establecer acuerdos contractuales
examinar el funcionamiento de los equipos trimestralmente
llevar a cabo controles de seguridad en la instalación
establecer plan de implementación para el uso de las instalaciones de back up
establecer un programa de mantenimiento regular
designar en plan de contingencias personal responsable para cada área funcional
establecer en plan de contingencias procedimientos de notificación detallados
establecer en plan de conting. criterios para determinar amplitud del desastre
asignar en plan de contingencias la responsabilidad de conservar docs.
asegurar que el plan de contingencias cubre la compra o alquiler de nuevo equipo
asegurar que plan de conting. cubre adquisición de equipos de aire acondicionado
asegurar que plan de contingencias cubre la adquisición de mano obra adicional
asegurar que el plan de contingencias cubre la adquisición de mobiliario
asegurar que el plan de contingencias cubre la adquisición de cintas
asegurar que plan de contingencias cubre la preparación del centro alternativo
ordenar el transporte de los ordenadores, personal y material relacionado
duplicar los ficheros de back up
asegurar existencia de un plan de contingencias que cubra a todo el personal
almacenar bien localizados los materiales necesitados en el plan de recuperación
asegurar existencia de una lista de teléfonos de emergencia
asegurar acuerdos con los proveedores para sustituciones rápidas
asegurar acuerdos con proveedores para reparaciones específicas
asegurar acuerdos con proveedores para servicios de limpieza
asegurar contrato anual con una organización de servicio de mantenimiento
llevar a cabo auditorías e inspecciones sorpresa
verificar el uso de los procedimientos de seguridad
verificar la protección de los programas y los datos
verificar las técnicas de prevención de desastres
designar un equipo de recuperación de desastres
realizar actualizaciones periódicas del plan de contingencias
establecer procedimientos de notificación al personal
proveer a todos los miembros del equipo con los números de teléfono de cada uno
establecer una prioridad de notificación
desarrollar un procedimiento de notificación con estructura piramidal
desarrollar un plan alternativo de notificación
revisar y probar los procedimientos de notificación establecidos
establecer en procedimientos de notificación a quién, cómo y cuándo se notifica
disponer de un centro alternativo para restablecer la base de operaciones
asegurar en el centro alternativo todos los medios necesarios para restablecer
nombrar un responsable que será el interlocutor de la organización
establecer acuerdos con proveedores para la instalación del hardware duplicado
establecer acuerdos para instalar copia de sistema actual en el hard. de back up
guardar una copia del sistema en un lugar seguro
revisar y probar las copias periódicamente
restablecer las lineas de comunicaciones
establecer los pasos para duplicar ficheros, programas, software, etc.
establecer un plan de prioridades para la recuperación
usar servicios especializados de apoyo durante el periodo de recuperación
realizar acuerdos contractuales para obtener en poco tiempo cintas, discos, etc.
determinar la legalidad del equipamiento, datos y servicios utilizados
adquirir los seguros necesarios para cubrir el centro de respaldo
establecer procesos manuales durante el periodo de recuperación
tener siempre disponible el centro alternativo
almacenar todas las copias de la documentación en un lugar seguro
designar personal de comprobacion que se realizan las tareas de recuperación
establecer contratos para la reconstrucción física del centro original
ubicar el centro alternativo en un área de bajo riesgo
establecer controles de acceso a los ficheros y programas del centro
ubicar el centro alternativo en una zona de bajo peligro de incendio
crear un área de trabajo del cliente segura
disponer de personal competente y concienciado en el centro alternativo
disponer de mensajeros eficientes y fiables
establecer procedimientos adecuados de control y operación
asegurar que la empresa contratada es financieramente solvente
utilizar software de base experimentado
asegurar configuraciones alternativas no costosas
comprobar la satisfacción de los usuarios
probar las alternativas con cargas simuladas
asegurar sistemas de protección elaborados
ser miembro de alguna asociación de usuarios
participar regularmente en las reuniones de las asociaciones de usuarios
asegurar el grado de control de acceso por usuario/aplicación/fichero
asegurar sistema de control de acceso compatible con otras aplicaciones
asegurar el sistema de control de acceso permite una carga progresiva
implantar herramienta de análisis y registro del seguim. y control de accesos
implantar sistema de control de accesos fácil de gestionar
proporcionar los propietarios de la información los derechos de acceso
nombrar encargado de la administración y gestión de los derechos de acceso
actualizar continuamente la lista de derechos de acceso ante cualquier cambio
asegurar el constructor del sist. control de acceso proporciona nuevas versiones
comprobar periódicamente la rigidez del sistema de control de accesos
asegurar sist.control de accesos diferencia los accesos locales de los remotos
asegurar sistema de identificación actualizado de cada usuario
asegurar sistema de autenticación de cada usuario (contraseña, llave, ..)
asegurar contraseñas con un mínimo de 5 caracteres de longitud
asegurar contraseñas sin eco en pantalla
asegurar solo el usuario define la contraseña
asegurar que contraseña proporcionada por el sistema tiene una validez temporal
asegurar que las contraseñas no se pueden reutilizar
asegurar control periódico aleatorio de cuentas estrategicas
almacenar las contraseñas de forma cifrada, con algoritmo irreversible
proporcionar información a los usuarios de las normas respecto a las contraseñas
implantar procedimiento de difusión, conservación y utilización de contraseñas
asegurar desconexión en caso de un periodo de inactividad
asegurar bloqueo del terminal en el caso de tres intentos infructuosos
asegurar desbloqueo de terminales con intervención del administrador
asegurar autorización de acceso con un plan horario y según un calendario
realizar registro y seguimiento de los intentos infructuosos
instalar equipo de comunicaciones en un área de seguridad
comprobar periódicamente el equipo de comunicaciones
seleccionar la red por un estudio comparativo
asegurar que la redestá gestionada al menos por dos servidores
asegurar software de red estándar, fiable y con mantenimiento
asegurar la red no da servicio después de las horas normales
registrar las comunicaciones realizadas
separar lógica y físicamente los terminales de acceso a diferentes redes
utilizar los procedimientos de identificación del tipo de acceso
utilizar el procedimiento de control de la identidad
repudiar las conexiones donde no se establece la identificación del terminal
asegurar protocolos normalizados con funciones de protección integradas
realizar las transacciones estratégicas solo desde terminales controlados
asegurar análisis periódico de la calidad de las lineas
asegurar seguimiento específico de los incidentes en cada linea
comprobar permanentemente de forma automática antiescuchas (detección)
generar informe escrito por cada intervención en la línea
asegurar utilización de fibra óptica
utilizar redes profesionales específicas (tipo swift)
implantar procedimiento para la difusión de claves de cifrado
utilizar firma digital
nombrar administrador responsable de los datos
nombrar administrador de la instalación, modificación y superv.estruc.ficheros
generar informe escrito con las modificaciones estructurales
utilizar subsistemas jerárquicos con acceso separado
asegurar que el control de acceso funciona con lenguajes de selección
realizar seguimiento de los procedimientos para la conservación y restauración
utilizar vistas o bases de datos espejo
realizar inventario de los accesos por usuario, por aplicación y por programa
remitir inventario de los accesos a los propietarios de la información
realizar cifrado de los ficheros estratégicos
implantar procedimientos escritos para el archivado y desarchivado
visar la utilización por el jefe de explota., responsable de operaciones,... r
implantar procedimientos para destrucción de soportes en caso de no utilización
ubicar archivos/librerías en áreas de seguridad
asegurar detección de intrusos después de las horas normales
instalar sistema de alarma en caso de extracción no autorizada de los soportes
nombrar responsable de la gestión de los soportes
realizar registro de la utilización de soportes
reducir la intervención manual
verificar regularmente los soportes
realizar auditoría no programada de procedimientos de utilización de soportes
implantar procedimiento de justificación para cada lote de inform. a transferir
implantar procedimiento de utilización de contenedores en caso de transporte
asegurar acreditación del servicio de transporte
asegurar que empresa detransporte no depende jurídicamente de la empresa destino
realizar estudio de cada elemento a incluir en la copia de seguridad
tener en consideración en el estudio, el entorno, las pruebas y los desarrollos
actualizar el plan de copias de seguridad ante modificaciones en las aplicac.
implantar procedimiento de copias de seguridad
realizar verificación periódica de las copias de seguridad
asegurar contenido de las copias de seguridad cifrado
almacenar copias de seguridad en áreas de seguridad distintas a originales
asegurar que el almacenamiento de copias de seguridad se realiza puntualmente
implantar procedimientos automáticos de restauración
realizar plan de restauración escrito para cada elemento
realizar duplicado document.explotación en área seguridad distinta a originales
realizar duplicado document.desarrollo en área .seguridad distinta orig
implantar procedimiento de control visual de informes de actividad de
almacenar y actualizar los informes de actividad
análizar y almacenar el informe de actividad del operador
análizar a diario de las operaciones de explotación
utilizar herramientas de control y seguimiento del funcionamiento de equipos
nombrar encargados del control de la ejecución y de la generación de resultados
realizar estudio de carga y rendimiento anterior a la instalación aplicaciones
establecer medidas periódicas del rendimiento del sistema
utilizar el informe de cargas y rendimiento para ampliaciones
nombrar encargados de la preparación y planificación de los trabajos
realizar preparación y planificación sistemática de todos los trabajos
realizar planificación diaria, semanal, mensual y anual
utilizar sistema de preparación y planificación automática
evitar ejecuciones remotas
implantar procedimientos escritos para la ejecución de pruebas
documentar completamente las aplicaciones o mantenimien. al pasar a explotacio
recompilar las aplicaciones en el entorno de explotación
implantar procedimientos de explotación catalogados y con acceso restringido
no realizar personal de explotación modificaciones de procedimientos, aplicac.
verificar con periodicidad aleatoria del contenido de los procedimientos
implantar utilidades y herrami. del sistema con acceso restringido y controlado
realizar documentación de explotación completa de cada aplicación
realizar actualización sistemática de la documentación de explotación
implantar documentación de explotación jerarquizada por función
considerar la documentación de explotación en acciones a realizar en incidentes
almacenar documentación de explotación en un área de seguridad
implantar procedimiento para la distribución de la documentación de explotación
descontaminar los soportes provenientes del exterior en equipos aislados
implantar procedimiento para detección de anomalías en software y en información
implantar procedimientos para la prevención y protección (firmas)
comparar ejecuciones de aplicaciones en explotación con la de las copias
implantar procedimiento para aprovisionamiento, almacen. y gestión de soportesas
realizar reserva de seguridad de soportes en otro edificio
contratar mantenimiento de todos los elementos, con periodo de reemplazamiento
fijar por contrato la duración de la intervención en el mantenimiento
fijar en contrato de mantenimiento cláusulas en caso de incumplimiento
establecer mantenimiento periódico fijado
establecer garantía en las piezas reemplazadas
limitar por contrato las responsabilidades en implantación, desplazamiento,...
incluir cobertura por seguro de los elementos fuera de mantenimiento
elegir proveedor con medios y técnicos adecuados
instalar elementos con autodiagnóstico
realizar reserva de seguridad de los elementos no importantes
nombrar encargado de mantenimiento a primer nivel de elementos no importantes
realizar documentación actualizada de los elementos instalados
realizar contrato de mantenimiento de las aplicaciones
establecer por contrato la disposición de nuevas versiones y/o correcciones
realizar seguimiento y control de las versiones
asegurar que proveedor dispone de un centro de asistencia técnica completa
documentar y asegurar el entorno en mantenimientos remotos
utilizar aplicaciones estándar de versiones oficiales, mantenidas y documentadas
realizar actualización de la documentación de las aplicaciones
asegurar que los técnicos de mantenimiento del proveedor son los habituales
asegurar encargados presentes durante la intervención
controlar autenticación del origen e integridad del contenido de ampliaciones
mantener registro actualizado y completo de los incidentes
mantener registro actualizado y completo de las intervenciones de proveedores
implantar procedimientos de revisión en aplicaciones (creación o manten.)
considerar en procedimientos docum. firmado por usuario y desarrollador
implantar procedimiento de revisión general antes de pasar a explotación
asegurar procedimiento de revisión forma parte de documentación de aplicación
asegurar que los mantenimientos se realizan a partir de un documento formalizado
asegurar que los mantenimientos de realizan solo en el entorno de desarrollo
asegurar que jefe de explot. remite a desar.y usuarios un doc. con pases a exp.
asegurar que los desarrollos externos pasan un periodo de prueba
implantar protocolo para comparar versiones de modificaciones importantes
asegurar que el procedimiento de revisión incluye los estudio iniciales
asegurar que el procedimiento de revisión incluye los juegos de pruebas
asegurar que el procedimiento de revisión incluye los mecanismos de seguridad
asegurar que procedimiento de revisión incluye la documentación de explotación
asegurar que procedimiento de revisión incluye el régimen de copias de seguridad
asegurar que procedimiento de revisión incluye funcionamiento en modo degradado
asegurar que el procedimiento de revisión incluye los estimadores técnicos
asegurar que procedimiento de revisión cumple los estándares de la metodología
asegurar que las nuevas aplicaciones generan una documentación de
implantar procedimiento para definir el juego de pruebas
asegurar que el procedimiento para pruebas cumple la metodología
asegurar juegos de pruebas exhaustivos
asegurar juegos de pruebas definidos por los usuarios
asegurar procedimiento de pruebas incluye la revisión anual de los proc. en exp.
asegurar proyecto iniciado con un estudio previo y un cuaderno de carga
asegurar cuaderno de carga respaldado por los usuarios y desarrolladores
asegurar planificación de todos los proyectos en desarrollo
asegurar control y actualización periódica (semanal) de la planificación
aplicar una metodología para el análisis funcional
asegurar que metodología de desarrollo permite integrar metodología de seguridad
asegurar metodología permite definir clasificación de datos con aspectos de seg.
deducir especificaciones de seguridad por la clasificación de datos y procesos
asegurar clasificación de los procedimientos de seguridad
aplicar una metodología para el análisis orgánico
implantar método de programación estructurada, con reglas de utilización
nombrar responsable de calidad de trabajos respecto a normas de análisis/prog.
asegurar para los desarrollos externos se estipula la metodología de desarrollo
realizar prototipo de las especificaciones antes de generar el análisis deta.
utilizar generador de programas, pantallas e informes
utilizar un diccionario de datos o repositorio
asegurar que el dicc. de datos permite clasif. de seg. en las descripciones
asegurar documentación de la aplicación actualizada y acorde con la metodología
asegurar que la documentación incluye los esquemas de integración
asegurar que la doc. incluye los esquemas de circulación de la información
asegurar que la documentación incluye las referencias cruzadas
asegurar que la doc. incluye las opciones técnicas, organigramas, ...
asegurar en desarrollos externos la entrega de la doc.conforme a met.
asegurar referencias cruzadas de controles/datos
verificar que los controles asociados a los datos se reproducen en todos prog.
implantar procedimiento asociado al diccionario datos para analizar dependenc.
generar las refs. cruzadas controles/programas para cada dato
implantar proced. autom. asociado al dicc. y al esquema de integración
asegurar que los controles se sitúan en los programas en párrafos estructurados
asegurar controles básicos (cuadre, límite de valores)
asegurar controles de validación directa (condiciones)
asegurar controles de validación indirecta (fórmulas)
asegurar controles de coherencia (evolución, base estadística)
centralizar los incidentes detectados por usuarios y no controlados
realizar auditoría periódica de la validez de los controles
realizar verificación aleatoria de los controles con datos de prueba
implantar procedimiento para modificación de controles con documentación visada
realizar actualización de datos estratégicos realizada en diferido
implantar procedimientos complementarios de autenticación en los programas
implantar controles de acceso a las tablas limitando visibilidad y acceso
implantar sistemas biométricos de autenticación
implantar sistema de registro de eventos en cadenas estratégicas
implantar sistema de vigilancia de las cadenas estratégicas
realizar selección del software por estudios comparativos
realizar pruebas del software externo
obtener información sobre el proveedor del software
seleccionar el soft teniendo en cuenta la capacidad del proveedor
disponer de los fuentes de las aplicaciones externas
asegurar subsuelo con un alcantarillado adecuado
asegurar edificios resistentes a terremotos