¿Elaboras una normativa específica para el uso de dispositivos extraíbles (dispositivos autorizados, condiciones de uso, cómo accede a la información, configuraciones de seguridad, etc)?*
¿Involucras a los usuarios en la protección de estos dispositivos y los datos que contienen?*
¿Implementas alternativas para evitar la necesidad de utilizar dispositivos de almacenamiento externo (repositorios comunes, clouds autorizados, etc)*
¿Mantienes un registro actualizado con usuarios, dispositivos y privilegios de acceso?*
¿Aplicas medidas para el almacenamiento seguro de la información en el dispositivo extraíble (cifrado de datos, autentificación, cambio periódico de contraseñas, etc)?*
¿Conoces y aceptas la normativa corporativa vigente para el uso de dispositivos extraíbles en actividades de la empresa?*
¿Aplicas medidas para el almacenamiento seguro de la información en los documentos que se transfieren (control de accesos, cifrado, etc.)?*
¿Conoces y aceptas la normativa corporativa vigente para el uso de dispositivos extraíbles en actividades de la empresa?*
Borrado seguro y gestión de soportes
¿Realizas un seguimiento de los dispositivos que están en funcionamiento, las personas o departamentos responsables, la información contenida en ellos y su clasificación en función del grado de criticidad para la empresa?*
¿Supervisas los dispositivos que almacenan información corporativa, en particular aquellos que se utilizan para realizar copias de seguridad, documentando cualquier operación realizada sobre los mismos: mantenimiento, reparación, sustitución, etc.?*
¿Utilizas el proceso de triturado para destruir la información de los soportes no electrónicos (papel y soportes magnéticos)*
¿Optas por el proceso de sobrescritura cuando quieres reutilizar un soporte todavía en buen estado?*
¿Usas el proceso de des-magnetización o de destrucción física antes de desechar el soporte de almacenamiento?*
¿Eliminas la información en teléfonos móviles, impresoras, G.P.S., etc. (memoria y tarjetas) antes de deshacernos de ellos?*
¿Eliges una herramienta de borrado que permita la obtención de un documento que identifique claramente que el proceso de borrado se ha realizado, detallando cuándo y cómo ha sido realizado?*
¿Utilizas un servicio de destrucción certificada para garantizar la destrucción de datos confidenciales opera cumplir un acuerdo con otra empresa o con la R.G.P.D. / L.O.P.D. ?*
Seguridad Física
¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible? *
¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de frío / calor?*
¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?*
¿Está la sala / edificio en el que se encuentra el sistema securizado con una cerradura o sistema de alarma para que sólo personal autorizado acceda? *
¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?*
¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use (aunque sólo sea por unos segundos)?
¿Están todos los usuarios desconectados del terminal?*
¿Están los interruptores del terminal bloqueados o protegidos?*
¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas / deshabilitadas?*
¿Están los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o deshabilitados?*
¿Existen discos duros conectados físicamente al sistema sin bloquear?*
Red Física
¿Está la red segura sin peligro de conexión no autorizada?*
¿Tiene sólo el personal autorizado acceso a la red física a la que está conectado el sistema?*
¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red física / administrados por otra persona o entidad?*
¿Están los otros sistemas de la misma red física y electrónicamente securizados? *
Tráfico de red aprobado
¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red?*
¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad / vulnerabilidades del software que utiliza en la red?*
¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el sistema?*
¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté disponible en la red?*
¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?*
¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?*
¿Mantiene suficientes registros (logs) de la actividad de red aprobada?*
¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?*
¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?*
¿Se cifran los datos confidenciales que se transfieren a través de la red?*
Tráfico de red no aprobado
¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de una red? *
¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?*
¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema que potencialmente podría permitir a un usuario conectarse a través de la red?*
¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su sistema?*
