¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible? *
¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de frío / calor?*
¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?*
¿Está la sala / edificio en el que se encuentra el sistema securizado con una cerradura o sistema de alarma para que sólo personal autorizado acceda? *
¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?*
¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use (aunque sólo sea por unos segundos)?
¿Están todos los usuarios desconectados del terminal?*
¿Están los interruptores del terminal bloqueados o protegidos?*
¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas / deshabilitadas?*
¿Están los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o deshabilitados?*
¿Existen discos duros conectados físicamente al sistema sin bloquear?*
Red Física
¿Está la red segura sin peligro de conexión no autorizada?*
¿Tiene sólo el personal autorizado acceso a la red física a la que está conectado el sistema?*
¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red física / administrados por otra persona o entidad?*
¿Están los otros sistemas de la misma red física y electrónicamente securizados? *
Tráfico de red aprobado
¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red?*
¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad / vulnerabilidades del software que utiliza en la red?*
¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el sistema?*
¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté disponible en la red?*
¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?*
¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?*
¿Mantiene suficientes registros (logs) de la actividad de red aprobada?*
¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?*
¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?*
¿Se cifran los datos confidenciales que se transfieren a través de la red?*
Tráfico de red no aprobado
¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de una red? *
¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?*
¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema que potencialmente podría permitir a un usuario conectarse a través de la red?*
¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su sistema?*
