Professional Documents
Culture Documents
CONTENIDO
CAPTULO I: ........................................................................................................................................ 3
DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3
1.1. NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4
1.2. NATURALEZA DE LA EMPRESA ...................................................................................... 4
1.3. UBICACIN GEOGRFICA .............................................................................................. 4
1.4. VISIN ............................................................................................................................ 4
1.5. MISIN ........................................................................................................................... 4
1.6. VALORES ........................................................................................................................ 4
1.7. ORGANIGRAMA DE LA EMPRESA .................................................................................. 5
CAPTULO II: ....................................................................................................................................... 6
MARCO TERICO................................................................................................................................ 6
2.1. Seguridad Fsica .............................................................................................................. 7
2.2. Amenazas previstas en Seguridad Fsica ........................................................................ 7
2.3. Desastre ......................................................................................................................... 8
2.4. Vulnerabilidad ................................................................................................................ 8
2.4.1. Vulnerabilidad Fsica .................................................................................................. 8
2.5. Peligro ............................................................................................................................ 9
2.6. Mitigar .......................................................................................................................... 10
2.7. Riesgo ........................................................................................................................... 11
2.8. Estructura General ISO/IEC 27002:2005: ..................................................................... 11
2.9. Descripcin de los Dominios y sus Objetivos ............................................................... 11
2.10. Seguridad Fsica y del Entorno o Ambiente ............................................................. 14
2.10.1. reas Seguras ........................................................................................................... 14
2.10.1.1. Permetro de Seguridad Fsica ............................................................................. 14
2.10.1.2. Controles de Ingreso Fsico .................................................................................. 14
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14
2.10.1.4. Proteccin contra Amenazas Externas e Internas ............................................... 14
2.10.1.5. Trabajo en reas Aseguradas ............................................................................... 15
2.10.1.6. reas de Acceso Pblico, Entrega y Carga ........................................................... 15
2.10.2. Equipo de Seguridad ................................................................................................ 15
2.10.2.1. Ubicacin y Proteccin del equipo ....................................................................... 15
2.10.2.2. Servicios Pblicos de Soporte .............................................................................. 15
1
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
2
[Escriba texto]
CAPTULO I:
DESCRIPCIN DE LA ORGANIZACIN
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
1.4. VISIN
Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las
necesidades del usuario y brindndoles personal altamente capacitado,
motivado y apoyado en tecnologa de punta".
1.5. MISIN
Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;
bajo los soportes de un excelente equipo humano, tecnologa e infraestructura
moderna
1.6. VALORES
Honestidad y lealtad
Comunicacin
Excelencia enfocada en el paciente
Trabajo en equipo
Liderazgo
4
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
5
[Escriba texto]
CAPTULO II:
MARCO TERICO
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
7
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
2.3. Desastre
Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnolgico).
2.4. Vulnerabilidad
Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y
otros.
8
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
2.5. Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa.
9
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
2.6. Mitigar
Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,
la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes
materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos
10
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
2.7. Riesgo
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa
Objetivos de Control : 39
Controles : 133
11
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
12
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
13
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las polticas y
estndares de seguridad organizacional.
Maximizar la efectividad de recuraos informticos y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de
informacin.
14
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
15
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
16
[Escriba texto]
CAPTULO III
DESCRIPCIN DE LA AUDITORIA
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
3.2.1. Entrevista
Vase en el Anexo N 1
3.2.2. Observacin
Para ello el equipo de trabajo manejo una lista de Verificacin con las
caractersticas con la que debera contar la institucin para poder cumplir
la ISO/IEC 27002:2005.
18
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 1:
No Cumple
Anexo N
Cumple
tem a Evaluar
19
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 2
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 3 No Cumple
Anexo N
Cumple
tem a Evaluar
20
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 4
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 5
No Cumple
tem a Evaluar Anexo N
Cumple
21
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 6
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 7
No Cumple
Anexo N
Cumple
tem a Evaluar
3.3.2. Cliente:
Director..
22
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
23
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 1:
No Cumple
Anexo N
Cumple
tem a Evaluado
24
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 2
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 3
No Cumple
Anexo N
Cumple
tem a Evaluar
25
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 4
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 5
No Cumple
Anexo N
tem a Evaluar
Cumple
26
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
Control 6
No Cumple
Anexo N
Cumple
tem a Evaluar
Control 7
No Cumple
Anexo N
Cumple
tem a Evaluar
27
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
28
[Escriba texto]
ANEXOS
[Escriba texto]
Objetivo:
Conocer el plan estratgico de la organizacin y el grado de compromiso de la
direccin con la utilizacin de nuevas tecnologas.
Fragmentos de la entrevista:
Auditor Cree que la tecnologa puede serle til para alcanzar sus objetivos?
S, por eso tenemos contratado un ingeniero de sistemas que se encargan
Director de que la tecnologa est siempre a punto.
Objetivo:
Conocer los planes a corto y largo plazo en cuanto a tecnologas de la
informacin y los planes de infraestructura tecnolgica.
Fragmentos de la entrevista:
Objetivo:
Conocer las polticas y procedimientos relacionados con la evaluacin de
riesgos. Conocer los seguros que cubren los riesgos.
Fragmentos de la entrevista:
Sntesis situacin.
de la entrevista:
No hay ningn documento sobre gestin de riesgos, pero el director del
departamento de informtica tiene claros cules son los principales riesgos a
los que estn expuestos.
El principal riesgo identificado es la cada del servidor. Si el servidor falla, se
podra perder informacin valiosa. Para intentar disminuir la probabilidad del
riesgo, cuenta con copias de seguridad alojadas en un disco duro.
Otro riesgo identificado es la prdida de los datos del servidor. Los datos del
servidor se pueden perder debido a que algn empleado de la empresa o alguien
ajeno a la misma los borre o debido a que se estropee el soporte en el que se
almacenan. Para evitarlo, el administrador hace copias de seguridad de los
datos a menudo. Dichas copias se almacenan en un disco duro externo.
Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si
alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO]
quedara bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.
La habitacin del servidor no dispone de cerradura.
No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a
sistemas de informacin. El entrevistado no lo considera necesario.
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO]
Objetivo:
Conocer el plan de continuidad de la empresa respecto a los
servicios informticos.
Fragmentos de la entrevista:
Sntesis de la entrevista:
De la entrevista realizada al administrador de sistemas se puede concluir que
no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad
debido a que la empresa necesita continuidad en los servicios informticos,
puesto que en ellos se basa la productividad y la obtencin de beneficios.
Un riesgo importante que podra acechar a la continuidad del servicio es la
cada o deterioro del servidor.
La continuidad tambin podra daarse si se sufriera un borrado de datos de la
empresa. Como alternativa a este suceso, el administracin de sistemas
confa en la recuperacin de datos con ayuda de un disco duro externo.
Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el
desarrollo del mercado, el administrador de sistemas justifica que cualquier
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO]
hecho que afecte a la continuidad del servicio ser resuelto por uno de los el
ingeniero que componen dicho departamento. Adems, en la entrevista se
deduce que no existe un documento que enumere los riesgos ocurridos con el
fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.
[Escriba texto]
Carta al Director
21 de junio de 2013
Auditora externa
Direccin de lazzzzzzzz
Estimado Director,
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisacin las medidas que se adoptaran para solucionar una posible
situacin comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Atentamente,
Los Auditores.