Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01 PDF

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
CONTENIDO
CAPTULO I: ........................................................................................................................................ 3
DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3
1.1. NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4
1.2. NATURALEZA DE LA EMPRESA ...................................................................................... 4
1.3. UBICACIN GEOGRFICA .............................................................................................. 4
1.4. VISIN ............................................................................................................................ 4
1.5. MISIN ........................................................................................................................... 4
1.6. VALORES ........................................................................................................................ 4
1.7. ORGANIGRAMA DE LA EMPRESA .................................................................................. 5
CAPTULO II: ....................................................................................................................................... 6
MARCO TERICO................................................................................................................................ 6
2.1. Seguridad Fsica .............................................................................................................. 7
2.2. Amenazas previstas en Seguridad Fsica ........................................................................ 7
2.3. Desastre ......................................................................................................................... 8
2.4. Vulnerabilidad ................................................................................................................ 8
2.4.1. Vulnerabilidad Fsica .................................................................................................. 8
2.5. Peligro ............................................................................................................................ 9
2.6. Mitigar .......................................................................................................................... 10
2.7. Riesgo ........................................................................................................................... 11
2.8. Estructura General ISO/IEC 27002:2005: ..................................................................... 11
2.9. Descripcin de los Dominios y sus Objetivos ............................................................... 11
2.10. Seguridad Fsica y del Entorno o Ambiente ............................................................. 14
2.10.1. reas Seguras ........................................................................................................... 14
2.10.1.1. Permetro de Seguridad Fsica ............................................................................. 14
2.10.1.2. Controles de Ingreso Fsico .................................................................................. 14
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14
2.10.1.4. Proteccin contra Amenazas Externas e Internas ............................................... 14
2.10.1.5. Trabajo en reas Aseguradas ............................................................................... 15
2.10.1.6. reas de Acceso Pblico, Entrega y Carga ........................................................... 15
2.10.2. Equipo de Seguridad ................................................................................................ 15
2.10.2.1. Ubicacin y Proteccin del equipo ....................................................................... 15
2.10.2.2. Servicios Pblicos de Soporte .............................................................................. 15
1
2.10.2.3. Seguridad del Cableado ....................................................................................... 15

2.10.2.4. Mantenimiento de Equipo ................................................................................... 15
2.10.2.5. Seguridad del Equipo fuera del Local ................................................................... 16
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo ................................................ 16
2.10.2.7. Retiro de Propiedad ............................................................................................. 16
CAPTULO III ..................................................................................................................................... 17
DESCRIPCIN DE LA AUDITORIA ...................................................................................................... 17
3.1. Objetivos de la Auditoria.................................................................................................. 18
3.1.1. Objetivo General ...................................................................................................... 18
3.1.2. Objetivos Especficos................................................................................................ 18
3.2. Tcnicas para reunir Evidencias de la Auditora .............................................................. 18
3.2.1. Entrevista ................................................................................................................. 18
3.2.2. Observacin ............................................................................................................. 18
3.3. Informe de la Auditora .................................................................................................... 22
3.3.1. Alcance de la Auditora ............................................................................................ 22
3.3.2. Cliente: ..................................................................................................................... 22
3.3.3. Lder del Equipo........................................................................................................ 23
3.3.4. Actividades Realizadas ............................................................................................. 23
3.3.5. Criterios de la Auditoria ........................................................................................... 23
3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 ............................................. 23
3.3.6.1. Mediante la entrevista: ........................................................................................ 24
3.3.6.2. Mediante la Observacin utilizando la lista de verificacin: ............................... 24
3.3.7. Conclusiones de la Auditora .................................................................................... 27
ANEXOS ............................................................................................................................................ 29
ANEXO N1: ENTREVISTA ............................................................................................................. 30
ENTREVISTA CON LA DIRECCIN ...................................................................................................... 31
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI .................................. 32
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS ....................... 33
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35
ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37
Carta al Director ............................................................................................................................... 38
2
[Escriba texto]
CAPTULO I:
DESCRIPCIN DE LA ORGANIZACIN
1.1. NOMBRE DE LA EMPRESA: zzzzzz"
1.2. NATURALEZA DE LA EMPRESA

Somos una institucin lder en el sistema privado de salud, brindamos servicios
de salud confiable y segura a todo el centro del pas, orientndonos
permanentemente hacia la excelencia con tecnologa de vanguardia para el
diagnstico y tratamiento de todas las enfermedades, alto nivel profesional
1.3. UBICACIN GEOGRFICA
1.4. VISIN
Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las
necesidades del usuario y brindndoles personal altamente capacitado,
motivado y apoyado en tecnologa de punta".
1.5. MISIN
Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;
bajo los soportes de un excelente equipo humano, tecnologa e infraestructura
moderna
1.6. VALORES
Honestidad y lealtad
Comunicacin
Excelencia enfocada en el paciente
Trabajo en equipo
Liderazgo
4
1.7. ORGANIGRAMA DE LA EMPRESA
5
[Escriba texto]
CAPTULO II:
MARCO TERICO
2.1. Seguridad Fsica

Es muy importante ser consciente que por ms que la empresa sea la ms segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);
la seguridad de la misma ser nula si no se ha previsto como combatir un incendio
o cualquier otro tipo de desastre natural y no tener presente polticas claras de
recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un

sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar
en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup
de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y

procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2. Amenazas previstas en Seguridad Fsica

Desastres naturales, incendios accidentales, tormentas e inundaciones
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
7
2.3. Desastre
Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnolgico).
2.4. Vulnerabilidad
Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y
otros.
2.4.1. Vulnerabilidad Fsica

Est relacionada con la calidad o tipo de material utilizado y el tipo de
construccin de las viviendas, establecimientos econmicos (comerciales e
industriales) y de servicios (salud, educacin, sede de instituciones
pblicas), e infraestructura socioeconmica (central hidroelctrica,
carretera, puente y canales de riego), para asimilar los efectos del peligro.
La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o

conjunto de elementos frente a la ocurrencia de un peligro natural o
antrpico de una magnitud dada. Es la facilidad como un elemento
(infraestructura, vivienda, actividades productivas, grado de organizacin,
sistemas de alerta y desarrollo poltico institucional, entre otros), pueda
sufrir daos humanos y materiales. Se expresa en trminos de
probabilidad, en porcentaje de 0 a 100.
La vulnerabilidad, es entonces una condicin previa que se manifiesta

durante el desastre, cuando no se ha invertido lo suficiente en obras o
acciones de prevencin y mitigacin y se ha aceptado un nivel de riesgo
demasiado alto.
Para su anlisis, la vulnerabilidad debe promover la identificacin y

caracterizacin de los elementos que se encuentran expuestos, en una
determinada rea geogrfica, a los efectos desfavorables de un peligro
adverso
8
CUADRO N 1: VULNERABILIDAD FSICA
CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD
2.5. Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa.
9
GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS
CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD
2.6. Mitigar
Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,
la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes
materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos
10
2.7. Riesgo
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa
2.8. Estructura General ISO/IEC 27002:2005:

Dominios : 11
Objetivos de Control : 39
Controles : 133
2.9. Descripcin de los Dominios y sus Objetivos

Polticas de Seguridad
Proporcionar a la gerencia la direccin y soporte para la seguridad de
la informacin en concordancia con los requerimientos comerciales y
las leyes y regulaciones relevantes.
Aspectos Organizativos de la Seguridad de la Informacin
Manejar la seguridad de la informacin dentro de la organizacin.
Gestin de Activos
Lograr y mantener una apropiada proteccin de los activos
organizacionales
Seguridad Ligada a los Recursos Humanos
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
Asegurar que los usuarios empleados, contratistas y terceras personas
estn al tanto de las amenazas e inquietudes de la seguridad de la
informacin, sus responsabilidades y obligaciones, y estn equipadas
para apoyar la poltica de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.
11
Asegurar que los usuarios empleados, contratistas y terceras personas

salgan de la organizacin o cambien de empleo de una manera
ordenada.
Seguridad Fsica y del Entorno o Ambiente
Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
Gestin de Comunicaciones y Operaciones
Asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
Implementar y mantener el nivel apropiado de seguridad de la
informacin y la entrega del servicio en lnea con los acuerdos de
entrega de servicios de terceros.
Minimizar el riesgo de fallas en el sistema.
Proteger la integridad del software y la integracin
Mantener la integridad y disponibilidad de la informacin y los
medios de procesamiento de informacin
Asegurar la proteccin de la informacin en redes y la proteccin de
la infraestructura de soporte.
Evitar la divulgacin no-autorizada; modificacin, eliminacin o
destruccin de activos; y la interrupcin de las actividades comerciales
Mantener la seguridad en el intercambio de informacin y software
dentro de la organizacin y con cualquier otra entidad externa
Asegurar la seguridad de los servicios de comercio electrnico y su uso
seguro.
Detectar las actividades de procesamiento de informacin no
autorizadas
Control de Acceso
Controlar el acceso a la informacin
Asegurar el acceso del usuario autorizado y evitar el acceso no
autorizado a los sistemas de informacin
12
Evitar el acceso de usuarios no-autorizados, evitar poner en peligro

la informacin y evitar el robo de informacin y los medios de
procesamiento de la informacin.
Evitar el acceso no autorizado a los servicios de la red
Evitar el acceso no autorizado a los sistemas operativos.
Asegurar la seguridad de la informacin cuando se utiliza medios
de computacin y tele-trabajo mviles
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Garantizar que la seguridad sea una parte integral de los sistemas
de informacin.
Prevenir errores, prdida, modificacin no autorizada o mal uso de
la informacin en las aplicaciones
Proteger la confidencialidad, autenticidad o integridad a travs de
medios criptogrficos
Garantizar la seguridad de los archivos del sistema
Mantener la seguridad del software y la informacin del sistema de
aplicacin
Reducir los riesgos resultantes de la explotacin de las
vulnerabilidades tcnicas publicadas
Gestin de Incidentes en la Seguridad de la Informacin
Asegurar que los eventos y debilidades de la seguridad de la
informacin asociados con los sistemas de informacin sean
comunicados de una manera que permita que se realice una accin
correctiva oportuna.
Asegurar que se aplique un enfoque consistente y efectivo a la
gestin de los incidentes en la seguridad de la informacin
Gestin de la Continuidad del Negocio
Contraatacar las interrupciones a las actividades comerciales y
proteger los procesos comerciales crticos de los efectos de fallas
importantes o desastres en los sistemas de informacin y asegurar
su reanudacin oportuna.
13
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las polticas y
estndares de seguridad organizacional.
Maximizar la efectividad de recuraos informticos y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de
informacin.
2.10. Seguridad Fsica y del Entorno o Ambiente
2.10.1. reas Seguras

Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
2.10.1.1. Permetro de Seguridad Fsica

Control 1: Se deben utilizar permetros de seguridad (barreras tales como
paredes, rejas de entrada controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y medios de procesamiento
de informacin.
2.10.1.2. Controles de Ingreso Fsico

Control 2: Las reas seguras son protegidas mediante controles de ingreso
apropiados para asegurar que slo se le permita el acceso al personal
autorizado.
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios

Control 3: Se disea y aplica la seguridad fsica para las oficinas,
habitaciones y medios.
2.10.1.4. Proteccin contra Amenazas Externas e Internas

Control 4: Se asigna y aplica proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
14
2.10.1.5. Trabajo en reas Aseguradas

Control 5: Se disea y aplica la proteccin fsica y los lineamientos para
trabajar en reas aseguradas.
2.10.1.6. reas de Acceso Pblico, Entrega y Carga

Control 6: Se controlar los puntos de acceso como las reas de entrega y
carga y otros puntos por donde personas no-autorizadas puedan ingresar
al local y, se asla de los medios de procesamiento de informacin para
evitar el acceso no autorizado.
2.10.2. Equipo de Seguridad

Se evita prdida, dao, robo o compromiso de los activos y la interrupcin
de las actividades de la organizacin.
2.10.2.1. Ubicacin y Proteccin del equipo

Control 7: Se ubica o protege el equipo para reducir las amenazas y
peligros ambientales y oportunidades para acceso no autorizado.
2.10.2.2. Servicios Pblicos de Soporte

Control 8: Se protege el equipo de fallas de energa y otras interrupciones
causadas por fallas en los servicios pblicos de soporte.
Las opciones para lograr la continuidad de los suministros de energa

incluyen mltiples alimentaciones para evitar que una falla en el
suministro de energa
2.10.2.3. Seguridad del Cableado

Control 9: El cableado de la energa y las telecomunicaciones que llevan la
data o dan soporte a los servicios de informacin debieran protegerse
contra la intercepcin o dao.
2.10.2.4. Mantenimiento de Equipo

Control 10: Se debiera mantener correctamente el equipo para asegurar
su continua disponibilidad e integridad.
15
2.10.2.5. Seguridad del Equipo fuera del Local

Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando
en cuenta los diferentes riesgos de trabajar fuera del local de la
organizacin.
El equipo de almacenamiento y procesamiento de la informacin incluye

todas las formas de computadoras personales, organizadores, telfonos
mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar
desde casa o se transporte fuera de local normal de trabajo.
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo

Control 12: Se debieran chequear los tems del equipo que contiene
medios de almacenaje para asegurar que se haya retirado o sobre-escrito
cualquier data confidencial o licencia de software antes de su eliminacin.
Los dispositivos que contienen data confidencial pueden requerir una

evaluacin del riesgo para determinar si los tems debieran ser fsicamente
destruidos en lugar de enviarlos a reparar o descartar.
2.10.2.7. Retiro de Propiedad

Control 13: El equipo, informacin o software no debiera retirarse sin
autorizacin previa.
Tambin se pueden realizar chequeos inesperados para detectar el

retiro de propiedad, dispositivos de grabacin no-autorizados, armas,
etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser
llevados a cabo en concordancia con la legislacin y regulaciones
relevantes. Las personas debieran saber que se llevan a cabo chequeos
inesperados, y los chequeos se debieran realizar con la debida autorizacin
de los requerimientos legales y reguladores.
16
[Escriba texto]
CAPTULO III
DESCRIPCIN DE LA AUDITORIA
3.1. Objetivos de la Auditoria
3.1.1. Objetivo General

Verificar la Suficiencia y cumplimiento de todos los parmetros de
seguridad tanto fsica como ambiental segn ISO/IEC 27002:2005 con el
tem de Seguridad Fsica y Ambiental.
3.1.2. Objetivos Especficos

Realizar una entrevista con la mayor autoridad para solicitar la
autorizacin del desarrollo de la Auditoria.
Realizar una visita a la empresa para revisar su infraestructura.
Revisin mediante la observacin directa del auditor.
Evaluar la infraestructura en pro de la seguridad empresarial.
Realizacin de listas de verificacin para evaluar el desempeo de la
empresa en seguridad de la informacin.
Realizar las debidas recomendaciones para realizar el mejoramiento de
la seguridad de la compaa.
3.2. Tcnicas para reunir Evidencias de la Auditora
3.2.1. Entrevista
Vase en el Anexo N 1
3.2.2. Observacin
Para ello el equipo de trabajo manejo una lista de Verificacin con las
caractersticas con la que debera contar la institucin para poder cumplir
la ISO/IEC 27002:2005.
18
Control 1:
No Cumple
Anexo N
Cumple
tem a Evaluar
Permetros de seguridad debieran estar claramente

definidos (de acuerdo a los riesgos que los activos
tengan)
Las paredes externas del local son una construccin
slida y todas las puertas externas estn
adecuadamente protegidas contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando
estn desatendidas y se debiera considerar una
proteccin externa para las ventas, particularmente en
el primer piso
Cuentan con un rea de recepcin con un(a)
recepcionista u otros medios para controlar el acceso
fsico al local o edificio; el acceso a los locales y edificios
estn restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras fsicas
para prevenir el acceso fsico no autorizado y la
contaminacin ambiental
Todas las puertas de emergencia en un permetro de
seguridad cuentan con alarma en concordancia con los
adecuados estndares regionales, nacionales e
internacionales
Operar en concordancia con el cdigo contra-incendios
local de una manera totalmente segura
Existen sistemas de deteccin de intrusos segn
estndares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
reas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cmputo o cuarto
de comunicaciones
Los medios de procesamiento de informacin
manejados por la organizacin estn fsicamente
separados de aquellas manejadas por terceros
19
Control 2
No Cumple
Anexo N
Cumple
tem a Evaluar
Llevar un registro de la fecha y la hora de entrada y salida

de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido
previamente aprobado
El acceso a reas donde se procesa o almacena
informacin sensible se controla y restringe slo a
personas autorizadas; utilizando controles de
autenticacin
Los derechos de acceso a reas seguras son revisados y
actualizados regularmente, y revocados cuando sea
necesario
Al personal de servicio de apoyo de terceros se le otorga
acceso restringido a las reas seguras o los medios de
procesamiento de informacin confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
Control 3 No Cumple
Anexo N
Cumple
tem a Evaluar
Se tiene en cuenta los estndares y regulaciones de

sanidad y seguridad relevantes
Se debieran localizar los medios claves para evitar el

acceso del pblico
Los directorios y telfonos internos que identifiquen la

ubicacin de los medios de procesamiento de la
informacin no estn accesibles al pblico
20
Control 4
No Cumple
Anexo N
Cumple
tem a Evaluar
Slo el personal de mantenimiento autorizado llevara a

cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organizacin; cuando sea
necesario, se revisa la informacin confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las
plizas de seguros
Control 5
No Cumple
tem a Evaluar Anexo N
Cumple
El equipo y medios sacados del local nunca son dejados

desatendidos en lugares pblicos
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
proteccin contra la exposicin a fuertes campos
electromagnticos
Se determinan controles para el trabajo en casa a travs
de una evaluacin del riesgo y los controles apropiados
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local
21
Control 6
No Cumple
Anexo N
Cumple
tem a Evaluar
Los dispositivos que contienen informacin confidencial

son fsicamente destruidos o se destruye, borra o sobre-
escribe la informacin utilizando tcnicas que hagan
imposible recuperar la informacin original, en lugar de
simplemente utilizar la funcin estndar de borrar o
formatear
Control 7
No Cumple
Anexo N
Cumple
tem a Evaluar
No se retira equipo, informacin o software sin

autorizacin previa
Los usuarios empleados, contratistas y terceras
personas que tienen la autoridad para permitir el
retiro de los activos fuera del local estn claramente
identificados
Se establecen lmites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolucin
Cuando sea necesario y apropiado, el equipo es
registrado como retirado del local y se registra su
retorno
3.3. Informe de la Auditora
3.3.1. Alcance de la Auditora

Todas las oficinas del ambiente de la ZZZ
3.3.2. Cliente:
Director..
22
3.3.3. Lder del Equipo
3.3.4. Actividades Realizadas

Actividad Fecha
Realizar una entrevista con la mayor autoridad 13/06/2013
para solicitar la autorizacin del desarrollo de la
Auditoria.
Realizar una visita a la empresa para revisar su 13/06/2013
infraestructura. Revisin mediante la observacin
directa del auditor
Evaluar la infraestructura en pro de la seguridad 13/06/2013
empresarial
Realizacin de listas de verificacin para evaluar el 13/06/2013
desempeo de la empresa en seguridad de la
informacin
Realizar las debidas recomendaciones para realizar 21/06/2013
el mejoramiento de la seguridad de la compaa
3.3.5. Criterios de la Auditoria

- Compromiso de la alta gerencia.
- Control de acceso. En una infraestructura de este tipo siempre
tenemos que tener el control del tiempo para accesos restringidos.
- Pruebas de mecanismos de deteccin y alarma.
- Extintores, la sala de contraincendios, los sensores de humedad, de
temperatura, de deteccin de humo y de movimiento.
- Acceso de mercancas y personal de proveedores.
- Ausencia de seguridad perimetral o seguridad perimetral insuficiente.
- Gestin de energa. En estos centros se consume grandes cantidades
de energa, y por tanto, requiere de medidas especiales para asegurar
que el flujo energtico est garantizado ante cualquier tipo de
incidente, y que en el peor de los casos, el suministro pueda ser
establecido por medios alternativos.
3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005

Utilizando el ISO ya nombrado se utiliz una lista de verificacin donde se
encontraban las caractersticas de los controles para as determinar que
insuficiencias tena la organizacin.
23
3.3.6.1. Mediante la entrevista:

Como se observa en al Anexo N 1, existe una dejadez de parte
de la alta gerencia en poder implantar una mayor seguridad en
su institucin, teniendo como su mxima barrera la economa,
pero esto a la larga le generar una mayor perdida. Esto se
observa tambin cuando no existen documentos administrativos
como el Plan Operativo Institucional, Plan estratgico
Institucional, Plan de Contingencia, Plan de Continuidad de la
Organizacin, entre otros.
3.3.6.2. Mediante la Observacin utilizando la lista de verificacin:
Control 1:
No Cumple
Anexo N
Cumple
tem a Evaluado
Permetros de seguridad debieran estar claramente 2

definidos (de acuerdo a los riesgos que los activos .
tengan)
Las paredes externas del local son una construccin 3
slida y todas las puertas externas estn .
adecuadamente protegidas contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando 3
estn desatendidas y se debiera considerar una .
proteccin externa para las ventas, particularmente en
el primer piso
Cuentan con un rea de recepcin con un(a) 4
recepcionista u otros medios para controlar el acceso .
fsico al local o edificio; el acceso a los locales y edificios
estn restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras fsicas 5
para prevenir el acceso fsico no autorizado y la .
contaminacin ambiental
Todas las puertas de emergencia en un permetro de 6,
seguridad cuentan con alarma en concordancia con los . 29
adecuados estndares regionales, nacionales e
internacionales
Operar en concordancia con el cdigo contra-incendios 7,
local de una manera totalmente segura . 10
24
Existen sistemas de deteccin de intrusos segn 8

estndares y son probados regularmente para abarcar .
todas las puertas externas y ventanas accesibles; las
reas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cmputo o cuarto
de comunicaciones
Los medios de procesamiento de informacin 9
manejados por la organizacin estn fsicamente .
separados de aquellas manejadas por terceros
Control 2
No Cumple
Anexo N
Cumple
tem a Evaluar
Llevar un registro de la fecha y la hora de entrada y salida 4

de los visitantes, y todos los visitantes debieran ser .
supervisados a no ser que su acceso haya sido
previamente aprobado
El acceso a reas donde se procesa o almacena 11
informacin sensible se controla y restringe slo a .
personas autorizadas; utilizando controles de
autenticacin
Los derechos de acceso a reas seguras son revisados y 13
actualizados regularmente, y revocados cuando sea .
necesario
Al personal de servicio de apoyo de terceros se le otorga 12
acceso restringido a las reas seguras o los medios de .
procesamiento de informacin confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
Control 3
No Cumple
Anexo N
Cumple
tem a Evaluar
Se tiene en cuenta los estndares y regulaciones de 14,

sanidad y seguridad relevantes . 17
Se debieran localizar los medios claves para evitar el 15,

acceso del pblico . 16
25
Los directorios y telfonos internos que identifiquen la 18

ubicacin de los medios de procesamiento de la .
informacin no estn accesibles al pblico
Control 4
No Cumple
Anexo N
Cumple
tem a Evaluar
Slo el personal de mantenimiento autorizado llevara a 19

cabo las reparaciones y dar servicio al equipo .
Mantienen registros de todas las fallas sospechadas y 20,
reales, y todo mantenimiento preventivo y correctivo . 21
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en .
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organizacin; cuando sea
necesario, se revisa la informacin confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las 22
plizas de seguros .
Control 5
No Cumple
Anexo N
tem a Evaluar
Cumple
El equipo y medios sacados del local nunca son dejados 19

desatendidos en lugares pblicos .
Se observa en todo momento las instrucciones de los 23
fabricantes para proteger el equipo; por ejemplo, .
proteccin contra la exposicin a fuertes campos
electromagnticos
Se determinan controles para el trabajo en casa a travs 24
de una evaluacin del riesgo y los controles apropiados .
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el 25
equipo fuera del local .
26
Control 6
No Cumple
Anexo N
Cumple
tem a Evaluar
Los dispositivos que contienen informacin confidencial 26

son fsicamente destruidos o se destruye, borra o sobre- .
escribe la informacin utilizando tcnicas que hagan
imposible recuperar la informacin original, en lugar de
simplemente utilizar la funcin estndar de borrar o
formatear
Control 7
No Cumple
Anexo N
Cumple
tem a Evaluar
No se retira equipo, informacin o software sin 12

autorizacin previa .
Los usuarios empleados, contratistas y terceras 27
personas que tienen la autoridad para permitir el .
retiro de los activos fuera del local estn claramente
identificados
Se establecen lmites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolucin .
Cuando sea necesario y apropiado, el equipo es 28
registrado como retirado del local y se registra su .
retorno
3.3.7. Conclusiones de la Auditora

La auditora Fsica tiene como objetivo establecer cules son los puntos de
quiebre que la institucin debe cumplir para poder garantizar la seguridad
fsica y Ambiental de la institucin.
Vase Anexo N 29, donde se dan las recomendaciones y hallazgos

encontrados en su institucin.
27
Para lo cual se le recomienda:
Invertir en la seguridad Fsica y Ambiental, porque a la larga la

institucin se estara ahorrando muchas prdidas econmicas
como humanas dentro de los activos de la empresa. Para poder
eliminar as las vulnerabilidades y riesgos que tengan nuestros
activos ante cualquier evento Fsico y Ambiental.
Los medios de procesamiento de informacin crtica o confidencial
debieran ubicarse en reas seguras, protegidas por los permetros
de seguridad definidos, con las barreras de seguridad y controles
de entrada apropiados. Debieran estar fsicamente protegidos del
acceso no autorizado, dao e interferencia
Se debe proteger el equipo de amenazas fsicas y ambientales.
La proteccin del equipo (incluyendo aquel utilizado fuera del local
y la eliminacin de propiedad) es necesaria para reducir el riesgo
de acceso no-autorizado a la informacin y proteger contra prdida
o dao. Esto tambin se considera la ubicacin y eliminacin del
equipo.
Se requieren controles especiales para proteger el equipo contra
amenazas fsicas, y salvaguardar los medios de soporte como el
suministro elctrico y la infraestructura del cableado
28
[Escriba texto]
ANEXOS
[Escriba texto]
ANEXO N1: ENTREVISTA

ENTORNO]
ENTREVISTA CON LA DIRECCIN
Objetivo:
Conocer el plan estratgico de la organizacin y el grado de compromiso de la
direccin con la utilizacin de nuevas tecnologas.
Fragmentos de la entrevista:
Auditor Cree que la tecnologa puede serle til para alcanzar sus objetivos?
S, por eso tenemos contratado un ingeniero de sistemas que se encargan
Director de que la tecnologa est siempre a punto.
Tienen prevista alguna inversin en tecnologa para mejorar sus procesos o

Auditor
la calidad de los servicios que ofrecen?
El ingeniero quiere que encarguemos el desarrollo de una pgina Web y de
Director un sistema que automatice todos nuestros procesos, pero eso supone una
inversin que no tenemos previsto afrontar.
Dan libertad al departamento de informtica para comprar el software o el
Auditor
hardware que crean conveniente?
La oficina de informtica antes de hacer cualquier compra lo comunican a la
Director
direccin para que demos el visto bueno y el presupuesto. Si nosotros
vemos que necesitamos algo que tenga que ver con la informtica, se lo
comentamos al departamento de informtica.
Sntesis de la entrevista:
La direccin cree que la tecnologa les puede ser til, pero no quieren afrontar
ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del
ingeniero.
La direccin no da libertad al departamento de informtica para que compre lo
que crea necesario. Cualquier compra debe ser aprobada por la direccin y
presupuestada.
ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI
Objetivo:
Conocer los planes a corto y largo plazo en cuanto a tecnologas de la
informacin y los planes de infraestructura tecnolgica.
Auditor Cmo valora sus sistemas de informacin actuales?, est contento

con ellos?
Todos nuestros sistemas no son muy potentes. Pero, con ellos
Director de
Informtica estamos contentos porque estamos obteniendo resultados positivos.
Auditor Tienen algn plan de tecnologa para el futuro?
Nuestro objetivo es que todo se haga automticamente, desde que un
Director de
cliente hace una cita hasta que este sea atendido oportunamente.
Informtica
Tambin creemos necesario una pgina Web que tenga un diseo
Auditor Qu opinapara
agradable la direccin de esa futura inversin?
los clientes.
La direccin est contenta porque las cosas estn funcionando bien,
Director de
as que no quieren invertir en sistemas de informacin. Pero yo creo
Informtica
que esa inversin va a ser necesaria a futuro si queremos seguir en el
mercado.
A pesar de no tener redactado un plan de sistemas de informacin, el

entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar
sus sistemas de informacin para seguir siendo competitivos y alcanzar una cuota
de mercado mayor. La idea del director de informtica es:
Tener una pgina Web que tenga un diseo agradable y que cumpla con
los estndares de usabilidad.
Disponer de unos sistemas de informacin que automaticen todos sus
procesos.
El entrevistado ha expresado que el desarrollo de los nuevos sistemas de

informacin a cargo de una empresa externa supone una inversin importante y
que la direccin no quiere asumir el costo de dicha inversin ni a corto ni a medio
plazo.
ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS
Objetivo:
Conocer las polticas y procedimientos relacionados con la evaluacin de
riesgos. Conocer los seguros que cubren los riesgos.
Tienen un documento de gestin de riesgos o algn proceso

Auditor
establecido para gestionarlos?
Director de Los riesgos no estn especificados en ningn sitio, pero este plan
Informtica de riesgos se est elaborando para evitar futuras perdidas de
informacin.
Qu ocurrira si ahora mismo si se diera alguno de los riesgos?
Auditor Cmo reaccionara?
Intentaramos valorar el alcance de la situacin y estudiar la mejor
Director de manera de solucionarlo pero ya que no contamos con un plan de
Informtica riesgos y tendramos que requerir de una persona externa para
solucionar el problema claro est de que dicha persona tendra que
Han contratado algn seguro para proteger los sistemas ante
Auditor ser especialista en riesgos informticos.
posibles prdidas causadas por robos o desastres naturales?
No contamos con ningn seguro pero se ve que sera necesario ya que
Director de contamos con sistemas especiales que estn valorizados en un
Informtica presupuesto alto as que no es una opcin perderlos sea cual sea la
Sntesis situacin.
de la entrevista:
No hay ningn documento sobre gestin de riesgos, pero el director del
departamento de informtica tiene claros cules son los principales riesgos a
los que estn expuestos.
El principal riesgo identificado es la cada del servidor. Si el servidor falla, se
podra perder informacin valiosa. Para intentar disminuir la probabilidad del
riesgo, cuenta con copias de seguridad alojadas en un disco duro.
Otro riesgo identificado es la prdida de los datos del servidor. Los datos del
servidor se pueden perder debido a que algn empleado de la empresa o alguien
ajeno a la misma los borre o debido a que se estropee el soporte en el que se
almacenan. Para evitarlo, el administrador hace copias de seguridad de los
datos a menudo. Dichas copias se almacenan en un disco duro externo.
Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si
alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa
ENTORNO]
quedara bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.
La habitacin del servidor no dispone de cerradura.
No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a
sistemas de informacin. El entrevistado no lo considera necesario.
ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE

SISTEMAS
Objetivo:
Conocer el plan de continuidad de la empresa respecto a los
servicios informticos.
Qu ocurrira si en un momento determinado se cayera o

Auditor
deteriorar el servidor?
Sera un problema grande ya que en la clnica solo contamos con un
Administrad servidor, pero tal vez la ventaja es que contamos con una copia de
or respaldo que se realiza semanal en un disco duro aunque claro de
todas maneras
Respecto habra perdida de
al almacenamiento de datos,
informacin pero
existe no salvado
algn seria tande los
Auditor abrumador . la empresa?
datos que tiene
Administrad Si, se realizan copias de seguridad, almacenando la informacin que
or tiene el sistema en un disco duro externo.
En caso de ocurrir algn problema en el servicio tcnico, se
Auditor
resolvera con facilidad?
Administrad Efectivamente, el departamento de informtica est formado por un
or ingeniero capacitados para ello.
De la entrevista realizada al administrador de sistemas se puede concluir que
no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad
debido a que la empresa necesita continuidad en los servicios informticos,
puesto que en ellos se basa la productividad y la obtencin de beneficios.
Un riesgo importante que podra acechar a la continuidad del servicio es la
cada o deterioro del servidor.
La continuidad tambin podra daarse si se sufriera un borrado de datos de la
empresa. Como alternativa a este suceso, el administracin de sistemas
confa en la recuperacin de datos con ayuda de un disco duro externo.
Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el
desarrollo del mercado, el administrador de sistemas justifica que cualquier
ENTORNO]
hecho que afecte a la continuidad del servicio ser resuelto por uno de los el
ingeniero que componen dicho departamento. Adems, en la entrevista se
deduce que no existe un documento que enumere los riesgos ocurridos con el
fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.
[Escriba texto]
ANEXO 30: CARTA AL DIRECTOR

[Escriba texto]
Carta al Director
21 de junio de 2013
Auditora externa
Direccin de lazzzzzzzz
Estimado Director,
Tras la realizacin de la auditora a su empresa nos dirigimos a Ud. con el fin de

comunicarles los principales problemas encontrados.
El primer problema encontrado ha sido que no tienen un plan estratgico definido y,

por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisacin las medidas que se adoptaran para solucionar una posible
situacin comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un

incendio.
Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.
Atentamente,
Los Auditores.

Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01 PDF

Uploaded by

Copyright:

Available Formats

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

ENTORNO] 22 de junio de 2013

2.10.2.3. Seguridad del Cableado ....................................................................................... 15

1.1. NOMBRE DE LA EMPRESA: zzzzzz"

1.2. NATURALEZA DE LA EMPRESA

1.3. UBICACIN GEOGRFICA

1.7. ORGANIGRAMA DE LA EMPRESA

2.1. Seguridad Fsica

La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un

Teniendo las siguientes ventajas:

As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y

2.2. Amenazas previstas en Seguridad Fsica

2.4.1. Vulnerabilidad Fsica

La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o

La vulnerabilidad, es entonces una condicin previa que se manifiesta

Para su anlisis, la vulnerabilidad debe promover la identificacin y

CUADRO N 1: VULNERABILIDAD FSICA

CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD

GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS

CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD

2.8. Estructura General ISO/IEC 27002:2005:

2.9. Descripcin de los Dominios y sus Objetivos

Asegurar que los usuarios empleados, contratistas y terceras personas

Evitar el acceso de usuarios no-autorizados, evitar poner en peligro

2.10. Seguridad Fsica y del Entorno o Ambiente

2.10.1. reas Seguras

2.10.1.1. Permetro de Seguridad Fsica

2.10.1.2. Controles de Ingreso Fsico

2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios

2.10.1.4. Proteccin contra Amenazas Externas e Internas

2.10.1.5. Trabajo en reas Aseguradas

2.10.1.6. reas de Acceso Pblico, Entrega y Carga

2.10.2. Equipo de Seguridad

2.10.2.1. Ubicacin y Proteccin del equipo

2.10.2.2. Servicios Pblicos de Soporte

Las opciones para lograr la continuidad de los suministros de energa

2.10.2.3. Seguridad del Cableado

2.10.2.4. Mantenimiento de Equipo

2.10.2.5. Seguridad del Equipo fuera del Local

El equipo de almacenamiento y procesamiento de la informacin incluye

2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo

Los dispositivos que contienen data confidencial pueden requerir una

2.10.2.7. Retiro de Propiedad

Tambin se pueden realizar chequeos inesperados para detectar el

3.1. Objetivos de la Auditoria

3.1.1. Objetivo General

3.1.2. Objetivos Especficos

3.2. Tcnicas para reunir Evidencias de la Auditora

Permetros de seguridad debieran estar claramente

Llevar un registro de la fecha y la hora de entrada y salida

Se tiene en cuenta los estndares y regulaciones de

Se debieran localizar los medios claves para evitar el

Los directorios y telfonos internos que identifiquen la

Slo el personal de mantenimiento autorizado llevara a

El equipo y medios sacados del local nunca son dejados

Los dispositivos que contienen informacin confidencial

No se retira equipo, informacin o software sin

3.3. Informe de la Auditora

3.3.1. Alcance de la Auditora

3.3.3. Lder del Equipo

3.3.4. Actividades Realizadas

3.3.5. Criterios de la Auditoria

3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005