Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01
-
Upload
juan-david-orrego-pulido -
Category
Documents
-
view
5 -
download
0
description
Transcript of Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
1
CONTENIDO CAPTULO I: ........................................................................................................................................ 3
DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3
1.1. NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4
1.2. NATURALEZA DE LA EMPRESA ...................................................................................... 4
1.3. UBICACIN GEOGRFICA .............................................................................................. 4
1.4. VISIN ............................................................................................................................ 4
1.5. MISIN ........................................................................................................................... 4
1.6. VALORES ........................................................................................................................ 4
1.7. ORGANIGRAMA DE LA EMPRESA .................................................................................. 5
CAPTULO II: ....................................................................................................................................... 6
MARCO TERICO................................................................................................................................ 6
2.1. Seguridad Fsica .............................................................................................................. 7
2.2. Amenazas previstas en Seguridad Fsica ........................................................................ 7
2.3. Desastre ......................................................................................................................... 8
2.4. Vulnerabilidad ................................................................................................................ 8
2.4.1. Vulnerabilidad Fsica .................................................................................................. 8
2.5. Peligro ............................................................................................................................ 9
2.6. Mitigar .......................................................................................................................... 10
2.7. Riesgo ........................................................................................................................... 11
2.8. Estructura General ISO/IEC 27002:2005: ..................................................................... 11
2.9. Descripcin de los Dominios y sus Objetivos ............................................................... 11
2.10. Seguridad Fsica y del Entorno o Ambiente ............................................................. 14
2.10.1. reas Seguras ........................................................................................................... 14
2.10.1.1. Permetro de Seguridad Fsica ............................................................................. 14
2.10.1.2. Controles de Ingreso Fsico .................................................................................. 14
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14
2.10.1.4. Proteccin contra Amenazas Externas e Internas ............................................... 14
2.10.1.5. Trabajo en reas Aseguradas ............................................................................... 15
2.10.1.6. reas de Acceso Pblico, Entrega y Carga ........................................................... 15
2.10.2. Equipo de Seguridad ................................................................................................ 15
2.10.2.1. Ubicacin y Proteccin del equipo ....................................................................... 15
2.10.2.2. Servicios Pblicos de Soporte .............................................................................. 15
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
2
2.10.2.3. Seguridad del Cableado ....................................................................................... 15
2.10.2.4. Mantenimiento de Equipo ................................................................................... 15
2.10.2.5. Seguridad del Equipo fuera del Local ................................................................... 16
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo ................................................ 16
2.10.2.7. Retiro de Propiedad ............................................................................................. 16
CAPTULO III ..................................................................................................................................... 17
DESCRIPCIN DE LA AUDITORIA ...................................................................................................... 17
3.1. Objetivos de la Auditoria.................................................................................................. 18
3.1.1. Objetivo General ...................................................................................................... 18
3.1.2. Objetivos Especficos ................................................................................................ 18
3.2. Tcnicas para reunir Evidencias de la Auditora .............................................................. 18
3.2.1. Entrevista ................................................................................................................. 18
3.2.2. Observacin ............................................................................................................. 18
3.3. Informe de la Auditora .................................................................................................... 22
3.3.1. Alcance de la Auditora ............................................................................................ 22
3.3.2. Cliente: ..................................................................................................................... 22
3.3.3. Lder del Equipo........................................................................................................ 23
3.3.4. Actividades Realizadas ............................................................................................. 23
3.3.5. Criterios de la Auditoria ........................................................................................... 23
3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 ............................................. 23
3.3.6.1. Mediante la entrevista: ........................................................................................ 24
3.3.6.2. Mediante la Observacin utilizando la lista de verificacin: ............................... 24
3.3.7. Conclusiones de la Auditora .................................................................................... 27
ANEXOS ............................................................................................................................................ 29
ANEXO N1: ENTREVISTA ............................................................................................................. 30
ENTREVISTA CON LA DIRECCIN ...................................................................................................... 31
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI .................................. 32
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS ....................... 33
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35
ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37
Carta al Director ............................................................................................................................... 38
-
[Escriba texto]
CAPTULO I:
DESCRIPCIN DE LA ORGANIZACIN
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
4
1.1. NOMBRE DE LA EMPRESA: zzzzzz"
1.2. NATURALEZA DE LA EMPRESA
Somos una institucin lder en el sistema privado de salud, brindamos servicios
de salud confiable y segura a todo el centro del pas, orientndonos
permanentemente hacia la excelencia con tecnologa de vanguardia para el
diagnstico y tratamiento de todas las enfermedades, alto nivel profesional
1.3. UBICACIN GEOGRFICA
1.4. VISIN
Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las
necesidades del usuario y brindndoles personal altamente capacitado,
motivado y apoyado en tecnologa de punta".
1.5. MISIN
Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;
bajo los soportes de un excelente equipo humano, tecnologa e infraestructura
moderna
1.6. VALORES
Honestidad y lealtad
Comunicacin
Excelencia enfocada en el paciente
Trabajo en equipo
Liderazgo
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
5
1.7. ORGANIGRAMA DE LA EMPRESA
-
[Escriba texto]
CAPTULO II:
MARCO TERICO
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
7
2.1. Seguridad Fsica
Es muy importante ser consciente que por ms que la empresa sea la ms segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);
la seguridad de la misma ser nula si no se ha previsto como combatir un incendio
o cualquier otro tipo de desastre natural y no tener presente polticas claras de
recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un
sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar
en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup
de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2. Amenazas previstas en Seguridad Fsica
Desastres naturales, incendios accidentales, tormentas e inundaciones
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
8
2.3. Desastre
Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnolgico).
2.4. Vulnerabilidad
Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y
otros.
2.4.1. Vulnerabilidad Fsica
Est relacionada con la calidad o tipo de material utilizado y el tipo de
construccin de las viviendas, establecimientos econmicos (comerciales e
industriales) y de servicios (salud, educacin, sede de instituciones
pblicas), e infraestructura socioeconmica (central hidroelctrica,
carretera, puente y canales de riego), para asimilar los efectos del peligro.
La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o
conjunto de elementos frente a la ocurrencia de un peligro natural o
antrpico de una magnitud dada. Es la facilidad como un elemento
(infraestructura, vivienda, actividades productivas, grado de organizacin,
sistemas de alerta y desarrollo poltico institucional, entre otros), pueda
sufrir daos humanos y materiales. Se expresa en trminos de
probabilidad, en porcentaje de 0 a 100.
La vulnerabilidad, es entonces una condicin previa que se manifiesta
durante el desastre, cuando no se ha invertido lo suficiente en obras o
acciones de prevencin y mitigacin y se ha aceptado un nivel de riesgo
demasiado alto.
Para su anlisis, la vulnerabilidad debe promover la identificacin y
caracterizacin de los elementos que se encuentran expuestos, en una
determinada rea geogrfica, a los efectos desfavorables de un peligro
adverso
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
9
CUADRO N 1: VULNERABILIDAD FSICA
CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD
2.5. Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
10
GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS
CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD
2.6. Mitigar
Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,
la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes
materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
11
2.7. Riesgo
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa
2.8. Estructura General ISO/IEC 27002:2005:
Dominios : 11
Objetivos de Control : 39
Controles : 133
2.9. Descripcin de los Dominios y sus Objetivos
Polticas de Seguridad
Proporcionar a la gerencia la direccin y soporte para la seguridad de
la informacin en concordancia con los requerimientos comerciales y
las leyes y regulaciones relevantes.
Aspectos Organizativos de la Seguridad de la Informacin
Manejar la seguridad de la informacin dentro de la organizacin.
Gestin de Activos
Lograr y mantener una apropiada proteccin de los activos
organizacionales
Seguridad Ligada a los Recursos Humanos
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
Asegurar que los usuarios empleados, contratistas y terceras personas
estn al tanto de las amenazas e inquietudes de la seguridad de la
informacin, sus responsabilidades y obligaciones, y estn equipadas
para apoyar la poltica de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
12
Asegurar que los usuarios empleados, contratistas y terceras personas
salgan de la organizacin o cambien de empleo de una manera
ordenada.
Seguridad Fsica y del Entorno o Ambiente
Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
Gestin de Comunicaciones y Operaciones
Asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
Implementar y mantener el nivel apropiado de seguridad de la
informacin y la entrega del servicio en lnea con los acuerdos de
entrega de servicios de terceros.
Minimizar el riesgo de fallas en el sistema.
Proteger la integridad del software y la integracin
Mantener la integridad y disponibilidad de la informacin y los
medios de procesamiento de informacin
Asegurar la proteccin de la informacin en redes y la proteccin de
la infraestructura de soporte.
Evitar la divulgacin no-autorizada; modificacin, eliminacin o
destruccin de activos; y la interrupcin de las actividades comerciales
Mantener la seguridad en el intercambio de informacin y software
dentro de la organizacin y con cualquier otra entidad externa
Asegurar la seguridad de los servicios de comercio electrnico y su uso
seguro.
Detectar las actividades de procesamiento de informacin no
autorizadas
Control de Acceso
Controlar el acceso a la informacin
Asegurar el acceso del usuario autorizado y evitar el acceso no
autorizado a los sistemas de informacin
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
13
Evitar el acceso de usuarios no-autorizados, evitar poner en peligro
la informacin y evitar el robo de informacin y los medios de
procesamiento de la informacin.
Evitar el acceso no autorizado a los servicios de la red
Evitar el acceso no autorizado a los sistemas operativos.
Asegurar la seguridad de la informacin cuando se utiliza medios
de computacin y tele-trabajo mviles
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Garantizar que la seguridad sea una parte integral de los sistemas
de informacin.
Prevenir errores, prdida, modificacin no autorizada o mal uso de
la informacin en las aplicaciones
Proteger la confidencialidad, autenticidad o integridad a travs de
medios criptogrficos
Garantizar la seguridad de los archivos del sistema
Mantener la seguridad del software y la informacin del sistema de
aplicacin
Reducir los riesgos resultantes de la explotacin de las
vulnerabilidades tcnicas publicadas
Gestin de Incidentes en la Seguridad de la Informacin
Asegurar que los eventos y debilidades de la seguridad de la
informacin asociados con los sistemas de informacin sean
comunicados de una manera que permita que se realice una accin
correctiva oportuna.
Asegurar que se aplique un enfoque consistente y efectivo a la
gestin de los incidentes en la seguridad de la informacin
Gestin de la Continuidad del Negocio
Contraatacar las interrupciones a las actividades comerciales y
proteger los procesos comerciales crticos de los efectos de fallas
importantes o desastres en los sistemas de informacin y asegurar
su reanudacin oportuna.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
14
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las polticas y
estndares de seguridad organizacional.
Maximizar la efectividad de recuraos informticos y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de
informacin.
2.10. Seguridad Fsica y del Entorno o Ambiente
2.10.1. reas Seguras
Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
2.10.1.1. Permetro de Seguridad Fsica
Control 1: Se deben utilizar permetros de seguridad (barreras tales como
paredes, rejas de entrada controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y medios de procesamiento
de informacin.
2.10.1.2. Controles de Ingreso Fsico
Control 2: Las reas seguras son protegidas mediante controles de ingreso
apropiados para asegurar que slo se le permita el acceso al personal
autorizado.
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios
Control 3: Se disea y aplica la seguridad fsica para las oficinas,
habitaciones y medios.
2.10.1.4. Proteccin contra Amenazas Externas e Internas
Control 4: Se asigna y aplica proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
15
2.10.1.5. Trabajo en reas Aseguradas
Control 5: Se disea y aplica la proteccin fsica y los lineamientos para
trabajar en reas aseguradas.
2.10.1.6. reas de Acceso Pblico, Entrega y Carga
Control 6: Se controlar los puntos de acceso como las reas de entrega y
carga y otros puntos por donde personas no-autorizadas puedan ingresar
al local y, se asla de los medios de procesamiento de informacin para
evitar el acceso no autorizado.
2.10.2. Equipo de Seguridad
Se evita prdida, dao, robo o compromiso de los activos y la interrupcin
de las actividades de la organizacin.
2.10.2.1. Ubicacin y Proteccin del equipo
Control 7: Se ubica o protege el equipo para reducir las amenazas y
peligros ambientales y oportunidades para acceso no autorizado.
2.10.2.2. Servicios Pblicos de Soporte
Control 8: Se protege el equipo de fallas de energa y otras interrupciones
causadas por fallas en los servicios pblicos de soporte.
Las opciones para lograr la continuidad de los suministros de energa
incluyen mltiples alimentaciones para evitar que una falla en el
suministro de energa
2.10.2.3. Seguridad del Cableado
Control 9: El cableado de la energa y las telecomunicaciones que llevan la
data o dan soporte a los servicios de informacin debieran protegerse
contra la intercepcin o dao.
2.10.2.4. Mantenimiento de Equipo
Control 10: Se debiera mantener correctamente el equipo para asegurar
su continua disponibilidad e integridad.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
16
2.10.2.5. Seguridad del Equipo fuera del Local
Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando
en cuenta los diferentes riesgos de trabajar fuera del local de la
organizacin.
El equipo de almacenamiento y procesamiento de la informacin incluye
todas las formas de computadoras personales, organizadores, telfonos
mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar
desde casa o se transporte fuera de local normal de trabajo.
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo
Control 12: Se debieran chequear los tems del equipo que contiene
medios de almacenaje para asegurar que se haya retirado o sobre-escrito
cualquier data confidencial o licencia de software antes de su eliminacin.
Los dispositivos que contienen data confidencial pueden requerir una
evaluacin del riesgo para determinar si los tems debieran ser fsicamente
destruidos en lugar de enviarlos a reparar o descartar.
2.10.2.7. Retiro de Propiedad
Control 13: El equipo, informacin o software no debiera retirarse sin
autorizacin previa.
Tambin se pueden realizar chequeos inesperados para detectar el
retiro de propiedad, dispositivos de grabacin no-autorizados, armas,
etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser
llevados a cabo en concordancia con la legislacin y regulaciones
relevantes. Las personas debieran saber que se llevan a cabo chequeos
inesperados, y los chequeos se debieran realizar con la debida autorizacin
de los requerimientos legales y reguladores.
-
[Escriba texto]
CAPTULO III
DESCRIPCIN DE LA AUDITORIA
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
18
3.1. Objetivos de la Auditoria
3.1.1. Objetivo General
Verificar la Suficiencia y cumplimiento de todos los parmetros de
seguridad tanto fsica como ambiental segn ISO/IEC 27002:2005 con el
tem de Seguridad Fsica y Ambiental.
3.1.2. Objetivos Especficos
Realizar una entrevista con la mayor autoridad para solicitar la
autorizacin del desarrollo de la Auditoria.
Realizar una visita a la empresa para revisar su infraestructura.
Revisin mediante la observacin directa del auditor.
Evaluar la infraestructura en pro de la seguridad empresarial.
Realizacin de listas de verificacin para evaluar el desempeo de la
empresa en seguridad de la informacin.
Realizar las debidas recomendaciones para realizar el mejoramiento de
la seguridad de la compaa.
3.2. Tcnicas para reunir Evidencias de la Auditora
3.2.1. Entrevista
Vase en el Anexo N 1
3.2.2. Observacin
Para ello el equipo de trabajo manejo una lista de Verificacin con las
caractersticas con la que debera contar la institucin para poder cumplir
la ISO/IEC 27002:2005.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
19
Control 1:
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Permetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)
Las paredes externas del local son una construccin slida y todas las puertas externas estn adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando estn desatendidas y se debiera considerar una proteccin externa para las ventas, particularmente en el primer piso
Cuentan con un rea de recepcin con un(a) recepcionista u otros medios para controlar el acceso fsico al local o edificio; el acceso a los locales y edificios estn restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras fsicas para prevenir el acceso fsico no autorizado y la contaminacin ambiental
Todas las puertas de emergencia en un permetro de seguridad cuentan con alarma en concordancia con los adecuados estndares regionales, nacionales e internacionales
Operar en concordancia con el cdigo contra-incendios local de una manera totalmente segura
Existen sistemas de deteccin de intrusos segn estndares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las reas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cmputo o cuarto de comunicaciones
Los medios de procesamiento de informacin manejados por la organizacin estn fsicamente separados de aquellas manejadas por terceros
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
20
Control 2
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado
El acceso a reas donde se procesa o almacena informacin sensible se controla y restringe slo a personas autorizadas; utilizando controles de autenticacin
Los derechos de acceso a reas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario
Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado
Control 3
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Se tiene en cuenta los estndares y regulaciones de sanidad y seguridad relevantes
Se debieran localizar los medios claves para evitar el acceso del pblico
Los directorios y telfonos internos que identifiquen la ubicacin de los medios de procesamiento de la informacin no estn accesibles al pblico
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
21
Control 4
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Slo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organizacin; cuando sea necesario, se revisa la informacin confidencial del equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las plizas de seguros
Control 5
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
El equipo y medios sacados del local nunca son dejados desatendidos en lugares pblicos
Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos
Se determinan controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el equipo fuera del local
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
22
Control 6
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Los dispositivos que contienen informacin confidencial son fsicamente destruidos o se destruye, borra o sobre-escribe la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear
Control 7
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
No se retira equipo, informacin o software sin autorizacin previa
Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local estn claramente identificados
Se establecen lmites de tiempo para el retiro del equipo y se realizan un chequeo de la devolucin
Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno
3.3. Informe de la Auditora
3.3.1. Alcance de la Auditora
Todas las oficinas del ambiente de la ZZZ
3.3.2. Cliente:
Director..
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
23
3.3.3. Lder del Equipo
3.3.4. Actividades Realizadas
Actividad Fecha
Realizar una entrevista con la mayor autoridad para solicitar la autorizacin del desarrollo de la Auditoria.
13/06/2013
Realizar una visita a la empresa para revisar su infraestructura. Revisin mediante la observacin directa del auditor
13/06/2013
Evaluar la infraestructura en pro de la seguridad empresarial
13/06/2013
Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin
13/06/2013
Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compaa
21/06/2013
3.3.5. Criterios de la Auditoria
- Compromiso de la alta gerencia.
- Control de acceso. En una infraestructura de este tipo siempre
tenemos que tener el control del tiempo para accesos restringidos.
- Pruebas de mecanismos de deteccin y alarma.
- Extintores, la sala de contraincendios, los sensores de humedad, de
temperatura, de deteccin de humo y de movimiento.
- Acceso de mercancas y personal de proveedores.
- Ausencia de seguridad perimetral o seguridad perimetral insuficiente.
- Gestin de energa. En estos centros se consume grandes cantidades
de energa, y por tanto, requiere de medidas especiales para asegurar
que el flujo energtico est garantizado ante cualquier tipo de
incidente, y que en el peor de los casos, el suministro pueda ser
establecido por medios alternativos.
3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005
Utilizando el ISO ya nombrado se utiliz una lista de verificacin donde se
encontraban las caractersticas de los controles para as determinar que
insuficiencias tena la organizacin.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
24
3.3.6.1. Mediante la entrevista:
Como se observa en al Anexo N 1, existe una dejadez de parte
de la alta gerencia en poder implantar una mayor seguridad en
su institucin, teniendo como su mxima barrera la economa,
pero esto a la larga le generar una mayor perdida. Esto se
observa tambin cuando no existen documentos administrativos
como el Plan Operativo Institucional, Plan estratgico
Institucional, Plan de Contingencia, Plan de Continuidad de la
Organizacin, entre otros.
3.3.6.2. Mediante la Observacin utilizando la lista de verificacin:
Control 1:
tem a Evaluado
Cu
mp
le
No
Cu
mp
le
An
exo
N
Permetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)
. 2
Las paredes externas del local son una construccin slida y todas las puertas externas estn adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control
. 3
Las puertas y ventanas quedan aseguradas cuando estn desatendidas y se debiera considerar una proteccin externa para las ventas, particularmente en el primer piso
. 3
Cuentan con un rea de recepcin con un(a) recepcionista u otros medios para controlar el acceso fsico al local o edificio; el acceso a los locales y edificios estn restringidos solamente al personal autorizado
. 4
Cuando sea aplicable, se elaboran las barreras fsicas para prevenir el acceso fsico no autorizado y la contaminacin ambiental
. 5
Todas las puertas de emergencia en un permetro de seguridad cuentan con alarma en concordancia con los adecuados estndares regionales, nacionales e internacionales
. 6, 29
Operar en concordancia con el cdigo contra-incendios local de una manera totalmente segura
. 7, 10
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
25
Existen sistemas de deteccin de intrusos segn estndares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las reas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cmputo o cuarto de comunicaciones
. 8
Los medios de procesamiento de informacin manejados por la organizacin estn fsicamente separados de aquellas manejadas por terceros
. 9
Control 2
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado
. 4
El acceso a reas donde se procesa o almacena informacin sensible se controla y restringe slo a personas autorizadas; utilizando controles de autenticacin
. 11
Los derechos de acceso a reas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario
. 13
Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado
. 12
Control 3
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Se tiene en cuenta los estndares y regulaciones de sanidad y seguridad relevantes
. 14, 17 Se debieran localizar los medios claves para evitar el acceso del pblico
. 15, 16
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
26
Los directorios y telfonos internos que identifiquen la ubicacin de los medios de procesamiento de la informacin no estn accesibles al pblico
. 18
Control 4
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Slo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo
. 19
Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo
. 20, 21 Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organizacin; cuando sea necesario, se revisa la informacin confidencial del equipo, o se verifica al personal de mantenimiento
.
Cumple con todos los requerimientos impuestos por las plizas de seguros
. 22
Control 5
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
El equipo y medios sacados del local nunca son dejados desatendidos en lugares pblicos
. 19
Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos
. 23
Se determinan controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado
. 24
Se cuenta con un seguro adecuado para proteger el equipo fuera del local
. 25
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
27
Control 6
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
Los dispositivos que contienen informacin confidencial son fsicamente destruidos o se destruye, borra o sobre-escribe la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear
. 26
Control 7
tem a Evaluar
Cu
mp
le
No
Cu
mp
le
An
exo
N
No se retira equipo, informacin o software sin autorizacin previa
. 12
Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local estn claramente identificados
. 27
Se establecen lmites de tiempo para el retiro del equipo y se realizan un chequeo de la devolucin
.
Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno
. 28
3.3.7. Conclusiones de la Auditora
La auditora Fsica tiene como objetivo establecer cules son los puntos de
quiebre que la institucin debe cumplir para poder garantizar la seguridad
fsica y Ambiental de la institucin.
Vase Anexo N 29, donde se dan las recomendaciones y hallazgos
encontrados en su institucin.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013
28
Para lo cual se le recomienda:
Invertir en la seguridad Fsica y Ambiental, porque a la larga la
institucin se estara ahorrando muchas prdidas econmicas
como humanas dentro de los activos de la empresa. Para poder
eliminar as las vulnerabilidades y riesgos que tengan nuestros
activos ante cualquier evento Fsico y Ambiental.
Los medios de procesamiento de informacin crtica o confidencial
debieran ubicarse en reas seguras, protegidas por los permetros
de seguridad definidos, con las barreras de seguridad y controles
de entrada apropiados. Debieran estar fsicamente protegidos del
acceso no autorizado, dao e interferencia
Se debe proteger el equipo de amenazas fsicas y ambientales.
La proteccin del equipo (incluyendo aquel utilizado fuera del local
y la eliminacin de propiedad) es necesaria para reducir el riesgo
de acceso no-autorizado a la informacin y proteger contra prdida
o dao. Esto tambin se considera la ubicacin y eliminacin del
equipo.
Se requieren controles especiales para proteger el equipo contra
amenazas fsicas, y salvaguardar los medios de soporte como el
suministro elctrico y la infraestructura del cableado
-
[Escriba texto]
ANEXOS
-
[Escriba texto]
ANEXO N1: ENTREVISTA
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
ENTREVISTA CON LA DIRECCIN
Objetivo:
Conocer el plan estratgico de la organizacin y el grado de compromiso de la
direccin con la utilizacin de nuevas tecnologas.
Fragmentos de la entrevista:
Auditor Cree que la tecnologa puede serle til para alcanzar sus objetivos?
Director
S, por eso tenemos contratado un ingeniero de sistemas que se encargan
de que la tecnologa est siempre a punto.
Auditor Tienen prevista alguna inversin en tecnologa para mejorar sus procesos o
la calidad de los servicios que ofrecen?
Director
El ingeniero quiere que encarguemos el desarrollo de una pgina Web y de
un sistema que automatice todos nuestros procesos, pero eso supone una
inversin que no tenemos previsto afrontar.
Auditor Dan libertad al departamento de informtica para comprar el software o el
hardware que crean conveniente?
Director
La oficina de informtica antes de hacer cualquier compra lo comunican a la
direccin para que demos el visto bueno y el presupuesto. Si nosotros
vemos que necesitamos algo que tenga que ver con la informtica, se lo
comentamos al departamento de informtica. Sntesis de la entrevista:
La direccin cree que la tecnologa les puede ser til, pero no quieren afrontar
ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del
ingeniero.
La direccin no da libertad al departamento de informtica para que compre lo
que crea necesario. Cualquier compra debe ser aprobada por la direccin y
presupuestada.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI
Objetivo:
Conocer los planes a corto y largo plazo en cuanto a tecnologas de la
informacin y los planes de infraestructura tecnolgica.
Fragmentos de la entrevista:
Auditor Cmo valora sus sistemas de informacin actuales?, est contento con ellos?
Director de Informtica
Todos nuestros sistemas no son muy potentes. Pero, con ellos estamos contentos porque estamos obteniendo resultados positivos.
Auditor Tienen algn plan de tecnologa para el futuro?
Director de Informtica
Nuestro objetivo es que todo se haga automticamente, desde que un cliente hace una cita hasta que este sea atendido oportunamente. Tambin creemos necesario una pgina Web que tenga un diseo agradable para los clientes. Auditor Qu opina la direccin de esa futura inversin?
Director de Informtica
La direccin est contenta porque las cosas estn funcionando bien, as que no quieren invertir en sistemas de informacin. Pero yo creo que esa inversin va a ser necesaria a futuro si queremos seguir en el mercado.
Sntesis de la entrevista:
A pesar de no tener redactado un plan de sistemas de informacin, el
entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar
sus sistemas de informacin para seguir siendo competitivos y alcanzar una cuota
de mercado mayor. La idea del director de informtica es:
Tener una pgina Web que tenga un diseo agradable y que cumpla con
los estndares de usabilidad.
Disponer de unos sistemas de informacin que automaticen todos sus
procesos.
El entrevistado ha expresado que el desarrollo de los nuevos sistemas de
informacin a cargo de una empresa externa supone una inversin importante y
que la direccin no quiere asumir el costo de dicha inversin ni a corto ni a medio
plazo.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS
Objetivo:
Conocer las polticas y procedimientos relacionados con la evaluacin de
riesgos. Conocer los seguros que cubren los riesgos.
Fragmentos de la entrevista:
Auditor Tienen un documento de gestin de riesgos o algn proceso establecido para gestionarlos?
Director de Informtica
Los riesgos no estn especificados en ningn sitio, pero este plan de riesgos se est elaborando para evitar futuras perdidas de informacin.
Auditor Qu ocurrira si ahora mismo si se diera alguno de los riesgos? Cmo reaccionara?
Director de Informtica
Intentaramos valorar el alcance de la situacin y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendramos que requerir de una persona externa para solucionar el problema claro est de que dicha persona tendra que ser especialista en riesgos informticos. Auditor Han contratado algn seguro para proteger los sistemas ante posibles prdidas causadas por robos o desastres naturales?
Director de Informtica
No contamos con ningn seguro pero se ve que sera necesario ya que contamos con sistemas especiales que estn valorizados en un presupuesto alto as que no es una opcin perderlos sea cual sea la situacin.
Sntesis de la entrevista:
No hay ningn documento sobre gestin de riesgos, pero el director del
departamento de informtica tiene claros cules son los principales riesgos a
los que estn expuestos.
El principal riesgo identificado es la cada del servidor. Si el servidor falla, se
podra perder informacin valiosa. Para intentar disminuir la probabilidad del
riesgo, cuenta con copias de seguridad alojadas en un disco duro.
Otro riesgo identificado es la prdida de los datos del servidor. Los datos del
servidor se pueden perder debido a que algn empleado de la empresa o alguien
ajeno a la misma los borre o debido a que se estropee el soporte en el que se
almacenan. Para evitarlo, el administrador hace copias de seguridad de los
datos a menudo. Dichas copias se almacenan en un disco duro externo.
Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si
alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
quedara bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.
La habitacin del servidor no dispone de cerradura.
No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a
sistemas de informacin. El entrevistado no lo considera necesario.
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE
SISTEMAS
Objetivo:
Conocer el plan de continuidad de la empresa respecto a los
servicios informticos.
Fragmentos de la entrevista:
Auditor Qu ocurrira si en un momento determinado se cayera o deteriorar el servidor?
Administrador
Sera un problema grande ya que en la clnica solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habra perdida de informacin pero no seria tan abrumador . Auditor Respecto al almacenamiento de datos, existe algn salvado de los datos que tiene la empresa?
Administrador
Si, se realizan copias de seguridad, almacenando la informacin que tiene el sistema en un disco duro externo.
Auditor En caso de ocurrir algn problema en el servicio tcnico, se resolvera con facilidad?
Administrador
Efectivamente, el departamento de informtica est formado por un ingeniero capacitados para ello.
Sntesis de la entrevista:
De la entrevista realizada al administrador de sistemas se puede concluir que
no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad
debido a que la empresa necesita continuidad en los servicios informticos,
puesto que en ellos se basa la productividad y la obtencin de beneficios.
Un riesgo importante que podra acechar a la continuidad del servicio es la
cada o deterioro del servidor.
La continuidad tambin podra daarse si se sufriera un borrado de datos de la
empresa. Como alternativa a este suceso, el administracin de sistemas
confa en la recuperacin de datos con ayuda de un disco duro externo.
Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el
desarrollo del mercado, el administrador de sistemas justifica que cualquier
-
[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]
hecho que afecte a la continuidad del servicio ser resuelto por uno de los el
ingeniero que componen dicho departamento. Adems, en la entrevista se
deduce que no existe un documento que enumere los riesgos ocurridos con el
fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.
-
[Escriba texto]
ANEXO 30: CARTA AL DIRECTOR
-
[Escriba texto]
Carta al Director
21 de junio de 2013
Auditora externa
Direccin de lazzzzzzzz
Estimado Director,
Tras la realizacin de la auditora a su empresa nos dirigimos a Ud. con el fin de
comunicarles los principales problemas encontrados.
El primer problema encontrado ha sido que no tienen un plan estratgico definido y,
por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisacin las medidas que se adoptaran para solucionar una posible
situacin comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un
incendio.
Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.
Atentamente,
Los Auditores.