Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013

1

CONTENIDO CAPTULO I: ........................................................................................................................................ 3

DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3

1.1. NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4

1.2. NATURALEZA DE LA EMPRESA ...................................................................................... 4

1.3. UBICACIN GEOGRFICA .............................................................................................. 4

1.4. VISIN ............................................................................................................................ 4

1.5. MISIN ........................................................................................................................... 4

1.6. VALORES ........................................................................................................................ 4

1.7. ORGANIGRAMA DE LA EMPRESA .................................................................................. 5

CAPTULO II: ....................................................................................................................................... 6

MARCO TERICO................................................................................................................................ 6

2.1. Seguridad Fsica .............................................................................................................. 7

2.2. Amenazas previstas en Seguridad Fsica ........................................................................ 7

2.3. Desastre ......................................................................................................................... 8

2.4. Vulnerabilidad ................................................................................................................ 8

2.4.1. Vulnerabilidad Fsica .................................................................................................. 8

2.5. Peligro ............................................................................................................................ 9

2.6. Mitigar .......................................................................................................................... 10

2.7. Riesgo ........................................................................................................................... 11

2.8. Estructura General ISO/IEC 27002:2005: ..................................................................... 11

2.9. Descripcin de los Dominios y sus Objetivos ............................................................... 11

2.10. Seguridad Fsica y del Entorno o Ambiente ............................................................. 14

2.10.1. reas Seguras ........................................................................................................... 14

2.10.1.1. Permetro de Seguridad Fsica ............................................................................. 14

2.10.1.2. Controles de Ingreso Fsico .................................................................................. 14

2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14

2.10.1.4. Proteccin contra Amenazas Externas e Internas ............................................... 14

2.10.1.5. Trabajo en reas Aseguradas ............................................................................... 15

2.10.1.6. reas de Acceso Pblico, Entrega y Carga ........................................................... 15

2.10.2. Equipo de Seguridad ................................................................................................ 15

2.10.2.1. Ubicacin y Proteccin del equipo ....................................................................... 15

2.10.2.2. Servicios Pblicos de Soporte .............................................................................. 15


2

2.10.2.3. Seguridad del Cableado ....................................................................................... 15

2.10.2.4. Mantenimiento de Equipo ................................................................................... 15

2.10.2.5. Seguridad del Equipo fuera del Local ................................................................... 16

2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo ................................................ 16

2.10.2.7. Retiro de Propiedad ............................................................................................. 16

CAPTULO III ..................................................................................................................................... 17

DESCRIPCIN DE LA AUDITORIA ...................................................................................................... 17

3.1. Objetivos de la Auditoria.................................................................................................. 18

3.1.1. Objetivo General ...................................................................................................... 18

3.1.2. Objetivos Especficos ................................................................................................ 18

3.2. Tcnicas para reunir Evidencias de la Auditora .............................................................. 18

3.2.1. Entrevista ................................................................................................................. 18

3.2.2. Observacin ............................................................................................................. 18

3.3. Informe de la Auditora .................................................................................................... 22

3.3.1. Alcance de la Auditora ............................................................................................ 22

3.3.2. Cliente: ..................................................................................................................... 22

3.3.3. Lder del Equipo........................................................................................................ 23

3.3.4. Actividades Realizadas ............................................................................................. 23

3.3.5. Criterios de la Auditoria ........................................................................................... 23

3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 ............................................. 23

3.3.6.1. Mediante la entrevista: ........................................................................................ 24

3.3.6.2. Mediante la Observacin utilizando la lista de verificacin: ............................... 24

3.3.7. Conclusiones de la Auditora .................................................................................... 27

ANEXOS ............................................................................................................................................ 29

ANEXO N1: ENTREVISTA ............................................................................................................. 30

ENTREVISTA CON LA DIRECCIN ...................................................................................................... 31

ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI .................................. 32

ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS ....................... 33

ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35

ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37

Carta al Director ............................................................................................................................... 38

[Escriba texto]

CAPTULO I:

DESCRIPCIN DE LA ORGANIZACIN


4

1.1. NOMBRE DE LA EMPRESA: zzzzzz"

1.2. NATURALEZA DE LA EMPRESA

Somos una institucin lder en el sistema privado de salud, brindamos servicios

de salud confiable y segura a todo el centro del pas, orientndonos

permanentemente hacia la excelencia con tecnologa de vanguardia para el

diagnstico y tratamiento de todas las enfermedades, alto nivel profesional

1.3. UBICACIN GEOGRFICA

1.4. VISIN

Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las

necesidades del usuario y brindndoles personal altamente capacitado,

motivado y apoyado en tecnologa de punta".

1.5. MISIN

Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;

bajo los soportes de un excelente equipo humano, tecnologa e infraestructura

moderna

1.6. VALORES

Honestidad y lealtad

Comunicacin

Excelencia enfocada en el paciente

Trabajo en equipo

Liderazgo


5

1.7. ORGANIGRAMA DE LA EMPRESA

[Escriba texto]

CAPTULO II:

MARCO TERICO


7

2.1. Seguridad Fsica

Es muy importante ser consciente que por ms que la empresa sea la ms segura

desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);

la seguridad de la misma ser nula si no se ha previsto como combatir un incendio

o cualquier otro tipo de desastre natural y no tener presente polticas claras de

recuperacin.

La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un

sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se

prevn, otros, como la deteccin de un atacante interno a la empresa que intenta

acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar

en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup

de la sala de cmputo, que intentar acceder va lgica a la misma.

Teniendo las siguientes ventajas:

Disminuir siniestros.

Trabajar mejor manteniendo la sensacin de seguridad.

Descartar falsas hiptesis si se produjeran incidentes.

Tener los medios para luchar contra accidentes.

As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y

procedimientos de control, como medidas de prevencin y contramedidas ante

amenazas a los recursos e informacin confidencial. Se refiere a los controles y

mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los

medios de acceso remoto al y desde el mismo; implementados para proteger el

hardware y medios de almacenamiento de datos.

2.2. Amenazas previstas en Seguridad Fsica

Desastres naturales, incendios accidentales, tormentas e inundaciones

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.


8

2.3. Desastre

Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a

nivel humano, material o ambiental, suficientes para que la comunidad afectada no

pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se

clasifican de acuerdo a su origen (natural o tecnolgico).

2.4. Vulnerabilidad

Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la

ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y

otros.

2.4.1. Vulnerabilidad Fsica

Est relacionada con la calidad o tipo de material utilizado y el tipo de

construccin de las viviendas, establecimientos econmicos (comerciales e

industriales) y de servicios (salud, educacin, sede de instituciones

pblicas), e infraestructura socioeconmica (central hidroelctrica,

carretera, puente y canales de riego), para asimilar los efectos del peligro.

La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o

conjunto de elementos frente a la ocurrencia de un peligro natural o

antrpico de una magnitud dada. Es la facilidad como un elemento

(infraestructura, vivienda, actividades productivas, grado de organizacin,

sistemas de alerta y desarrollo poltico institucional, entre otros), pueda

sufrir daos humanos y materiales. Se expresa en trminos de

probabilidad, en porcentaje de 0 a 100.

La vulnerabilidad, es entonces una condicin previa que se manifiesta

durante el desastre, cuando no se ha invertido lo suficiente en obras o

acciones de prevencin y mitigacin y se ha aceptado un nivel de riesgo

demasiado alto.

Para su anlisis, la vulnerabilidad debe promover la identificacin y

caracterizacin de los elementos que se encuentran expuestos, en una

determinada rea geogrfica, a los efectos desfavorables de un peligro

adverso


9

CUADRO N 1: VULNERABILIDAD FSICA

CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD

2.5. Peligro

Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente

daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la

mayora de los casos, con el apoyo de la ciencia y tecnologa.


10

GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS

CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD

2.6. Mitigar

Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.

Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,

la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes

materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos


11

2.7. Riesgo

Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente

daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la

mayora de los casos, con el apoyo de la ciencia y tecnologa

2.8. Estructura General ISO/IEC 27002:2005:

Dominios : 11

Objetivos de Control : 39

Controles : 133

2.9. Descripcin de los Dominios y sus Objetivos

Polticas de Seguridad

Proporcionar a la gerencia la direccin y soporte para la seguridad de

la informacin en concordancia con los requerimientos comerciales y

las leyes y regulaciones relevantes.

Aspectos Organizativos de la Seguridad de la Informacin

Manejar la seguridad de la informacin dentro de la organizacin.

Gestin de Activos

Lograr y mantener una apropiada proteccin de los activos

organizacionales

Seguridad Ligada a los Recursos Humanos

Asegurar que los empleados, contratistas y terceros entiendan sus

responsabilidades, y sean idneos para los roles para los cuales son

considerados; y reducir el riesgo de robo, fraude y mal uso de los

medios.

Asegurar que los usuarios empleados, contratistas y terceras personas

estn al tanto de las amenazas e inquietudes de la seguridad de la

informacin, sus responsabilidades y obligaciones, y estn equipadas

para apoyar la poltica de seguridad organizacional en el curso de su

trabajo normal, y reducir el riesgo de error humano.


12

Asegurar que los usuarios empleados, contratistas y terceras personas

salgan de la organizacin o cambien de empleo de una manera

ordenada.

Seguridad Fsica y del Entorno o Ambiente

Evitar el acceso fsico no autorizado, dao e interferencia con la

informacin y los locales de la organizacin.

Gestin de Comunicaciones y Operaciones

Asegurar la operacin correcta y segura de los medios de

procesamiento de la informacin.

Implementar y mantener el nivel apropiado de seguridad de la

informacin y la entrega del servicio en lnea con los acuerdos de

entrega de servicios de terceros.

Minimizar el riesgo de fallas en el sistema.

Proteger la integridad del software y la integracin

Mantener la integridad y disponibilidad de la informacin y los

medios de procesamiento de informacin

Asegurar la proteccin de la informacin en redes y la proteccin de

la infraestructura de soporte.

Evitar la divulgacin no-autorizada; modificacin, eliminacin o

destruccin de activos; y la interrupcin de las actividades comerciales

Mantener la seguridad en el intercambio de informacin y software

dentro de la organizacin y con cualquier otra entidad externa

Asegurar la seguridad de los servicios de comercio electrnico y su uso

seguro.

Detectar las actividades de procesamiento de informacin no

autorizadas

Control de Acceso

Controlar el acceso a la informacin

Asegurar el acceso del usuario autorizado y evitar el acceso no

autorizado a los sistemas de informacin


13

Evitar el acceso de usuarios no-autorizados, evitar poner en peligro

la informacin y evitar el robo de informacin y los medios de

procesamiento de la informacin.

Evitar el acceso no autorizado a los servicios de la red

Evitar el acceso no autorizado a los sistemas operativos.

Asegurar la seguridad de la informacin cuando se utiliza medios

de computacin y tele-trabajo mviles

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin

Garantizar que la seguridad sea una parte integral de los sistemas

de informacin.

Prevenir errores, prdida, modificacin no autorizada o mal uso de

la informacin en las aplicaciones

Proteger la confidencialidad, autenticidad o integridad a travs de

medios criptogrficos

Garantizar la seguridad de los archivos del sistema

Mantener la seguridad del software y la informacin del sistema de

aplicacin

Reducir los riesgos resultantes de la explotacin de las

vulnerabilidades tcnicas publicadas

Gestin de Incidentes en la Seguridad de la Informacin

Asegurar que los eventos y debilidades de la seguridad de la

informacin asociados con los sistemas de informacin sean

comunicados de una manera que permita que se realice una accin

correctiva oportuna.

Asegurar que se aplique un enfoque consistente y efectivo a la

gestin de los incidentes en la seguridad de la informacin

Gestin de la Continuidad del Negocio

Contraatacar las interrupciones a las actividades comerciales y

proteger los procesos comerciales crticos de los efectos de fallas

importantes o desastres en los sistemas de informacin y asegurar

su reanudacin oportuna.


14

Cumplimiento

Evitar las violaciones a cualquier ley; regulacin estatutaria,

reguladora o contractual; y cualquier requerimiento de seguridad

Asegurar el cumplimiento de los sistemas con las polticas y

estndares de seguridad organizacional.

Maximizar la efectividad de recuraos informticos y minimizar la

interferencia desde/hacia el proceso de auditora del sistema de

informacin.

2.10. Seguridad Fsica y del Entorno o Ambiente

2.10.1. reas Seguras

Evitar el acceso fsico no autorizado, dao e interferencia con la

informacin y los locales de la organizacin.

2.10.1.1. Permetro de Seguridad Fsica

Control 1: Se deben utilizar permetros de seguridad (barreras tales como

paredes, rejas de entrada controladas por tarjetas o recepcionistas) para

proteger las reas que contienen informacin y medios de procesamiento

de informacin.

2.10.1.2. Controles de Ingreso Fsico

Control 2: Las reas seguras son protegidas mediante controles de ingreso

apropiados para asegurar que slo se le permita el acceso al personal

autorizado.

2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios

Control 3: Se disea y aplica la seguridad fsica para las oficinas,

habitaciones y medios.

2.10.1.4. Proteccin contra Amenazas Externas e Internas

Control 4: Se asigna y aplica proteccin fsica contra dao por fuego,

inundacin, terremoto, explosin, revuelta civil y otras formas de

desastres naturales o causados por el hombre.


15

2.10.1.5. Trabajo en reas Aseguradas

Control 5: Se disea y aplica la proteccin fsica y los lineamientos para

trabajar en reas aseguradas.

2.10.1.6. reas de Acceso Pblico, Entrega y Carga

Control 6: Se controlar los puntos de acceso como las reas de entrega y

carga y otros puntos por donde personas no-autorizadas puedan ingresar

al local y, se asla de los medios de procesamiento de informacin para

evitar el acceso no autorizado.

2.10.2. Equipo de Seguridad

Se evita prdida, dao, robo o compromiso de los activos y la interrupcin

de las actividades de la organizacin.

2.10.2.1. Ubicacin y Proteccin del equipo

Control 7: Se ubica o protege el equipo para reducir las amenazas y

peligros ambientales y oportunidades para acceso no autorizado.

2.10.2.2. Servicios Pblicos de Soporte

Control 8: Se protege el equipo de fallas de energa y otras interrupciones

causadas por fallas en los servicios pblicos de soporte.

Las opciones para lograr la continuidad de los suministros de energa

incluyen mltiples alimentaciones para evitar que una falla en el

suministro de energa

2.10.2.3. Seguridad del Cableado

Control 9: El cableado de la energa y las telecomunicaciones que llevan la

data o dan soporte a los servicios de informacin debieran protegerse

contra la intercepcin o dao.

2.10.2.4. Mantenimiento de Equipo

Control 10: Se debiera mantener correctamente el equipo para asegurar

su continua disponibilidad e integridad.


16

2.10.2.5. Seguridad del Equipo fuera del Local

Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando

en cuenta los diferentes riesgos de trabajar fuera del local de la

organizacin.

El equipo de almacenamiento y procesamiento de la informacin incluye

todas las formas de computadoras personales, organizadores, telfonos

mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar

desde casa o se transporte fuera de local normal de trabajo.

2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo

Control 12: Se debieran chequear los tems del equipo que contiene

medios de almacenaje para asegurar que se haya retirado o sobre-escrito

cualquier data confidencial o licencia de software antes de su eliminacin.

Los dispositivos que contienen data confidencial pueden requerir una

evaluacin del riesgo para determinar si los tems debieran ser fsicamente

destruidos en lugar de enviarlos a reparar o descartar.

2.10.2.7. Retiro de Propiedad

Control 13: El equipo, informacin o software no debiera retirarse sin

autorizacin previa.

Tambin se pueden realizar chequeos inesperados para detectar el

retiro de propiedad, dispositivos de grabacin no-autorizados, armas,

etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser

llevados a cabo en concordancia con la legislacin y regulaciones

relevantes. Las personas debieran saber que se llevan a cabo chequeos

inesperados, y los chequeos se debieran realizar con la debida autorizacin

de los requerimientos legales y reguladores.

[Escriba texto]

CAPTULO III

DESCRIPCIN DE LA AUDITORIA


18

3.1. Objetivos de la Auditoria

3.1.1. Objetivo General

Verificar la Suficiencia y cumplimiento de todos los parmetros de

seguridad tanto fsica como ambiental segn ISO/IEC 27002:2005 con el

tem de Seguridad Fsica y Ambiental.

3.1.2. Objetivos Especficos

Realizar una entrevista con la mayor autoridad para solicitar la

autorizacin del desarrollo de la Auditoria.

Realizar una visita a la empresa para revisar su infraestructura.

Revisin mediante la observacin directa del auditor.

Evaluar la infraestructura en pro de la seguridad empresarial.

Realizacin de listas de verificacin para evaluar el desempeo de la

empresa en seguridad de la informacin.

Realizar las debidas recomendaciones para realizar el mejoramiento de

la seguridad de la compaa.

3.2. Tcnicas para reunir Evidencias de la Auditora

3.2.1. Entrevista

Vase en el Anexo N 1

3.2.2. Observacin

Para ello el equipo de trabajo manejo una lista de Verificacin con las

caractersticas con la que debera contar la institucin para poder cumplir

la ISO/IEC 27002:2005.


19

Control 1:

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Permetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)

Las paredes externas del local son una construccin slida y todas las puertas externas estn adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control

Las puertas y ventanas quedan aseguradas cuando estn desatendidas y se debiera considerar una proteccin externa para las ventas, particularmente en el primer piso

Cuentan con un rea de recepcin con un(a) recepcionista u otros medios para controlar el acceso fsico al local o edificio; el acceso a los locales y edificios estn restringidos solamente al personal autorizado

Cuando sea aplicable, se elaboran las barreras fsicas para prevenir el acceso fsico no autorizado y la contaminacin ambiental

Todas las puertas de emergencia en un permetro de seguridad cuentan con alarma en concordancia con los adecuados estndares regionales, nacionales e internacionales

Operar en concordancia con el cdigo contra-incendios local de una manera totalmente segura

Existen sistemas de deteccin de intrusos segn estndares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las reas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cmputo o cuarto de comunicaciones

Los medios de procesamiento de informacin manejados por la organizacin estn fsicamente separados de aquellas manejadas por terceros


20

Control 2

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado

El acceso a reas donde se procesa o almacena informacin sensible se controla y restringe slo a personas autorizadas; utilizando controles de autenticacin

Los derechos de acceso a reas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario

Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado

Control 3

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Se tiene en cuenta los estndares y regulaciones de sanidad y seguridad relevantes

Se debieran localizar los medios claves para evitar el acceso del pblico

Los directorios y telfonos internos que identifiquen la ubicacin de los medios de procesamiento de la informacin no estn accesibles al pblico


21

Control 4

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Slo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo

Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo

Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organizacin; cuando sea necesario, se revisa la informacin confidencial del equipo, o se verifica al personal de mantenimiento

Cumple con todos los requerimientos impuestos por las plizas de seguros

Control 5

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

El equipo y medios sacados del local nunca son dejados desatendidos en lugares pblicos

Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos

Se determinan controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado

Se cuenta con un seguro adecuado para proteger el equipo fuera del local


22

Control 6

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Los dispositivos que contienen informacin confidencial son fsicamente destruidos o se destruye, borra o sobre-escribe la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear

Control 7

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

No se retira equipo, informacin o software sin autorizacin previa

Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local estn claramente identificados

Se establecen lmites de tiempo para el retiro del equipo y se realizan un chequeo de la devolucin

Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno

3.3. Informe de la Auditora

3.3.1. Alcance de la Auditora

Todas las oficinas del ambiente de la ZZZ

3.3.2. Cliente:

Director..


23

3.3.3. Lder del Equipo

3.3.4. Actividades Realizadas

Actividad Fecha

Realizar una entrevista con la mayor autoridad para solicitar la autorizacin del desarrollo de la Auditoria.

13/06/2013

Realizar una visita a la empresa para revisar su infraestructura. Revisin mediante la observacin directa del auditor

13/06/2013

Evaluar la infraestructura en pro de la seguridad empresarial

13/06/2013

Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin

13/06/2013

Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compaa

21/06/2013

3.3.5. Criterios de la Auditoria

- Compromiso de la alta gerencia.

- Control de acceso. En una infraestructura de este tipo siempre

tenemos que tener el control del tiempo para accesos restringidos.

- Pruebas de mecanismos de deteccin y alarma.

- Extintores, la sala de contraincendios, los sensores de humedad, de

temperatura, de deteccin de humo y de movimiento.

- Acceso de mercancas y personal de proveedores.

- Ausencia de seguridad perimetral o seguridad perimetral insuficiente.

- Gestin de energa. En estos centros se consume grandes cantidades

de energa, y por tanto, requiere de medidas especiales para asegurar

que el flujo energtico est garantizado ante cualquier tipo de

incidente, y que en el peor de los casos, el suministro pueda ser

establecido por medios alternativos.

3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005

Utilizando el ISO ya nombrado se utiliz una lista de verificacin donde se

encontraban las caractersticas de los controles para as determinar que

insuficiencias tena la organizacin.


24

3.3.6.1. Mediante la entrevista:

Como se observa en al Anexo N 1, existe una dejadez de parte

de la alta gerencia en poder implantar una mayor seguridad en

su institucin, teniendo como su mxima barrera la economa,

pero esto a la larga le generar una mayor perdida. Esto se

observa tambin cuando no existen documentos administrativos

como el Plan Operativo Institucional, Plan estratgico

Institucional, Plan de Contingencia, Plan de Continuidad de la

Organizacin, entre otros.

3.3.6.2. Mediante la Observacin utilizando la lista de verificacin:

Control 1:

tem a Evaluado

Cu

mp

le

No

Cu

mp

le

An

exo

N

Permetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)

. 2

Las paredes externas del local son una construccin slida y todas las puertas externas estn adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control

. 3

Las puertas y ventanas quedan aseguradas cuando estn desatendidas y se debiera considerar una proteccin externa para las ventas, particularmente en el primer piso

. 3

Cuentan con un rea de recepcin con un(a) recepcionista u otros medios para controlar el acceso fsico al local o edificio; el acceso a los locales y edificios estn restringidos solamente al personal autorizado

. 4

Cuando sea aplicable, se elaboran las barreras fsicas para prevenir el acceso fsico no autorizado y la contaminacin ambiental

. 5

Todas las puertas de emergencia en un permetro de seguridad cuentan con alarma en concordancia con los adecuados estndares regionales, nacionales e internacionales

. 6, 29

Operar en concordancia con el cdigo contra-incendios local de una manera totalmente segura

. 7, 10


25

Existen sistemas de deteccin de intrusos segn estndares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las reas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cmputo o cuarto de comunicaciones

. 8

Los medios de procesamiento de informacin manejados por la organizacin estn fsicamente separados de aquellas manejadas por terceros

. 9

Control 2

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado

. 4

El acceso a reas donde se procesa o almacena informacin sensible se controla y restringe slo a personas autorizadas; utilizando controles de autenticacin

. 11

Los derechos de acceso a reas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario

. 13

Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado

. 12

Control 3

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Se tiene en cuenta los estndares y regulaciones de sanidad y seguridad relevantes

. 14, 17 Se debieran localizar los medios claves para evitar el acceso del pblico

. 15, 16


26

Los directorios y telfonos internos que identifiquen la ubicacin de los medios de procesamiento de la informacin no estn accesibles al pblico

. 18

Control 4

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Slo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo

. 19

Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo

. 20, 21 Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organizacin; cuando sea necesario, se revisa la informacin confidencial del equipo, o se verifica al personal de mantenimiento

.

Cumple con todos los requerimientos impuestos por las plizas de seguros

. 22

Control 5

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

El equipo y medios sacados del local nunca son dejados desatendidos en lugares pblicos

. 19

Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos

. 23

Se determinan controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado

. 24

Se cuenta con un seguro adecuado para proteger el equipo fuera del local

. 25


27

Control 6

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

Los dispositivos que contienen informacin confidencial son fsicamente destruidos o se destruye, borra o sobre-escribe la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear

. 26

Control 7

tem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

N

No se retira equipo, informacin o software sin autorizacin previa

. 12

Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local estn claramente identificados

. 27

Se establecen lmites de tiempo para el retiro del equipo y se realizan un chequeo de la devolucin

.

Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno

. 28

3.3.7. Conclusiones de la Auditora

La auditora Fsica tiene como objetivo establecer cules son los puntos de

quiebre que la institucin debe cumplir para poder garantizar la seguridad

fsica y Ambiental de la institucin.

Vase Anexo N 29, donde se dan las recomendaciones y hallazgos

encontrados en su institucin.


28

Para lo cual se le recomienda:

Invertir en la seguridad Fsica y Ambiental, porque a la larga la

institucin se estara ahorrando muchas prdidas econmicas

como humanas dentro de los activos de la empresa. Para poder

eliminar as las vulnerabilidades y riesgos que tengan nuestros

activos ante cualquier evento Fsico y Ambiental.

Los medios de procesamiento de informacin crtica o confidencial

debieran ubicarse en reas seguras, protegidas por los permetros

de seguridad definidos, con las barreras de seguridad y controles

de entrada apropiados. Debieran estar fsicamente protegidos del

acceso no autorizado, dao e interferencia

Se debe proteger el equipo de amenazas fsicas y ambientales.

La proteccin del equipo (incluyendo aquel utilizado fuera del local

y la eliminacin de propiedad) es necesaria para reducir el riesgo

de acceso no-autorizado a la informacin y proteger contra prdida

o dao. Esto tambin se considera la ubicacin y eliminacin del

equipo.

Se requieren controles especiales para proteger el equipo contra

amenazas fsicas, y salvaguardar los medios de soporte como el

suministro elctrico y la infraestructura del cableado

[Escriba texto]

ANEXOS

[Escriba texto]

ANEXO N1: ENTREVISTA

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]

ENTREVISTA CON LA DIRECCIN

Objetivo:

Conocer el plan estratgico de la organizacin y el grado de compromiso de la

direccin con la utilizacin de nuevas tecnologas.

Fragmentos de la entrevista:

Auditor Cree que la tecnologa puede serle til para alcanzar sus objetivos?

Director

S, por eso tenemos contratado un ingeniero de sistemas que se encargan

de que la tecnologa est siempre a punto.

Auditor Tienen prevista alguna inversin en tecnologa para mejorar sus procesos o

la calidad de los servicios que ofrecen?

Director

El ingeniero quiere que encarguemos el desarrollo de una pgina Web y de

un sistema que automatice todos nuestros procesos, pero eso supone una

inversin que no tenemos previsto afrontar.

Auditor Dan libertad al departamento de informtica para comprar el software o el

hardware que crean conveniente?

Director

La oficina de informtica antes de hacer cualquier compra lo comunican a la

direccin para que demos el visto bueno y el presupuesto. Si nosotros

vemos que necesitamos algo que tenga que ver con la informtica, se lo

comentamos al departamento de informtica. Sntesis de la entrevista:

La direccin cree que la tecnologa les puede ser til, pero no quieren afrontar

ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del

ingeniero.

La direccin no da libertad al departamento de informtica para que compre lo

que crea necesario. Cualquier compra debe ser aprobada por la direccin y

presupuestada.


ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI

Objetivo:

Conocer los planes a corto y largo plazo en cuanto a tecnologas de la

informacin y los planes de infraestructura tecnolgica.


Auditor Cmo valora sus sistemas de informacin actuales?, est contento con ellos?

Director de Informtica

Todos nuestros sistemas no son muy potentes. Pero, con ellos estamos contentos porque estamos obteniendo resultados positivos.

Auditor Tienen algn plan de tecnologa para el futuro?


Nuestro objetivo es que todo se haga automticamente, desde que un cliente hace una cita hasta que este sea atendido oportunamente. Tambin creemos necesario una pgina Web que tenga un diseo agradable para los clientes. Auditor Qu opina la direccin de esa futura inversin?


La direccin est contenta porque las cosas estn funcionando bien, as que no quieren invertir en sistemas de informacin. Pero yo creo que esa inversin va a ser necesaria a futuro si queremos seguir en el mercado.

Sntesis de la entrevista:

A pesar de no tener redactado un plan de sistemas de informacin, el

entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar

sus sistemas de informacin para seguir siendo competitivos y alcanzar una cuota

de mercado mayor. La idea del director de informtica es:

Tener una pgina Web que tenga un diseo agradable y que cumpla con

los estndares de usabilidad.

Disponer de unos sistemas de informacin que automaticen todos sus

procesos.

El entrevistado ha expresado que el desarrollo de los nuevos sistemas de

informacin a cargo de una empresa externa supone una inversin importante y

que la direccin no quiere asumir el costo de dicha inversin ni a corto ni a medio

plazo.


ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS

Objetivo:

Conocer las polticas y procedimientos relacionados con la evaluacin de

riesgos. Conocer los seguros que cubren los riesgos.


Auditor Tienen un documento de gestin de riesgos o algn proceso establecido para gestionarlos?


Los riesgos no estn especificados en ningn sitio, pero este plan de riesgos se est elaborando para evitar futuras perdidas de informacin.

Auditor Qu ocurrira si ahora mismo si se diera alguno de los riesgos? Cmo reaccionara?


Intentaramos valorar el alcance de la situacin y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendramos que requerir de una persona externa para solucionar el problema claro est de que dicha persona tendra que ser especialista en riesgos informticos. Auditor Han contratado algn seguro para proteger los sistemas ante posibles prdidas causadas por robos o desastres naturales?


No contamos con ningn seguro pero se ve que sera necesario ya que contamos con sistemas especiales que estn valorizados en un presupuesto alto as que no es una opcin perderlos sea cual sea la situacin.


No hay ningn documento sobre gestin de riesgos, pero el director del

departamento de informtica tiene claros cules son los principales riesgos a

los que estn expuestos.

El principal riesgo identificado es la cada del servidor. Si el servidor falla, se

podra perder informacin valiosa. Para intentar disminuir la probabilidad del

riesgo, cuenta con copias de seguridad alojadas en un disco duro.

Otro riesgo identificado es la prdida de los datos del servidor. Los datos del

servidor se pueden perder debido a que algn empleado de la empresa o alguien

ajeno a la misma los borre o debido a que se estropee el soporte en el que se

almacenan. Para evitarlo, el administrador hace copias de seguridad de los

datos a menudo. Dichas copias se almacenan en un disco duro externo.

Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si

alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa


quedara bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.

La habitacin del servidor no dispone de cerradura.

No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a

sistemas de informacin. El entrevistado no lo considera necesario.


ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE

SISTEMAS

Objetivo:

Conocer el plan de continuidad de la empresa respecto a los

servicios informticos.


Auditor Qu ocurrira si en un momento determinado se cayera o deteriorar el servidor?

Administrador

Sera un problema grande ya que en la clnica solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habra perdida de informacin pero no seria tan abrumador . Auditor Respecto al almacenamiento de datos, existe algn salvado de los datos que tiene la empresa?

Administrador

Si, se realizan copias de seguridad, almacenando la informacin que tiene el sistema en un disco duro externo.

Auditor En caso de ocurrir algn problema en el servicio tcnico, se resolvera con facilidad?

Administrador

Efectivamente, el departamento de informtica est formado por un ingeniero capacitados para ello.


De la entrevista realizada al administrador de sistemas se puede concluir que

no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad

debido a que la empresa necesita continuidad en los servicios informticos,

puesto que en ellos se basa la productividad y la obtencin de beneficios.

Un riesgo importante que podra acechar a la continuidad del servicio es la

cada o deterioro del servidor.

La continuidad tambin podra daarse si se sufriera un borrado de datos de la

empresa. Como alternativa a este suceso, el administracin de sistemas

confa en la recuperacin de datos con ayuda de un disco duro externo.

Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el

desarrollo del mercado, el administrador de sistemas justifica que cualquier


hecho que afecte a la continuidad del servicio ser resuelto por uno de los el

ingeniero que componen dicho departamento. Adems, en la entrevista se

deduce que no existe un documento que enumere los riesgos ocurridos con el

fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.

[Escriba texto]

ANEXO 30: CARTA AL DIRECTOR

[Escriba texto]

Carta al Director

21 de junio de 2013

Auditora externa

Direccin de lazzzzzzzz

Estimado Director,

Tras la realizacin de la auditora a su empresa nos dirigimos a Ud. con el fin de

comunicarles los principales problemas encontrados.

El primer problema encontrado ha sido que no tienen un plan estratgico definido y,

por tanto, no tienen definidos claramente sus objetivos a largo plazo.

Otro problema detectado es que no existe un proceso para gestionar los riesgos,

dejando a la improvisacin las medidas que se adoptaran para solucionar una posible

situacin comprometida para la empresa. La inexistencia de este proceso puede

afectar seriamente a la continuidad del negocio.

Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un

incendio.

Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que

carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas

para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.

Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.

Atentamente,

Los Auditores.

Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01

Documents

Transcript of Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01