Auditoria 1er mes

1

UNIVERSIDAD TECNOLOGICA DE TABASCO

Manual de la Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo

PIA-SAMARIA

Que presenta

T.S.U. Mario Magaa oyosa

Para la materia de Auditora de Sistemas TI

ASESOR ACADMICO

Salvador Prez Garca

Parrilla, Villahermosa Tabasco. Mxico. Diciembre 2014

2

ACTA CONSTITUTIVA

Contrato de servicios Auditoria del Diseo e Instalacin de la Red para Comunicaciones

Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA

Contrato N 0002356 de Prestacin de Servicios de la empresa denominada

TOTALSYSTEM INFORMATICO

Contrato de Servicios Profesionales que proporciona, por una parte TOTALSYSTEM

INFORMATICO a la que en lo adelante se le denominara prestador de Servicios,

debidamente representado por el C. Xavi Hernndez Ocaa con RFC

MOMA860113HTCRDL06 con direccin en C. Arista nmero 423., con cdigo postal

86300, colonia Centro, Villahermosa Tabasco y por otra parte La Empresa PEMEX,

ubicado en ACTIVO SAMARIA representado por el C. Salvador Rodrguez Morales

con domicilio en Av. 27 de Febrero Altura Paseo Tabasco, ubicada en Villahermosa

Tabasco, a quien en lo sucesivo se le denominara como Cliente, conforme al tenor de

las siguientes declaraciones y clusulas:

D E C L A R A C I O N E S

I. Declaracin del prestador de servicios

Para los efectos de este contrato se celebra como domicilio en la ciudad de Villahermosa,

ciudad donde se encuentra registrada la empresa TOTALSYSTEM INFORMATICO

con domicilio actual en Av. Gregorio Mndez 3211, Col ATASTA CP. 86100

Villahermosa, Tabasco.

a) La empresa TOTALSYSTEM INFORMATICO se compromete mediante este

contrato a llevar a cabo los siguientes trabajos:

Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas

del Edificio Colaborativo del Activo PIA-SAMARIA.

b) El tiempo establecido para la realizacin de los servicios antes mencionados pactados a

realizarse es a partir del JUEVES 02 de Enero de 2014 al EL JUEVES 03 de abril de 2014.

3

II. Declaracin del cliente.

PEMEX con Ubicacin en ACTIVO SAMARIA, teniendo como representante del contrato

al Seor C. Salvador Rodrguez Morales se acredita a cumplir los siguientes puntos,

derechos y obligaciones tanto fsicas como morales.

a) Solicitan auditar el Diseo e Instalacin de la Red para Comunicaciones Unificadas del

Edificio Colaborativo del Activo PIA-SAMARIA, que realizo la empresa INSITE

INFORMATICA

b) PEMEX se compromete a pagar el costo del servicio al entregar la auditoria, en el

trmino establecido.

Expuesto lo anterior, las partes sujetan sus compromisos a los trminos y condiciones

insertos en las siguientes:

CLUSULAS.

PRIMERA: Ambas partes se comprometen a dar cumplimiento a este contrato en todos

sus efectos morales y legales, tomando en cuenta el tiempo y costo establecidos.

SEGUNDA: TOTALSYSTEM se compromete a enviar informes al C. Xavi Hernandez

Ocaa para mantener la comunicacin sobre los avances y resultados obtenidos.

TERCERA: TOTALSYSTEM se compromete a desarrollar las actividades para dejar

plenamente satisfecho a PEMEX, obligndose a aportar toda su experiencia y capacidad,

dedicando todo el tiempo que sea necesario para dar cumplimiento al presente contrato,

realizando un proyecto de calidad.

4

CUARTO: Concluida la vigencia del presente contrato, no podr haber prrroga

automtica por el simple transcurso del tiempo y terminar sin necesidad de darse aviso

entre las partes.

QUINTO: Para el caso de que PEMEX tuviera necesidad de contar nuevamente con los

servicios de TOTALSYSTEM INFORMATICO, se requerir la celebracin de un nuevo

contrato.

SEXTO: TOTALSYSTEM INFORMATICO queda expresamente convenido que la falta

de cumplimiento a cualquiera de las obligaciones que aqu se contraen, y aquellas otras que

dimanan del Cdigo Civil vigente para el Estado de Tabasco , ser motivo de rescisin del

presente contrato, y generar el pago de los daos y perjuicios que el incumplimiento cause

a la contraparte cumplida.

SPTIMO: En caso de que la CLAUSULA SEXTA se vea infringida por TOTLSYSTEM

INFORMATICO sta se har acreedora a una sancin econmica de 30 salarios mnimos

vigentes en el estado de Tabasco por cada da de retraso.

OCTAVO: PEMEX queda expresamente convenido que la falta de cumplimiento a

cualquiera de las obligaciones que aqu se contraen, y aquellas otras que dimanan del

Cdigo Civil Vigente para el Estado De Tabasco, ser motivo de una sancin penal

establecida por la parte daada, que en este caso es TOTALSYSTEM INFORMATICO.

NOVENO: PEMEX se compromete a pagar la cantidad de $ 500,000.00 a

TOTALSYSTEM INFORMATICO al finalizar AUDITORIA por el cual fue solicitado.

Quedando estipulado este contrato entre las partes, TOTALSYSTEM INFORMATICO

representado por el C. Xavi Hernandez Ocaa con RFC MOMA860113HTCRDL06 con

direccin en C. Arista N 423., con cdigo postal 86300 colonia Centro, Comalcalco

Tabasco y por otra parte PEMEX, ubicada ACTIVO SAMARIA, debidamente

representado por el C. Salvador Rodrguez Morales con direccin en Av. 27 de Febrero

Altura Paseo Tabasco, ubicada en Villahermosa, con RFC CMFI800415HTCPXG03.

5

Ledo que fue el presente contrato y enteradas las partes del contenido y alcances de todas y

cada una de las clusulas que en el mismo se precisan, lo firman por duplicado y con

asistencia de sus testigos, en la Ciudad de Villahermosa, Tabasco a los treinta das del mes

de noviembre de dos mil Trece.

El Cliente

_____________________

C. Salvador Rodrguez Huerta

El Prestador de Servicios

_______________________

C. Xavi Hernndez Ocaa.

Testigo 1

__________________

C. Oscar Gmez Gutirrez

Testigo 2

_________________

C. Juliana Pulido Martnez

6

POLTICAS

Instalacin de software

El software que deber instalarse por defecto en todos los

equipos: Sistema Operativo, Antivirus

Suite de ofimtica de preferencia con tecnologa OpenDocument o cualquier otro compatible con los sistemas informticos

internamente desarrollados.

Cliente de Correo Electrnico, en el caso de usuarios con cuentas de correo oficial y/o usuarios autorizados.

Sistemas de Consultas de Jurisprudencia, si correspondiera.

Sistemas de Gestin de Expedientes y/o desarrollados a medida

del organismo, si correspondiera.

Producto que gestione base de datos o presentaciones de diapositivas, si correspondiera.

Bloqueo de sitios a travs de listas negras.

Las listas negras son listados de sitos considerados no adecuados para el acceso dentro de la

red. Dichas listas son descargadas y aplicadas semanalmente desde la Universidad de Toulouse.

stas se utilizan debido a que son gratuitas, se encuentran divididas por categoras (adultos,

juegos, apuestas, citas, publicidad, etc.) y son actualizadas continuamente gracias a la colaboracin de administradores de todo el mundo.

Al bloquear los sitios de esta manera se evita que el ancho de banda se utilice para acceder a

contenidos que no son de inters acadmico. Tambin para seguridad de los usuarios se filtran sitios de malware y phishing.

7

Cuentas de Usuario: Identificadores y contraseas

El nombre de usuario (identificador) y su correspondiente

contrasea proveen acceso a una cuenta de un usuario de la red del Poder Judicial y a los permisos asociados a ella.

El usuario debe tener una cuenta de red para obtener acceso a los

recursos compartidos de la red del Poder Judicial. Si el usuario no est dado de alta en el sistema no podr hacer uso de los recursos ni de los equipos dentro de la institucin dado que de

antemano est restringido por no disponer de una cuenta de usuario.

Polticas de restriccin de los recursos informtico

Se acepta que los usuarios aprovechen en forma limitada los elementos informticos para un uso personal que derive en su

mejor capacitacin, jerarquizacin y/o especializacin en sus conocimientos, prcticas y habilidades o para aprovechar los

beneficios de la Informtica.

El uso aceptable no podr interferir con las actividades o funciones que el usuario cumple, ni con la misin y gestin oficial del organismo o dependencia.

Este uso personal podr hacerse siempre que el recurso se

encuentre disponible y no exista otro usuario que precise emplear el recurso para sus tareas laborales.

8

Polticas de seguridad fsica y ambiental

Controlar y limitar el acceso a las instalaciones de

procesamiento de informacin, exclusivamente a las personas autorizadas.

Cuando se trate de instalaciones de procesamiento de

informacin confidencial, slo bajo la vigilancia de personal autorizado, puede el personal de cualquier organismo entrar a dichas instalaciones, y durante un perodo de tiempo corto.

Polticas de Escritorios y Pantallas Limpias

Se deber adoptar una poltica de escritorios limpios para proteger los dispositivos de almacenamiento removibles y una poltica de pantallas limpias en los equipos informticos, a fin de

reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como

fuera del mismo.

Polticas de seguridad del sistema y de la red

Queda prohibida toda vulneracin de la seguridad de los sistemas o de las redes. Los infractores de esta norma podrn

incurrir en responsabilidad penal y civil. Cable Onda investigar todo incidente relacionado con tales infracciones y cooperar

con las autoridades competentes en la localizacin de los sospechosos de tales delitos. Como ejemplos de vulneraciones de la seguridad de los sistemas o las redes, pueden mencionarse,

entre otros, los siguientes:

El acceso no autorizado a datos, sistemas o redes, incluido cualquier intento de probar, explorar o comprobar la

vulnerabilidad de un sistema o de una red, o de infringir las medidas de seguridad o autentificacin, o su utilizacin sin el consentimiento explcito del propietario del sistema o de la red;

9

La interceptacin no autorizada de los datos o del trfico de

cualquier red o sistema sin el consentimiento explcito del propietario del sistema o de la red;

La interferencia en los servicios prestados a cualquier usuario, host o red, incluidos, entre otros, el bombardeo con correo, la

inundacin con informacin no solicitada, as como los intentos deliberados de sobrecargar el sistema y de interferir en la

transmisin;

La falsificacin de cualquier cabecera de paquete TCP/IP o de cualquier parte de la informacin contenida en la cabecera de un mensaje de correo electrnico o de grupos de noticias.

Al serle presentadas quejas en relacin con cualquiera de las infracciones arriba mencionadas, Cable Onda cooperar y ayudar a las autoridades y a los agentes de la ley en sus

investigaciones, con objeto de detener tales abusos y actos delictivos.

Polticas de servicio de internet

El usuario es consciente de que Cable Onda no puede conocer el contenido de la informacin que circula a travs de su red y, por

lo tanto, exime a Cable Onda de toda responsabilidad en relacin con el contenido de los mensajes transmitidos a travs de ella, ya sean enviados por usuarios de Cable Onda o no.

El servicio de Internet de Cable Onda puede ser utilizado para

conectarse a otras redes de todo el mundo. A este respecto, los usuarios se comprometen a respetar las polticas de uso

aceptable vigentes para tales redes.

Asimismo, el usuario se compromete a ajustarse a los protocolos y estndares empleados en Internet.

Al usuario no le est permitido obviar o eludir su identificacin ante cualquier host, red o cuenta, ni violar las medidas de seguridad (comnmente llamado "piratera y/o suplantacin de usuario), ni interferir en el servicio prestado a cualquier usuario,

host, o red (llamado "ataques de denegacin de servicio").

10

Checklist: Instalacin de Software 1. Identificacin de la auditora

Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red

para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA

Fase del ciclo de vida

Planificacin Esp. de Requerimientos Diseo Implementacin

Integracin y pruebas Aceptacin y entrega Mantencin

Iniciador:

Tipo de auditora: Interna Externa

2. Auditor Nombre e-mail Fono

3. Checklist S No

Se ha establecido una librera del software? Se ha asignado un responsable?

Existen procedimientos adecuados para el acceso y la gestin de la librera del software?

Se documentan apropiadamente las versiones de los productos de trabajo?

Existe un ndice de los tpicos de la librera del software? Actualizado?

Existe un registro del ingreso/salida (check in/chek out) de los entregables de la librera del software?

Se asigna a cada tem un identificador que refleje la versin y el tipo de producto de trabajo?

Se controla la gestin de la librera del software? Cmo ?

Checklist: Identificacin y seguimiento de problemas 1. Identificacin de la auditora

Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA



Integracin y pruebas Aceptacin y entrega Mantencin Iniciador:


2. Auditor Nombre. Mairo Magaa Oyosa e-mail. [email protected] Fono

3. Checklist S No

Existen procedimientos que aseguren la deteccin y correccin de los problemas y/o discrepancias detectadas?

Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?

Se analiza la relacin entre las diferentes actividades de desarrollo para prevenir disconformidades en

los productos?

Se definen y planifican acciones correctivas? Se asignan los recursos adecuados?

Las acciones correctivas son registradas y documentadas minuciosamente?

Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y complacencia respecto de los estndares?

El nivel de gestin apoya las acciones correctivas?

Los desarrolladores estn de acuerdo en generar informes de problemas y de discrepancias? Los utilizan?

11

Checklist: Estado del proyecto 4. Identificacin de la auditora Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA




Iniciador:


5. Auditor Nombre: Mario Magaa Oyosa e-mail: [email protected] Fono

6. Checklist S No

El estado real del proyecto concuerda con la planificacin? Si no es as, que tan grande es la brecha?

De acuerdo con el plan de proyecto: cul es el estado de las actividades, recursos, productos de trabajo, hitos?

Determinar: (a) fase de desarrollo actual, (b) estado de avance de las actividades, (c) conformacin y

organizacin del equipo desarrollador, (d) productos de trabajo, (e) hitos, y (f) resultados de las revisiones.

Checklist: Proceso de Documentacin 1. Identificacin de la auditora

Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA




Iniciador:


2. Auditor Nombre: Mario Magaa Oyosa e-mail: [email protected] Fono

3. Checklist S No

Existen estndares definidos para preparar la documentacin de los productos de trabajo?

La documentacin existente se ajusta a dichos estndares?

Existen procedimientos documentados para asegurar la adherencia a estos estndares?

Estos procedimientos distinguen los cambios a los documentos bajo control de configuracin del

software? Este tipo de cambios es revisado?

El contenido de la documentacin de los productos de trabajo es clara, concisa, completa y comprensible?

Los miembros de las revisiones de esta documentacin se encuentran lo suficientemente familiarizados

con ella como para detectar inconsistencias fcilmente?

Existe una autoridad competente para la aprobacin de la documentacin de los entregables (productos de trabajo)? Es visible para los desarrolladores?

Se entrega oportunamente la documentacin solicitada por el cliente?

Existen suficientes copias de los documentos?

La documentacin es desarrollada paralelamente a las otras actividades del desarrollo de software? Refleja el estado real del proyecto y de los productos de tra bajo?

12

EVALUACIN DE RIESGOS Hoja 1

Localizacin: Pemex

Puestos de trabajo: Sistemas

N de trabajadores: 20 Adjuntar relacin nominal

Evaluacin:

Inicial Peridica

Fecha Evaluacin:

Fecha ltima evaluacin:

Peligro Identificativo

Probabilidad Consecuencias

Estimacin del Riesgo

B M A LD D ED T TO M I IN

1.-Falta de Seguridad X x

2.-War-driving x x x

3.-Riesgos de Seguridad x X x

4.-Intercepcion de datos

5.-Intrusion de red X x x x x

6.-Interferencia Radial x

7.-Degeneracion del servicio X x x

8.-

Evaluacin realizada por: Mario Magaa Oyosa Firma: Fecha:

Plan de accin realizado por: Jose Ernesto Arias Firma: Fecha:

FECHA PRXIMA EVALUACIN: 01 enero 2015

13

EVALUACIN DE RIESGOS Hoja

PLAN DE ACCIN

Peligro

N

Accin requerida Responsable Fecha

finalizacin

Comprobacin eficacia de

la accin

(Firma y Fecha)

5 Firewalls Anastacio Diaz 15/12/2014

6 Buscar

Interferencias Anastacio Diaz 15/12/2014

Evaluacin realizada por: Mario Magaa Oyosa Firma: Fecha:

Plan de accin realizado por: Jose Ernesto Arias Firma: Fecha:

FECHA PRXIMA EVALUACIN: 01 enero 2015

14

Matriz de Riesgos

NOMBRE DE LA AUDITORIA:

Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA

AUDITOR: Mario Magaa Oyosa AUDITADO: Pemex Fecha de

Auditoria:

10/Diciembre/2014

MATRIZ DE RIESGOS ESCALA DE AMENAZAS

RIESGO #

eventos

0

%

1 al

20

%

21

al

40

%

41

al

60

%

61

al

80

%

81 al

100

%

FOLIO:

Se cancela la auditoria una semana despus de haber empezado

1 x AU2500023

No saben qu hacer en la auditoria

2 x AU2500024

Perdida de energa elctrica

3 x AU2500022

No se tienen las

herramientas adecuadas para la auditoria.

4 x AU2500028

Falta de comunicacin

entre las divisiones del enlace

5 X x AU2500029

Estado del tiempo 6 x AU2500021

Comportamiento de los

encargados

7 x AU2500023

Personal no capacitado 8 x AU2500025

15

ORGANIGRAMA Director General

Auditoria

Supervisor Auditoria Financiera

Supervisor Auditoria Operativa

Supervisor Auditoria TI

Supervisor Auditoria

REDES

Secretaria

Auditor de Campo 1

Auditor de Campo 2

Auditor de Campo 1

Auditor de Campo 2

Auditor de Campo 1

Auditor de Campo 2

16

ROLES Y RESPONSABILIDADES

Puesto: Director General

Funciones: Definir los objetivos del proyecto, manejar los recursos, ajustarse al presupuesto,

administrar los costos, administrar la calidad del proyecto, gestionar los plazos,

garantizar que la informacin fluya entre el personal necesario, analizar y manejar los

riesgos, manejar el recurso humano, negociar con proveedores, hacer un seguimiento

oportuno.

Formacin: Ing. Tecnologas de la Informacin

Perfil: Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.

Experiencia: Minina de 2 meses en el puesto.


Puesto: Secretaria

Funciones: Persona encargada de supervisar los asuntos, sobre todo aquellos que requeran

confidencialidad, de personas de cierto poder, en este caso entre el director general y

los auditores Supervisores. Recepcin de documentos., Atender llamadas telefnicas,

Atender visitas, Archivo de documentos, Clculos elementales.

Formacin: Carrera Tecnica.



17


Puesto: Supervisor Auditor Operativa

Funciones: En este contexto que el sistema de control asume un rol relevante porque a travs de

sus evaluaciones permanentes posibilitan maximizar resultados en trminos de

eficiencia, eficacia, economa, indicadores que fortalecen el desarrollo de las

empresas

Formacin: Lic. Sistemas o afn




Puesto: Supervisor Auditor TI

Funciones: Los auditores en el campo de Tecnologas de Informacin trabajan con organizaciones

para asegurar que sus procesos tecnolgicos son seguros y beneficiosos con respecto a

la funcionalidad de la empresa

Formacin: Lic. Sistemas o afn



18

TIEMPO

ACTIVIDAD

1 FASE DE PLANEACIN P 3 4 7 8 9 10 11 14 15 16 17 18 21 22 23 24 25 28 1 2 3 4 7 8 9

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

E

P

TOTALSYSTEM OUTSOURSING INFORMATICO

CRONOGRAMA DE ACTIVIDADES

Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA

temAO XXXX

AUDITOR RESPONSABLE(MES) (MES)

2 Conocer la Entidad a Examinar (Actividad A2)

2.1 Conocimiento en detalle del Ente objeto de control

fiscal o asunto a auditar

4.1 Asociar materias especficas a procesos

2.2Identificar personal clave del ente objeto de control

fiscal o asunto a auditar

2.3 Conocer la funcin de auditora interna

2.4 Evaluar controles

3 Realizar pruebas de recorrido

4 Identificar Factores de Riesgo

(ESTE FORMATO ES UN REFERENTE Y PUEDE SER AJUSTADO, DE ACUERDO CON LAS CONDICIONES Y NECESIDADES DEL

PROCESO AUDITOR)

4.2 Asociar factores de riesgo de auditora a materias

especficas

4.3 Definir procesos significativos para la auditora

5Diligenciar Matriz para evaluar el diseo de controles -

Fase de Planeacin

6

1Conocer y analizar la Asignacin de Trabajo AT,

objetivo general y objetivos Especficos

8Elaborar los Planes de Trabajo por parte de otros

Equipos de Auditora -si los hay-

Definir estrategia de auditora

7Elaborar el Plan de Trabajo y Programas de Auditora

(Actividad A4)

9Determinar la Coherencia del Plan de Trabajo

Conjunto.

10 Aprobar el Plan de Trabajo Conjunto

19

ACTIVIDADES

Caractersticas del Servicio

La metodologa seguida por Internet Security Auditors para el desarrollo de las Auditoras

de Seguridad Fsica tiene como objetivo permitir la revisin exhaustiva de los aspectos de

seguridad de las infraestructuras fsicas de la empresa, cubriendo, entre otros, los siguientes

aspectos:

Acondicionamiento. Revisin de las caractersticas de construccin y componentes

de edificacin e instalaciones del recinto con la revisin y actualizacin de planos

de elementos principales, dimensiones y ubicacin; suelos, techos y estado general

de las instalaciones tcnicas, etc.

Sistemas anti intrusin Revisin de los sistemas que impiden y/o detectan un

acceso no autorizado a las instalaciones como la ubicacin de los elementos de

vigilancia y control de presencia, su proteccin del sistema y tolerancia a fallos;

revisin de los procedimientos de tratamiento y respuesta a alarmas, etc.

Sistemas de grabacin y vigilancia. Revisin de todos los componentes que

garantizan la grabacin de la actividad dentro de las zonas de acceso restringido o

de seguridad, etc.

Instalacin elctrica, SAIs y generadores. Revisin del sistema de suministro

elctrico y su resistencia estudiando el esquema de suministro elctrico hasta el

propio CPD, cobertura, anlisis de los cableados, etc.

Cableado Estructurado. Revisin del estado del sistema de cableado estructurado

as como el contenido de los diferentes bastidores (telefona, servidores,

comunicaciones de datos...), etc.

Control ambiental. Revisin de las condiciones ambientales del CPD y que estas

no supongan un propio riesgo para el funcionamiento de los sistemas alojados,

instalaciones y faciliten su propio mantenimiento en referencia a ventilacin,

temperatura, humedad, agua, humos, detectores ssmicos, etc.: equipos de deteccin

y/o medicin de estos parmetros, etc.

Si tiene cualquier consulta sobre los detalles del mbito de la Auditora de

Seguridad Fsica contacte con nosotros.

20

Resultados

Como resultado de todo el trabajo de Anlisis de las Infraestructuras y el posterior Anlisis

de Resultados y Documentacin, en el informe se expondrn los resultados obtenidos en la

Auditora de Seguridad Fsica junto con las recomendaciones, en caso necesario (de

acondicionamiento, sistemas anti intrusin, de sistemas elctricos, etc.).

Algunos de los resultados, que dependern de las caractersticas propias de cado caso, son

los siguientes:

Resumen ejecutivo.

Resultado obtenido en cada uno de los puntos analizados.

Vulnerabilidades detectadas y catalogadas segn su nivel de peligrosidad, as como

las recomendaciones para su eliminacin.

Cambios de configuracin recomendados en las infraestructuras para mejorar la

seguridad.

Cambios recomendados en los denominados permetros de seguridad.

Recomendaciones sobre nuevas aplicaciones, servicios y procesos que ayuden a

aumentar el nivel de seguridad.

Indicaciones para mejorar los controles fsicos de entrada.

Cambios recomendados en los emplazamientos y proteccin de los equipos.

Identificacin de puntos crticos donde es recomendable mejorar la seguridad del

cableado.

Cambios recomendados en las instalaciones de suministros.

Recomendaciones para mejorar la seguridad de los equipos fuera de las

instalaciones.

Cambios recomendados reutilizacin o retirada segura de equipos.

Mejoras a aplicar en relacin a la proteccin contra las amenazas externas y de

origen ambiental.

Recomendaciones, salvedades y acciones correctivas de los aspectos tcnicos

definidos por el dominio 9 de la ISO-27002

Auditoria 1er mes

Documents

Transcript of Auditoria 1er mes