Auditoria 1er mes
-
Upload
kano-de-dios -
Category
Documents
-
view
12 -
download
0
description
Transcript of Auditoria 1er mes
-
1
UNIVERSIDAD TECNOLOGICA DE TABASCO
Manual de la Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo
PIA-SAMARIA
Que presenta
T.S.U. Mario Magaa oyosa
Para la materia de Auditora de Sistemas TI
ASESOR ACADMICO
Salvador Prez Garca
Parrilla, Villahermosa Tabasco. Mxico. Diciembre 2014
-
2
ACTA CONSTITUTIVA
Contrato de servicios Auditoria del Diseo e Instalacin de la Red para Comunicaciones
Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA
Contrato N 0002356 de Prestacin de Servicios de la empresa denominada
TOTALSYSTEM INFORMATICO
Contrato de Servicios Profesionales que proporciona, por una parte TOTALSYSTEM
INFORMATICO a la que en lo adelante se le denominara prestador de Servicios,
debidamente representado por el C. Xavi Hernndez Ocaa con RFC
MOMA860113HTCRDL06 con direccin en C. Arista nmero 423., con cdigo postal
86300, colonia Centro, Villahermosa Tabasco y por otra parte La Empresa PEMEX,
ubicado en ACTIVO SAMARIA representado por el C. Salvador Rodrguez Morales
con domicilio en Av. 27 de Febrero Altura Paseo Tabasco, ubicada en Villahermosa
Tabasco, a quien en lo sucesivo se le denominara como Cliente, conforme al tenor de
las siguientes declaraciones y clusulas:
D E C L A R A C I O N E S
I. Declaracin del prestador de servicios
Para los efectos de este contrato se celebra como domicilio en la ciudad de Villahermosa,
ciudad donde se encuentra registrada la empresa TOTALSYSTEM INFORMATICO
con domicilio actual en Av. Gregorio Mndez 3211, Col ATASTA CP. 86100
Villahermosa, Tabasco.
a) La empresa TOTALSYSTEM INFORMATICO se compromete mediante este
contrato a llevar a cabo los siguientes trabajos:
Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas
del Edificio Colaborativo del Activo PIA-SAMARIA.
b) El tiempo establecido para la realizacin de los servicios antes mencionados pactados a
realizarse es a partir del JUEVES 02 de Enero de 2014 al EL JUEVES 03 de abril de 2014.
-
3
II. Declaracin del cliente.
PEMEX con Ubicacin en ACTIVO SAMARIA, teniendo como representante del contrato
al Seor C. Salvador Rodrguez Morales se acredita a cumplir los siguientes puntos,
derechos y obligaciones tanto fsicas como morales.
a) Solicitan auditar el Diseo e Instalacin de la Red para Comunicaciones Unificadas del
Edificio Colaborativo del Activo PIA-SAMARIA, que realizo la empresa INSITE
INFORMATICA
b) PEMEX se compromete a pagar el costo del servicio al entregar la auditoria, en el
trmino establecido.
Expuesto lo anterior, las partes sujetan sus compromisos a los trminos y condiciones
insertos en las siguientes:
CLUSULAS.
PRIMERA: Ambas partes se comprometen a dar cumplimiento a este contrato en todos
sus efectos morales y legales, tomando en cuenta el tiempo y costo establecidos.
SEGUNDA: TOTALSYSTEM se compromete a enviar informes al C. Xavi Hernandez
Ocaa para mantener la comunicacin sobre los avances y resultados obtenidos.
TERCERA: TOTALSYSTEM se compromete a desarrollar las actividades para dejar
plenamente satisfecho a PEMEX, obligndose a aportar toda su experiencia y capacidad,
dedicando todo el tiempo que sea necesario para dar cumplimiento al presente contrato,
realizando un proyecto de calidad.
-
4
CUARTO: Concluida la vigencia del presente contrato, no podr haber prrroga
automtica por el simple transcurso del tiempo y terminar sin necesidad de darse aviso
entre las partes.
QUINTO: Para el caso de que PEMEX tuviera necesidad de contar nuevamente con los
servicios de TOTALSYSTEM INFORMATICO, se requerir la celebracin de un nuevo
contrato.
SEXTO: TOTALSYSTEM INFORMATICO queda expresamente convenido que la falta
de cumplimiento a cualquiera de las obligaciones que aqu se contraen, y aquellas otras que
dimanan del Cdigo Civil vigente para el Estado de Tabasco , ser motivo de rescisin del
presente contrato, y generar el pago de los daos y perjuicios que el incumplimiento cause
a la contraparte cumplida.
SPTIMO: En caso de que la CLAUSULA SEXTA se vea infringida por TOTLSYSTEM
INFORMATICO sta se har acreedora a una sancin econmica de 30 salarios mnimos
vigentes en el estado de Tabasco por cada da de retraso.
OCTAVO: PEMEX queda expresamente convenido que la falta de cumplimiento a
cualquiera de las obligaciones que aqu se contraen, y aquellas otras que dimanan del
Cdigo Civil Vigente para el Estado De Tabasco, ser motivo de una sancin penal
establecida por la parte daada, que en este caso es TOTALSYSTEM INFORMATICO.
NOVENO: PEMEX se compromete a pagar la cantidad de $ 500,000.00 a
TOTALSYSTEM INFORMATICO al finalizar AUDITORIA por el cual fue solicitado.
Quedando estipulado este contrato entre las partes, TOTALSYSTEM INFORMATICO
representado por el C. Xavi Hernandez Ocaa con RFC MOMA860113HTCRDL06 con
direccin en C. Arista N 423., con cdigo postal 86300 colonia Centro, Comalcalco
Tabasco y por otra parte PEMEX, ubicada ACTIVO SAMARIA, debidamente
representado por el C. Salvador Rodrguez Morales con direccin en Av. 27 de Febrero
Altura Paseo Tabasco, ubicada en Villahermosa, con RFC CMFI800415HTCPXG03.
-
5
Ledo que fue el presente contrato y enteradas las partes del contenido y alcances de todas y
cada una de las clusulas que en el mismo se precisan, lo firman por duplicado y con
asistencia de sus testigos, en la Ciudad de Villahermosa, Tabasco a los treinta das del mes
de noviembre de dos mil Trece.
El Cliente
_____________________
C. Salvador Rodrguez Huerta
El Prestador de Servicios
_______________________
C. Xavi Hernndez Ocaa.
Testigo 1
__________________
C. Oscar Gmez Gutirrez
Testigo 2
_________________
C. Juliana Pulido Martnez
-
6
POLTICAS
Instalacin de software
El software que deber instalarse por defecto en todos los
equipos: Sistema Operativo, Antivirus
Suite de ofimtica de preferencia con tecnologa OpenDocument o cualquier otro compatible con los sistemas informticos
internamente desarrollados.
Cliente de Correo Electrnico, en el caso de usuarios con cuentas de correo oficial y/o usuarios autorizados.
Sistemas de Consultas de Jurisprudencia, si correspondiera.
Sistemas de Gestin de Expedientes y/o desarrollados a medida
del organismo, si correspondiera.
Producto que gestione base de datos o presentaciones de diapositivas, si correspondiera.
Bloqueo de sitios a travs de listas negras.
Las listas negras son listados de sitos considerados no adecuados para el acceso dentro de la
red. Dichas listas son descargadas y aplicadas semanalmente desde la Universidad de Toulouse.
stas se utilizan debido a que son gratuitas, se encuentran divididas por categoras (adultos,
juegos, apuestas, citas, publicidad, etc.) y son actualizadas continuamente gracias a la colaboracin de administradores de todo el mundo.
Al bloquear los sitios de esta manera se evita que el ancho de banda se utilice para acceder a
contenidos que no son de inters acadmico. Tambin para seguridad de los usuarios se filtran sitios de malware y phishing.
-
7
Cuentas de Usuario: Identificadores y contraseas
El nombre de usuario (identificador) y su correspondiente
contrasea proveen acceso a una cuenta de un usuario de la red del Poder Judicial y a los permisos asociados a ella.
El usuario debe tener una cuenta de red para obtener acceso a los
recursos compartidos de la red del Poder Judicial. Si el usuario no est dado de alta en el sistema no podr hacer uso de los recursos ni de los equipos dentro de la institucin dado que de
antemano est restringido por no disponer de una cuenta de usuario.
Polticas de restriccin de los recursos informtico
Se acepta que los usuarios aprovechen en forma limitada los elementos informticos para un uso personal que derive en su
mejor capacitacin, jerarquizacin y/o especializacin en sus conocimientos, prcticas y habilidades o para aprovechar los
beneficios de la Informtica.
El uso aceptable no podr interferir con las actividades o funciones que el usuario cumple, ni con la misin y gestin oficial del organismo o dependencia.
Este uso personal podr hacerse siempre que el recurso se
encuentre disponible y no exista otro usuario que precise emplear el recurso para sus tareas laborales.
-
8
Polticas de seguridad fsica y ambiental
Controlar y limitar el acceso a las instalaciones de
procesamiento de informacin, exclusivamente a las personas autorizadas.
Cuando se trate de instalaciones de procesamiento de
informacin confidencial, slo bajo la vigilancia de personal autorizado, puede el personal de cualquier organismo entrar a dichas instalaciones, y durante un perodo de tiempo corto.
Polticas de Escritorios y Pantallas Limpias
Se deber adoptar una poltica de escritorios limpios para proteger los dispositivos de almacenamiento removibles y una poltica de pantallas limpias en los equipos informticos, a fin de
reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como
fuera del mismo.
Polticas de seguridad del sistema y de la red
Queda prohibida toda vulneracin de la seguridad de los sistemas o de las redes. Los infractores de esta norma podrn
incurrir en responsabilidad penal y civil. Cable Onda investigar todo incidente relacionado con tales infracciones y cooperar
con las autoridades competentes en la localizacin de los sospechosos de tales delitos. Como ejemplos de vulneraciones de la seguridad de los sistemas o las redes, pueden mencionarse,
entre otros, los siguientes:
El acceso no autorizado a datos, sistemas o redes, incluido cualquier intento de probar, explorar o comprobar la
vulnerabilidad de un sistema o de una red, o de infringir las medidas de seguridad o autentificacin, o su utilizacin sin el consentimiento explcito del propietario del sistema o de la red;
-
9
La interceptacin no autorizada de los datos o del trfico de
cualquier red o sistema sin el consentimiento explcito del propietario del sistema o de la red;
La interferencia en los servicios prestados a cualquier usuario, host o red, incluidos, entre otros, el bombardeo con correo, la
inundacin con informacin no solicitada, as como los intentos deliberados de sobrecargar el sistema y de interferir en la
transmisin;
La falsificacin de cualquier cabecera de paquete TCP/IP o de cualquier parte de la informacin contenida en la cabecera de un mensaje de correo electrnico o de grupos de noticias.
Al serle presentadas quejas en relacin con cualquiera de las infracciones arriba mencionadas, Cable Onda cooperar y ayudar a las autoridades y a los agentes de la ley en sus
investigaciones, con objeto de detener tales abusos y actos delictivos.
Polticas de servicio de internet
El usuario es consciente de que Cable Onda no puede conocer el contenido de la informacin que circula a travs de su red y, por
lo tanto, exime a Cable Onda de toda responsabilidad en relacin con el contenido de los mensajes transmitidos a travs de ella, ya sean enviados por usuarios de Cable Onda o no.
El servicio de Internet de Cable Onda puede ser utilizado para
conectarse a otras redes de todo el mundo. A este respecto, los usuarios se comprometen a respetar las polticas de uso
aceptable vigentes para tales redes.
Asimismo, el usuario se compromete a ajustarse a los protocolos y estndares empleados en Internet.
Al usuario no le est permitido obviar o eludir su identificacin ante cualquier host, red o cuenta, ni violar las medidas de seguridad (comnmente llamado "piratera y/o suplantacin de usuario), ni interferir en el servicio prestado a cualquier usuario,
host, o red (llamado "ataques de denegacin de servicio").
-
10
Checklist: Instalacin de Software 1. Identificacin de la auditora
Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red
para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA
Fase del ciclo de vida
Planificacin Esp. de Requerimientos Diseo Implementacin
Integracin y pruebas Aceptacin y entrega Mantencin
Iniciador:
Tipo de auditora: Interna Externa
2. Auditor Nombre e-mail Fono
3. Checklist S No
Se ha establecido una librera del software? Se ha asignado un responsable?
Existen procedimientos adecuados para el acceso y la gestin de la librera del software?
Se documentan apropiadamente las versiones de los productos de trabajo?
Existe un ndice de los tpicos de la librera del software? Actualizado?
Existe un registro del ingreso/salida (check in/chek out) de los entregables de la librera del software?
Se asigna a cada tem un identificador que refleje la versin y el tipo de producto de trabajo?
Se controla la gestin de la librera del software? Cmo ?
Checklist: Identificacin y seguimiento de problemas 1. Identificacin de la auditora
Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA
Fase del ciclo de vida
Planificacin Esp. de Requerimientos Diseo Implementacin
Integracin y pruebas Aceptacin y entrega Mantencin Iniciador:
Tipo de auditora: Interna Externa
2. Auditor Nombre. Mairo Magaa Oyosa e-mail. [email protected] Fono
3. Checklist S No
Existen procedimientos que aseguren la deteccin y correccin de los problemas y/o discrepancias detectadas?
Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?
Se analiza la relacin entre las diferentes actividades de desarrollo para prevenir disconformidades en
los productos?
Se definen y planifican acciones correctivas? Se asignan los recursos adecuados?
Las acciones correctivas son registradas y documentadas minuciosamente?
Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y complacencia respecto de los estndares?
El nivel de gestin apoya las acciones correctivas?
Los desarrolladores estn de acuerdo en generar informes de problemas y de discrepancias? Los utilizan?
-
11
Checklist: Estado del proyecto 4. Identificacin de la auditora Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA
Fase del ciclo de vida
Planificacin Esp. de Requerimientos Diseo Implementacin
Integracin y pruebas Aceptacin y entrega Mantencin
Iniciador:
Tipo de auditora: Interna Externa
5. Auditor Nombre: Mario Magaa Oyosa e-mail: [email protected] Fono
6. Checklist S No
El estado real del proyecto concuerda con la planificacin? Si no es as, que tan grande es la brecha?
De acuerdo con el plan de proyecto: cul es el estado de las actividades, recursos, productos de trabajo, hitos?
Determinar: (a) fase de desarrollo actual, (b) estado de avance de las actividades, (c) conformacin y
organizacin del equipo desarrollador, (d) productos de trabajo, (e) hitos, y (f) resultados de las revisiones.
Checklist: Proceso de Documentacin 1. Identificacin de la auditora
Institucin auditada: Pemex Proyecto: Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unif icadas del Edif icio Colaborativo del Activo PIA-SAMARIA
Fase del ciclo de vida
Planificacin Esp. de Requerimientos Diseo Implementacin
Integracin y pruebas Aceptacin y entrega Mantencin
Iniciador:
Tipo de auditora: Interna Externa
2. Auditor Nombre: Mario Magaa Oyosa e-mail: [email protected] Fono
3. Checklist S No
Existen estndares definidos para preparar la documentacin de los productos de trabajo?
La documentacin existente se ajusta a dichos estndares?
Existen procedimientos documentados para asegurar la adherencia a estos estndares?
Estos procedimientos distinguen los cambios a los documentos bajo control de configuracin del
software? Este tipo de cambios es revisado?
El contenido de la documentacin de los productos de trabajo es clara, concisa, completa y comprensible?
Los miembros de las revisiones de esta documentacin se encuentran lo suficientemente familiarizados
con ella como para detectar inconsistencias fcilmente?
Existe una autoridad competente para la aprobacin de la documentacin de los entregables (productos de trabajo)? Es visible para los desarrolladores?
Se entrega oportunamente la documentacin solicitada por el cliente?
Existen suficientes copias de los documentos?
La documentacin es desarrollada paralelamente a las otras actividades del desarrollo de software? Refleja el estado real del proyecto y de los productos de tra bajo?
-
12
EVALUACIN DE RIESGOS Hoja 1
Localizacin: Pemex
Puestos de trabajo: Sistemas
N de trabajadores: 20 Adjuntar relacin nominal
Evaluacin:
Inicial Peridica
Fecha Evaluacin:
Fecha ltima evaluacin:
Peligro Identificativo
Probabilidad Consecuencias
Estimacin del Riesgo
B M A LD D ED T TO M I IN
1.-Falta de Seguridad X x
2.-War-driving x x x
3.-Riesgos de Seguridad x X x
4.-Intercepcion de datos
5.-Intrusion de red X x x x x
6.-Interferencia Radial x
7.-Degeneracion del servicio X x x
8.-
Evaluacin realizada por: Mario Magaa Oyosa Firma: Fecha:
Plan de accin realizado por: Jose Ernesto Arias Firma: Fecha:
FECHA PRXIMA EVALUACIN: 01 enero 2015
-
13
EVALUACIN DE RIESGOS Hoja
PLAN DE ACCIN
Peligro
N
Accin requerida Responsable Fecha
finalizacin
Comprobacin eficacia de
la accin
(Firma y Fecha)
5 Firewalls Anastacio Diaz 15/12/2014
6 Buscar
Interferencias Anastacio Diaz 15/12/2014
Evaluacin realizada por: Mario Magaa Oyosa Firma: Fecha:
Plan de accin realizado por: Jose Ernesto Arias Firma: Fecha:
FECHA PRXIMA EVALUACIN: 01 enero 2015
-
14
Matriz de Riesgos
NOMBRE DE LA AUDITORIA:
Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA
AUDITOR: Mario Magaa Oyosa AUDITADO: Pemex Fecha de
Auditoria:
10/Diciembre/2014
MATRIZ DE RIESGOS ESCALA DE AMENAZAS
RIESGO #
eventos
0
%
1 al
20
%
21
al
40
%
41
al
60
%
61
al
80
%
81 al
100
%
FOLIO:
Se cancela la auditoria una semana despus de haber empezado
1 x AU2500023
No saben qu hacer en la auditoria
2 x AU2500024
Perdida de energa elctrica
3 x AU2500022
No se tienen las
herramientas adecuadas para la auditoria.
4 x AU2500028
Falta de comunicacin
entre las divisiones del enlace
5 X x AU2500029
Estado del tiempo 6 x AU2500021
Comportamiento de los
encargados
7 x AU2500023
Personal no capacitado 8 x AU2500025
-
15
ORGANIGRAMA Director General
Auditoria
Supervisor Auditoria Financiera
Supervisor Auditoria Operativa
Supervisor Auditoria TI
Supervisor Auditoria
REDES
Secretaria
Auditor de Campo 1
Auditor de Campo 2
Auditor de Campo 1
Auditor de Campo 2
Auditor de Campo 1
Auditor de Campo 2
-
16
ROLES Y RESPONSABILIDADES
Puesto: Director General
Funciones: Definir los objetivos del proyecto, manejar los recursos, ajustarse al presupuesto,
administrar los costos, administrar la calidad del proyecto, gestionar los plazos,
garantizar que la informacin fluya entre el personal necesario, analizar y manejar los
riesgos, manejar el recurso humano, negociar con proveedores, hacer un seguimiento
oportuno.
Formacin: Ing. Tecnologas de la Informacin
Perfil: Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.
Experiencia: Minina de 2 meses en el puesto.
ROLES Y RESPONSABILIDADES
Puesto: Secretaria
Funciones: Persona encargada de supervisar los asuntos, sobre todo aquellos que requeran
confidencialidad, de personas de cierto poder, en este caso entre el director general y
los auditores Supervisores. Recepcin de documentos., Atender llamadas telefnicas,
Atender visitas, Archivo de documentos, Clculos elementales.
Formacin: Carrera Tecnica.
Perfil: Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.
Experiencia: Minina de 6 meses en el puesto.
-
17
ROLES Y RESPONSABILIDADES
Puesto: Supervisor Auditor Operativa
Funciones: En este contexto que el sistema de control asume un rol relevante porque a travs de
sus evaluaciones permanentes posibilitan maximizar resultados en trminos de
eficiencia, eficacia, economa, indicadores que fortalecen el desarrollo de las
empresas
Formacin: Lic. Sistemas o afn
Perfil: Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.
Experiencia: Minina de 6 meses en el puesto.
ROLES Y RESPONSABILIDADES
Puesto: Supervisor Auditor TI
Funciones: Los auditores en el campo de Tecnologas de Informacin trabajan con organizaciones
para asegurar que sus procesos tecnolgicos son seguros y beneficiosos con respecto a
la funcionalidad de la empresa
Formacin: Lic. Sistemas o afn
Perfil: Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.
Experiencia: Minina de 6 meses en el puesto.
-
18
TIEMPO
ACTIVIDAD
1 FASE DE PLANEACIN P 3 4 7 8 9 10 11 14 15 16 17 18 21 22 23 24 25 28 1 2 3 4 7 8 9
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
E
P
TOTALSYSTEM OUTSOURSING INFORMATICO
CRONOGRAMA DE ACTIVIDADES
Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA
temAO XXXX
AUDITOR RESPONSABLE(MES) (MES)
2 Conocer la Entidad a Examinar (Actividad A2)
2.1 Conocimiento en detalle del Ente objeto de control
fiscal o asunto a auditar
4.1 Asociar materias especficas a procesos
2.2Identificar personal clave del ente objeto de control
fiscal o asunto a auditar
2.3 Conocer la funcin de auditora interna
2.4 Evaluar controles
3 Realizar pruebas de recorrido
4 Identificar Factores de Riesgo
(ESTE FORMATO ES UN REFERENTE Y PUEDE SER AJUSTADO, DE ACUERDO CON LAS CONDICIONES Y NECESIDADES DEL
PROCESO AUDITOR)
4.2 Asociar factores de riesgo de auditora a materias
especficas
4.3 Definir procesos significativos para la auditora
5Diligenciar Matriz para evaluar el diseo de controles -
Fase de Planeacin
6
1Conocer y analizar la Asignacin de Trabajo AT,
objetivo general y objetivos Especficos
8Elaborar los Planes de Trabajo por parte de otros
Equipos de Auditora -si los hay-
Definir estrategia de auditora
7Elaborar el Plan de Trabajo y Programas de Auditora
(Actividad A4)
9Determinar la Coherencia del Plan de Trabajo
Conjunto.
10 Aprobar el Plan de Trabajo Conjunto
-
19
ACTIVIDADES
Caractersticas del Servicio
La metodologa seguida por Internet Security Auditors para el desarrollo de las Auditoras
de Seguridad Fsica tiene como objetivo permitir la revisin exhaustiva de los aspectos de
seguridad de las infraestructuras fsicas de la empresa, cubriendo, entre otros, los siguientes
aspectos:
Acondicionamiento. Revisin de las caractersticas de construccin y componentes
de edificacin e instalaciones del recinto con la revisin y actualizacin de planos
de elementos principales, dimensiones y ubicacin; suelos, techos y estado general
de las instalaciones tcnicas, etc.
Sistemas anti intrusin Revisin de los sistemas que impiden y/o detectan un
acceso no autorizado a las instalaciones como la ubicacin de los elementos de
vigilancia y control de presencia, su proteccin del sistema y tolerancia a fallos;
revisin de los procedimientos de tratamiento y respuesta a alarmas, etc.
Sistemas de grabacin y vigilancia. Revisin de todos los componentes que
garantizan la grabacin de la actividad dentro de las zonas de acceso restringido o
de seguridad, etc.
Instalacin elctrica, SAIs y generadores. Revisin del sistema de suministro
elctrico y su resistencia estudiando el esquema de suministro elctrico hasta el
propio CPD, cobertura, anlisis de los cableados, etc.
Cableado Estructurado. Revisin del estado del sistema de cableado estructurado
as como el contenido de los diferentes bastidores (telefona, servidores,
comunicaciones de datos...), etc.
Control ambiental. Revisin de las condiciones ambientales del CPD y que estas
no supongan un propio riesgo para el funcionamiento de los sistemas alojados,
instalaciones y faciliten su propio mantenimiento en referencia a ventilacin,
temperatura, humedad, agua, humos, detectores ssmicos, etc.: equipos de deteccin
y/o medicin de estos parmetros, etc.
Si tiene cualquier consulta sobre los detalles del mbito de la Auditora de
Seguridad Fsica contacte con nosotros.
-
20
Resultados
Como resultado de todo el trabajo de Anlisis de las Infraestructuras y el posterior Anlisis
de Resultados y Documentacin, en el informe se expondrn los resultados obtenidos en la
Auditora de Seguridad Fsica junto con las recomendaciones, en caso necesario (de
acondicionamiento, sistemas anti intrusin, de sistemas elctricos, etc.).
Algunos de los resultados, que dependern de las caractersticas propias de cado caso, son
los siguientes:
Resumen ejecutivo.
Resultado obtenido en cada uno de los puntos analizados.
Vulnerabilidades detectadas y catalogadas segn su nivel de peligrosidad, as como
las recomendaciones para su eliminacin.
Cambios de configuracin recomendados en las infraestructuras para mejorar la
seguridad.
Cambios recomendados en los denominados permetros de seguridad.
Recomendaciones sobre nuevas aplicaciones, servicios y procesos que ayuden a
aumentar el nivel de seguridad.
Indicaciones para mejorar los controles fsicos de entrada.
Cambios recomendados en los emplazamientos y proteccin de los equipos.
Identificacin de puntos crticos donde es recomendable mejorar la seguridad del
cableado.
Cambios recomendados en las instalaciones de suministros.
Recomendaciones para mejorar la seguridad de los equipos fuera de las
instalaciones.
Cambios recomendados reutilizacin o retirada segura de equipos.
Mejoras a aplicar en relacin a la proteccin contra las amenazas externas y de
origen ambiental.
Recomendaciones, salvedades y acciones correctivas de los aspectos tcnicos
definidos por el dominio 9 de la ISO-27002
-
21