Auditoria seguridad física y del entorno iso/iec 27002:-2005

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO] 22 de junio de 2013

1

CONTENIDO CAPÍTULO I: ........................................................................................................................................ 3

DESCRIPCIÓN DE LA ORGANIZACIÓN ................................................................................................. 3

1.1. NOMBRE DE LA EMPRESA: “zzzzzz" .............................................................................. 4

1.2. NATURALEZA DE LA EMPRESA ...................................................................................... 4

1.3. UBICACIÓN GEOGRÁFICA .............................................................................................. 4

1.4. VISIÓN ............................................................................................................................ 4

1.5. MISIÓN ........................................................................................................................... 4

1.6. VALORES ........................................................................................................................ 4

1.7. ORGANIGRAMA DE LA EMPRESA .................................................................................. 5

CAPÍTULO II: ....................................................................................................................................... 6

MARCO TEÓRICO................................................................................................................................ 6

2.1. Seguridad Física .............................................................................................................. 7

2.2. Amenazas previstas en Seguridad Física ........................................................................ 7

2.3. Desastre ......................................................................................................................... 8

2.4. Vulnerabilidad ................................................................................................................ 8

2.4.1. Vulnerabilidad Física .................................................................................................. 8

2.5. Peligro ............................................................................................................................ 9

2.6. Mitigar .......................................................................................................................... 10

2.7. Riesgo ........................................................................................................................... 11

2.8. Estructura General ISO/IEC 27002:2005: ..................................................................... 11

2.9. Descripción de los Dominios y sus Objetivos ............................................................... 11

2.10. Seguridad Física y del Entorno o Ambiente ............................................................. 14

2.10.1. Áreas Seguras ........................................................................................................... 14

2.10.1.1. Perímetro de Seguridad Física ............................................................................. 14

2.10.1.2. Controles de Ingreso Físico .................................................................................. 14

2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14

2.10.1.4. Protección contra Amenazas Externas e Internas ............................................... 14

2.10.1.5. Trabajo en Áreas Aseguradas ............................................................................... 15

2.10.1.6. Áreas de Acceso Público, Entrega y Carga ........................................................... 15

2.10.2. Equipo de Seguridad ................................................................................................ 15

2.10.2.1. Ubicación y Protección del equipo ....................................................................... 15

2.10.2.2. Servicios Públicos de Soporte .............................................................................. 15


2

2.10.2.3. Seguridad del Cableado ....................................................................................... 15

2.10.2.4. Mantenimiento de Equipo ................................................................................... 15

2.10.2.5. Seguridad del Equipo fuera del Local ................................................................... 16

2.10.2.6. Seguridad de la Eliminación o Re uso del Equipo ................................................ 16

2.10.2.7. Retiro de Propiedad ............................................................................................. 16

CAPÍTULO III ..................................................................................................................................... 17

DESCRIPCIÓN DE LA AUDITORIA ...................................................................................................... 17

3.1. Objetivos de la Auditoria.................................................................................................. 18

3.1.1. Objetivo General ...................................................................................................... 18

3.1.2. Objetivos Específicos ................................................................................................ 18

3.2. Técnicas para reunir Evidencias de la Auditoría .............................................................. 18

3.2.1. Entrevista ................................................................................................................. 18

3.2.2. Observación ............................................................................................................. 18

3.3. Informe de la Auditoría .................................................................................................... 22

3.3.1. Alcance de la Auditoría ............................................................................................ 22

3.3.2. Cliente: ..................................................................................................................... 22

3.3.3. Líder del Equipo........................................................................................................ 23

3.3.4. Actividades Realizadas ............................................................................................. 23

3.3.5. Criterios de la Auditoria ........................................................................................... 23

3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005 ............................................. 23

3.3.6.1. Mediante la entrevista: ........................................................................................ 24

3.3.6.2. Mediante la Observación utilizando la lista de verificación: ............................... 24

3.3.7. Conclusiones de la Auditoría .................................................................................... 27

ANEXOS ............................................................................................................................................ 29

ANEXO Nº1: ENTREVISTA ............................................................................................................. 30

ENTREVISTA CON LA DIRECCIÓN ...................................................................................................... 31

ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LOS PLANES DE TI .................................. 32

ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA GESTIÓN DE RIESGOS ....................... 33

ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35

ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37

Carta al Director ............................................................................................................................... 38

[Escriba texto]

CAPÍTULO I:

DESCRIPCIÓN DE LA ORGANIZACIÓN


4

1.1. NOMBRE DE LA EMPRESA: “zzzzzz"

1.2. NATURALEZA DE LA EMPRESA

Somos una institución líder en el sistema privado de salud, brindamos servicios

de salud confiable y segura a todo el centro del país, orientándonos

permanentemente hacia la excelencia con tecnología de vanguardia para el

diagnóstico y tratamiento de todas las enfermedades, alto nivel profesional

1.3. UBICACIÓN GEOGRÁFICA

1.4. VISIÓN

“Ser la red privada de salud líder en la región centro del país, satisfaciendo las

necesidades del usuario y brindándoles personal altamente capacitado,

motivado y apoyado en tecnología de punta".

1.5. MISIÓN

“Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;

bajo los soportes de un excelente equipo humano, tecnología e infraestructura

moderna”

1.6. VALORES

Honestidad y lealtad

Comunicación

Excelencia enfocada en el paciente

Trabajo en equipo

Liderazgo


5

1.7. ORGANIGRAMA DE LA EMPRESA

[Escriba texto]

CAPÍTULO II:

MARCO TEÓRICO


7

2.1. Seguridad Física

Es muy importante ser consciente que por más que la empresa sea la más segura

desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);

la seguridad de la misma será nula si no se ha previsto como combatir un incendio

o cualquier otro tipo de desastre natural y no tener presente políticas claras de

recuperación.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un

sistema informático. Si bien algunos de los aspectos de seguridad física básicos se

prevén, otros, como la detección de un atacante interno a la empresa que intenta

acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar

en que para un atacante sea más fácil lograr tomar y copiar una cinta de backup

de la sala de cómputo, que intentar acceder vía lógica a la misma.

Teniendo las siguientes ventajas:

Disminuir siniestros.

Trabajar mejor manteniendo la sensación de seguridad.

Descartar falsas hipótesis si se produjeran incidentes.

Tener los medios para luchar contra accidentes.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y

procedimientos de control, como medidas de prevención y contramedidas ante

amenazas a los recursos e información confidencial”. Se refiere a los controles y

mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los

medios de acceso remoto al y desde el mismo; implementados para proteger el

hardware y medios de almacenamiento de datos.

2.2. Amenazas previstas en Seguridad Física

Desastres naturales, incendios accidentales, tormentas e inundaciones

Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados.


8

2.3. Desastre

Interrupción grave en el funcionamiento de una comunidad causando grandes pérdidas a

nivel humano, material o ambiental, suficientes para que la comunidad afectada no

pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se

clasifican de acuerdo a su origen (natural o tecnológico).

2.4. Vulnerabilidad

Grado de resistencia y/o exposición de un elemento o conjunto de elementos frente a la

ocurrencia de un peligro. Puede ser física, social, cultural, económica, institucional y

otros.

2.4.1. Vulnerabilidad Física

Está relacionada con la calidad o tipo de material utilizado y el tipo de

construcción de las viviendas, establecimientos económicos (comerciales e

industriales) y de servicios (salud, educación, sede de instituciones

públicas), e infraestructura socioeconómica (central hidroeléctrica,

carretera, puente y canales de riego), para asimilar los efectos del peligro.

La vulnerabilidad, es el grado de debilidad o exposición de un elemento o

conjunto de elementos frente a la ocurrencia de un peligro natural o

antrópico de una magnitud dada. Es la facilidad como un elemento

(infraestructura, vivienda, actividades productivas, grado de organización,

sistemas de alerta y desarrollo político institucional, entre otros), pueda

sufrir daños humanos y materiales. Se expresa en términos de

probabilidad, en porcentaje de 0 a 100.

La vulnerabilidad, es entonces una condición previa que se manifiesta

durante el desastre, cuando no se ha invertido lo suficiente en obras o

acciones de prevención y mitigación y se ha aceptado un nivel de riesgo

demasiado alto.

Para su análisis, la vulnerabilidad debe promover la identificación y

caracterización de los elementos que se encuentran expuestos, en una

determinada área geográfica, a los efectos desfavorables de un peligro

adverso


9

CUADRO Nº 1: VULNERABILIDAD FÍSICA

CUADRO Nº 2: ESTRATO, DESCRIPCIÓN Y VALOR DE LA VULNERABILIDAD

2.5. Peligro

Es la probabilidad de ocurrencia de un fenómeno natural o tecnológico potencialmente

dañino, para un periodo específico y una localidad o zona conocidas. Se identifica, en la

mayoría de los casos, con el apoyo de la ciencia y tecnología.


10

GRÁFICO Nº 1: CLASIFICACIÓN DE LOS PRINCIPALES PELIGROS

CUADRO Nº 3: MATRIZ DE PELIGRO Y VULNERABILIDAD

2.6. Mitigar

Reducción de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.

Las medidas de prevención que se toman a nivel de ingeniería, dictado de normas legales,

la planificación y otros, están orientadas a la protección de vidas humanas, de bienes

materiales y de producción contra desastres de origen natural, biológicos y tecnológicos


11

2.7. Riesgo

Es la probabilidad de ocurrencia de un fenómeno natural o tecnológico potencialmente

dañino, para un periodo específico y una localidad o zona conocidas. Se identifica, en la

mayoría de los casos, con el apoyo de la ciencia y tecnología

2.8. Estructura General ISO/IEC 27002:2005:

Dominios : 11

Objetivos de Control : 39

Controles : 133

2.9. Descripción de los Dominios y sus Objetivos

Políticas de Seguridad

Proporcionar a la gerencia la dirección y soporte para la seguridad de

la información en concordancia con los requerimientos comerciales y

las leyes y regulaciones relevantes.

Aspectos Organizativos de la Seguridad de la Información

Manejar la seguridad de la información dentro de la organización.

Gestión de Activos

Lograr y mantener una apropiada protección de los activos

organizacionales

Seguridad Ligada a los Recursos Humanos

Asegurar que los empleados, contratistas y terceros entiendan sus

responsabilidades, y sean idóneos para los roles para los cuales son

considerados; y reducir el riesgo de robo, fraude y mal uso de los

medios.

Asegurar que los usuarios empleados, contratistas y terceras personas

estén al tanto de las amenazas e inquietudes de la seguridad de la

información, sus responsabilidades y obligaciones, y estén equipadas

para apoyar la política de seguridad organizacional en el curso de su

trabajo normal, y reducir el riesgo de error humano.


12

Asegurar que los usuarios empleados, contratistas y terceras personas

salgan de la organización o cambien de empleo de una manera

ordenada.

Seguridad Física y del Entorno o Ambiente

Evitar el acceso físico no autorizado, daño e interferencia con la

información y los locales de la organización.

Gestión de Comunicaciones y Operaciones

Asegurar la operación correcta y segura de los medios de

procesamiento de la información.

Implementar y mantener el nivel apropiado de seguridad de la

información y la entrega del servicio en línea con los acuerdos de

entrega de servicios de terceros.

Minimizar el riesgo de fallas en el sistema.

Proteger la integridad del software y la integración

Mantener la integridad y disponibilidad de la información y los

medios de procesamiento de información

Asegurar la protección de la información en redes y la protección de

la infraestructura de soporte.

Evitar la divulgación no-autorizada; modificación, eliminación o

destrucción de activos; y la interrupción de las actividades comerciales

Mantener la seguridad en el intercambio de información y software

dentro de la organización y con cualquier otra entidad externa

Asegurar la seguridad de los servicios de comercio electrónico y su uso

seguro.

Detectar las actividades de procesamiento de información no

autorizadas

Control de Acceso

Controlar el acceso a la información

Asegurar el acceso del usuario autorizado y evitar el acceso no

autorizado a los sistemas de información


13

Evitar el acceso de usuarios no-autorizados, evitar poner en peligro

la información y evitar el robo de información y los medios de

procesamiento de la información.

Evitar el acceso no autorizado a los servicios de la red

Evitar el acceso no autorizado a los sistemas operativos.

Asegurar la seguridad de la información cuando se utiliza medios

de computación y tele-trabajo móviles

Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Garantizar que la seguridad sea una parte integral de los sistemas

de información.

Prevenir errores, pérdida, modificación no autorizada o mal uso de

la información en las aplicaciones

Proteger la confidencialidad, autenticidad o integridad a través de

medios criptográficos

Garantizar la seguridad de los archivos del sistema

Mantener la seguridad del software y la información del sistema de

aplicación

Reducir los riesgos resultantes de la explotación de las

vulnerabilidades técnicas publicadas

Gestión de Incidentes en la Seguridad de la Información

Asegurar que los eventos y debilidades de la seguridad de la

información asociados con los sistemas de información sean

comunicados de una manera que permita que se realice una acción

correctiva oportuna.

Asegurar que se aplique un enfoque consistente y efectivo a la

gestión de los incidentes en la seguridad de la información

Gestión de la Continuidad del Negocio

Contraatacar las interrupciones a las actividades comerciales y

proteger los procesos comerciales críticos de los efectos de fallas

importantes o desastres en los sistemas de información y asegurar

su reanudación oportuna.


14

Cumplimiento

Evitar las violaciones a cualquier ley; regulación estatutaria,

reguladora o contractual; y cualquier requerimiento de seguridad

Asegurar el cumplimiento de los sistemas con las políticas y

estándares de seguridad organizacional.

Maximizar la efectividad de recuraos informáticos y minimizar la

interferencia desde/hacia el proceso de auditoría del sistema de

información.

2.10. Seguridad Física y del Entorno o Ambiente

2.10.1. Áreas Seguras

Evitar el acceso físico no autorizado, daño e interferencia con la

información y los locales de la organización.

2.10.1.1. Perímetro de Seguridad Física

Control 1: Se deben utilizar perímetros de seguridad (barreras tales como

paredes, rejas de entrada controladas por tarjetas o recepcionistas) para

proteger las áreas que contienen información y medios de procesamiento

de información.

2.10.1.2. Controles de Ingreso Físico

Control 2: Las áreas seguras son protegidas mediante controles de ingreso

apropiados para asegurar que sólo se le permita el acceso al personal

autorizado.

2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios

Control 3: Se diseña y aplica la seguridad física para las oficinas,

habitaciones y medios.

2.10.1.4. Protección contra Amenazas Externas e Internas

Control 4: Se asigna y aplica protección física contra daño por fuego,

inundación, terremoto, explosión, revuelta civil y otras formas de

desastres naturales o causados por el hombre.


15

2.10.1.5. Trabajo en Áreas Aseguradas

Control 5: Se diseña y aplica la protección física y los lineamientos para

trabajar en áreas aseguradas.

2.10.1.6. Áreas de Acceso Público, Entrega y Carga

Control 6: Se controlar los puntos de acceso como las áreas de entrega y

carga y otros puntos por donde personas no-autorizadas puedan ingresar

al local y, se aísla de los medios de procesamiento de información para

evitar el acceso no autorizado.

2.10.2. Equipo de Seguridad

Se evita pérdida, daño, robo o compromiso de los activos y la interrupción

de las actividades de la organización.

2.10.2.1. Ubicación y Protección del equipo

Control 7: Se ubica o protege el equipo para reducir las amenazas y

peligros ambientales y oportunidades para acceso no autorizado.

2.10.2.2. Servicios Públicos de Soporte

Control 8: Se protege el equipo de fallas de energía y otras interrupciones

causadas por fallas en los servicios públicos de soporte.

Las opciones para lograr la continuidad de los suministros de energía

incluyen múltiples alimentaciones para evitar que una falla en el

suministro de energía

2.10.2.3. Seguridad del Cableado

Control 9: El cableado de la energía y las telecomunicaciones que llevan la

data o dan soporte a los servicios de información debieran protegerse

contra la intercepción o daño.

2.10.2.4. Mantenimiento de Equipo

Control 10: Se debiera mantener correctamente el equipo para asegurar

su continua disponibilidad e integridad.


16

2.10.2.5. Seguridad del Equipo fuera del Local

Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando

en cuenta los diferentes riesgos de trabajar fuera del local de la

organización.

El equipo de almacenamiento y procesamiento de la información incluye

todas las formas de computadoras personales, organizadores, teléfonos

móviles, tarjetas inteligentes u otras formas que se utilicen para trabajar

desde casa o se transporte fuera de local normal de trabajo.

2.10.2.6. Seguridad de la Eliminación o Re uso del Equipo

Control 12: Se debieran chequear los ítems del equipo que contiene

medios de almacenaje para asegurar que se haya retirado o sobre-escrito

cualquier data confidencial o licencia de software antes de su eliminación.

Los dispositivos que contienen data confidencial pueden requerir una

evaluación del riesgo para determinar si los ítems debieran ser físicamente

destruidos en lugar de enviarlos a reparar o descartar.

2.10.2.7. Retiro de Propiedad

Control 13: El equipo, información o software no debiera retirarse sin

autorización previa.

También se pueden realizar chequeos inesperados para detectar el

retiro de propiedad, dispositivos de grabación no-autorizados, armas,

etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser

llevados a cabo en concordancia con la legislación y regulaciones

relevantes. Las personas debieran saber que se llevan a cabo chequeos

inesperados, y los chequeos se debieran realizar con la debida autorización

de los requerimientos legales y reguladores.

[Escriba texto]

CAPÍTULO III

DESCRIPCIÓN DE LA AUDITORIA


18

3.1. Objetivos de la Auditoria

3.1.1. Objetivo General

Verificar la Suficiencia y cumplimiento de todos los parámetros de

seguridad tanto física como ambiental según ISO/IEC 27002:2005 con el

ítem de Seguridad Física y Ambiental.

3.1.2. Objetivos Específicos

Realizar una entrevista con la mayor autoridad para solicitar la

autorización del desarrollo de la Auditoria.

Realizar una visita a la empresa para revisar su infraestructura.

Revisión mediante la observación directa del auditor.

Evaluar la infraestructura en pro de la seguridad empresarial.

Realización de listas de verificación para evaluar el desempeño de la

empresa en seguridad de la información.

Realizar las debidas recomendaciones para realizar el mejoramiento de

la seguridad de la compañía.

3.2. Técnicas para reunir Evidencias de la Auditoría

3.2.1. Entrevista

Véase en el Anexo Nº 1

3.2.2. Observación

Para ello el equipo de trabajo manejo una lista de Verificación con las

características con la que debería contar la institución para poder cumplir

la ISO/IEC 27002:2005.


19

Control 1:

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Perímetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)

Las paredes externas del local son una construcción sólida y todas las puertas externas están adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control

Las puertas y ventanas quedan aseguradas cuando están desatendidas y se debiera considerar una protección externa para las ventas, particularmente en el primer piso

Cuentan con un área de recepción con un(a) recepcionista u otros medios para controlar el acceso físico al local o edificio; el acceso a los locales y edificios están restringidos solamente al personal autorizado

Cuando sea aplicable, se elaboran las barreras físicas para prevenir el acceso físico no autorizado y la contaminación ambiental

Todas las puertas de emergencia en un perímetro de seguridad cuentan con alarma en concordancia con los adecuados estándares regionales, nacionales e internacionales

Operar en concordancia con el código contra-incendios local de una manera totalmente segura

Existen sistemas de detección de intrusos según estándares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las áreas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cómputo o cuarto de comunicaciones

Los medios de procesamiento de información manejados por la organización están físicamente separados de aquellas manejadas por terceros


20

Control 2

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado

El acceso a áreas donde se procesa o almacena información sensible se controla y restringe sólo a personas autorizadas; utilizando controles de autenticación

Los derechos de acceso a áreas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario

Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las áreas seguras o los medios de procesamiento de información confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado

Control 3

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Se tiene en cuenta los estándares y regulaciones de sanidad y seguridad relevantes

Se debieran localizar los medios claves para evitar el acceso del público

Los directorios y teléfonos internos que identifiquen la ubicación de los medios de procesamiento de la información no están accesibles al público


21

Control 4

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Sólo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo

Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo

Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organización; cuando sea necesario, se revisa la información confidencial del equipo, o se verifica al personal de mantenimiento

Cumple con todos los requerimientos impuestos por las pólizas de seguros

Control 5

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

El equipo y medios sacados del local nunca son dejados desatendidos en lugares públicos

Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, protección contra la exposición a fuertes campos electromagnéticos

Se determinan controles para el trabajo en casa a través de una evaluación del riesgo y los controles apropiados conforme sea apropiado

Se cuenta con un seguro adecuado para proteger el equipo fuera del local


22

Control 6

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Los dispositivos que contienen información confidencial son físicamente destruidos o se destruye, borra o sobre-escribe la información utilizando técnicas que hagan imposible recuperar la información original, en lugar de simplemente utilizar la función estándar de borrar o formatear

Control 7

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

No se retira equipo, información o software sin autorización previa

Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local están claramente identificados

Se establecen límites de tiempo para el retiro del equipo y se realizan un chequeo de la devolución

Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno

3.3. Informe de la Auditoría

3.3.1. Alcance de la Auditoría

Todas las oficinas del ambiente de la “ZZZ”

3.3.2. Cliente:

Director………..


23

3.3.3. Líder del Equipo

3.3.4. Actividades Realizadas

Actividad Fecha

Realizar una entrevista con la mayor autoridad para solicitar la autorización del desarrollo de la Auditoria.

13/06/2013

Realizar una visita a la empresa para revisar su infraestructura. Revisión mediante la observación directa del auditor

13/06/2013

Evaluar la infraestructura en pro de la seguridad empresarial

13/06/2013

Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información

13/06/2013

Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía

21/06/2013

3.3.5. Criterios de la Auditoria

- Compromiso de la alta gerencia.

- Control de acceso. En una infraestructura de este tipo siempre

tenemos que tener el control del tiempo para accesos restringidos.

- Pruebas de mecanismos de detección y alarma.

- Extintores, la sala de contraincendios, los sensores de humedad, de

temperatura, de detección de humo y de movimiento.

- Acceso de mercancías y personal de proveedores.

- Ausencia de seguridad perimetral o seguridad perimetral insuficiente.

- Gestión de energía. En estos centros se consume grandes cantidades

de energía, y por tanto, requiere de medidas especiales para asegurar

que el flujo energético esté garantizado ante cualquier tipo de

incidente, y que en el peor de los casos, el suministro pueda ser

establecido por medios alternativos.

3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005

Utilizando el ISO ya nombrado se utilizó una lista de verificación donde se

encontraban las características de los controles para así determinar que

insuficiencias tenía la organización.


24

3.3.6.1. Mediante la entrevista:

Como se observa en al Anexo Nº 1, existe una dejadez de parte

de la alta gerencia en poder implantar una mayor seguridad en

su institución, teniendo como su máxima barrera la economía,

pero esto a la larga le generará una mayor perdida. Esto se

observa también cuando no existen documentos administrativos

como el Plan Operativo Institucional, Plan estratégico

Institucional, Plan de Contingencia, Plan de Continuidad de la

Organización, entre otros.

3.3.6.2. Mediante la Observación utilizando la lista de verificación:

Control 1:

Ítem a Evaluado

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Perímetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan)

. 2

Las paredes externas del local son una construcción sólida y todas las puertas externas están adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control

. 3

Las puertas y ventanas quedan aseguradas cuando están desatendidas y se debiera considerar una protección externa para las ventas, particularmente en el primer piso

. 3

Cuentan con un área de recepción con un(a) recepcionista u otros medios para controlar el acceso físico al local o edificio; el acceso a los locales y edificios están restringidos solamente al personal autorizado

. 4

Cuando sea aplicable, se elaboran las barreras físicas para prevenir el acceso físico no autorizado y la contaminación ambiental

. 5

Todas las puertas de emergencia en un perímetro de seguridad cuentan con alarma en concordancia con los adecuados estándares regionales, nacionales e internacionales

. 6, 29

Operar en concordancia con el código contra-incendios local de una manera totalmente segura

. 7, 10


25

Existen sistemas de detección de intrusos según estándares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las áreas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cómputo o cuarto de comunicaciones

. 8

Los medios de procesamiento de información manejados por la organización están físicamente separados de aquellas manejadas por terceros

. 9

Control 2

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado

. 4

El acceso a áreas donde se procesa o almacena información sensible se controla y restringe sólo a personas autorizadas; utilizando controles de autenticación

. 11

Los derechos de acceso a áreas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario

. 13

Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las áreas seguras o los medios de procesamiento de información confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado

. 12

Control 3

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Se tiene en cuenta los estándares y regulaciones de sanidad y seguridad relevantes

. 14, 17

Se debieran localizar los medios claves para evitar el acceso del público

. 15, 16


26

Los directorios y teléfonos internos que identifiquen la ubicación de los medios de procesamiento de la información no están accesibles al público

. 18

Control 4

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Sólo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo

. 19

Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo

. 20, 21

Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organización; cuando sea necesario, se revisa la información confidencial del equipo, o se verifica al personal de mantenimiento

.

Cumple con todos los requerimientos impuestos por las pólizas de seguros

. 22

Control 5

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

El equipo y medios sacados del local nunca son dejados desatendidos en lugares públicos

. 19

Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, protección contra la exposición a fuertes campos electromagnéticos

. 23

Se determinan controles para el trabajo en casa a través de una evaluación del riesgo y los controles apropiados conforme sea apropiado

. 24

Se cuenta con un seguro adecuado para proteger el equipo fuera del local

. 25


27

Control 6

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

Los dispositivos que contienen información confidencial son físicamente destruidos o se destruye, borra o sobre-escribe la información utilizando técnicas que hagan imposible recuperar la información original, en lugar de simplemente utilizar la función estándar de borrar o formatear

. 26

Control 7

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

An

exo

Nº

No se retira equipo, información o software sin autorización previa

. 12

Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local están claramente identificados

. 27

Se establecen límites de tiempo para el retiro del equipo y se realizan un chequeo de la devolución

.

Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno

. 28

3.3.7. Conclusiones de la Auditoría

La auditoría Física tiene como objetivo establecer cuáles son los puntos de

quiebre que la institución debe cumplir para poder garantizar la seguridad

física y Ambiental de la institución.

Véase Anexo Nº 29, donde se dan las recomendaciones y hallazgos

encontrados en su institución.


28

Para lo cual se le recomienda:

Invertir en la seguridad Física y Ambiental, porque a la larga la

institución se estaría ahorrando muchas pérdidas económicas

como humanas dentro de los activos de la empresa. Para poder

eliminar así las vulnerabilidades y riesgos que tengan nuestros

activos ante cualquier evento Físico y Ambiental.

Los medios de procesamiento de información crítica o confidencial

debieran ubicarse en áreas seguras, protegidas por los perímetros

de seguridad definidos, con las barreras de seguridad y controles

de entrada apropiados. Debieran estar físicamente protegidos del

acceso no autorizado, daño e interferencia

Se debe proteger el equipo de amenazas físicas y ambientales.

La protección del equipo (incluyendo aquel utilizado fuera del local

y la eliminación de propiedad) es necesaria para reducir el riesgo

de acceso no-autorizado a la información y proteger contra pérdida

o daño. Esto también se considera la ubicación y eliminación del

equipo.

Se requieren controles especiales para proteger el equipo contra

amenazas físicas, y salvaguardar los medios de soporte como el

suministro eléctrico y la infraestructura del cableado

[Escriba texto]

ANEXOS

[Escriba texto]

ANEXO Nº1: ENTREVISTA

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL ENTORNO]

ENTREVISTA CON LA DIRECCIÓN

Objetivo:

Conocer el plan estratégico de la organización y el grado de compromiso de la

dirección con la utilización de nuevas tecnologías.

Fragmentos de la entrevista:

Auditor ¿Cree que la tecnología puede serle útil para alcanzar sus objetivos?

Director

Sí, por eso tenemos contratado un ingeniero de sistemas que se encargan

de que la tecnología esté siempre a punto.

Auditor ¿Tienen prevista alguna inversión en tecnología para mejorar sus procesos o

la calidad de los servicios que ofrecen?

Director

El ingeniero quiere que encarguemos el desarrollo de una página Web y de

un sistema que automatice todos nuestros procesos, pero eso supone una

inversión que no tenemos previsto afrontar.

Auditor ¿Dan libertad al departamento de informática para comprar el software o el

hardware que crean conveniente?

Director

La oficina de informática antes de hacer cualquier compra lo comunican a la

dirección para que demos el visto bueno y el presupuesto. Si nosotros

vemos que necesitamos algo que tenga que ver con la informática, se lo

comentamos al departamento de informática. Síntesis de la entrevista:

La dirección cree que la tecnología les puede ser útil, pero no quieren afrontar

ningún proyecto de gran envergadura. Para ella es suficiente con el trabajo del

ingeniero.

La dirección no da libertad al departamento de informática para que compre lo

que crea necesario. Cualquier compra debe ser aprobada por la dirección y

presupuestada.


ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LOS PLANES DE TI

Objetivo:

Conocer los planes a corto y largo plazo en cuanto a tecnologías de la

información y los planes de infraestructura tecnológica.


Auditor ¿Cómo valora sus sistemas de información actuales?, ¿está contento con ellos?

Director de Informática

Todos nuestros sistemas no son muy potentes. Pero, con ellos estamos contentos porque estamos obteniendo resultados positivos.

Auditor ¿Tienen algún plan de tecnología para el futuro?


Nuestro objetivo es que todo se haga automáticamente, desde que un cliente hace una cita hasta que este sea atendido oportunamente. También creemos necesario una página Web que tenga un diseño agradable para los clientes. Auditor ¿Qué opina la dirección de esa futura inversión?


La dirección está contenta porque las cosas están funcionando bien, así que no quieren invertir en sistemas de información. Pero yo creo que esa inversión va a ser necesaria a futuro si queremos seguir en el mercado.

Síntesis de la entrevista:

A pesar de no tener redactado un plan de sistemas de información, el

entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar

sus sistemas de información para seguir siendo competitivos y alcanzar una cuota

de mercado mayor. La idea del director de informática es:

Tener una página Web que tenga un diseño agradable y que cumpla con

los estándares de usabilidad.

Disponer de unos sistemas de información que automaticen todos sus

procesos.

El entrevistado ha expresado que el desarrollo de los nuevos sistemas de

información a cargo de una empresa externa supone una inversión importante y

que la dirección no quiere asumir el costo de dicha inversión ni a corto ni a medio

plazo.


ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA GESTIÓN DE RIESGOS

Objetivo:

Conocer las políticas y procedimientos relacionados con la evaluación de

riesgos. Conocer los seguros que cubren los riesgos.


Auditor ¿Tienen un documento de gestión de riesgos o algún proceso establecido para gestionarlos?


Los riesgos no están especificados en ningún sitio, pero este plan de riesgos se está elaborando para evitar futuras perdidas de información.

Auditor ¿Qué ocurriría si ahora mismo si se diera alguno de los riesgos? ¿Cómo reaccionaría?


Intentaríamos valorar el alcance de la situación y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendríamos que requerir de una persona externa para solucionar el problema claro está de que dicha persona tendría que ser especialista en riesgos informáticos. Auditor ¿Han contratado algún seguro para proteger los sistemas ante posibles pérdidas causadas por robos o desastres naturales?


No contamos con ningún seguro pero se ve que sería necesario ya que contamos con sistemas especiales que están valorizados en un presupuesto alto así que no es una opción perderlos sea cual sea la situación.


No hay ningún documento sobre gestión de riesgos, pero el director del

departamento de informática tiene claros cuáles son los principales riesgos a

los que están expuestos.

El principal riesgo identificado es la caída del servidor. Si el servidor falla, se

podría perder información valiosa. Para intentar disminuir la probabilidad del

riesgo, cuenta con copias de seguridad alojadas en un disco duro.

Otro riesgo identificado es la pérdida de los datos del servidor. Los datos del

servidor se pueden perder debido a que algún empleado de la empresa o alguien

ajeno a la misma los borre o debido a que se estropee el soporte en el que se

almacenan. Para evitarlo, el administrador hace copias de seguridad de los

datos a menudo. Dichas copias se almacenan en un disco duro externo.

Otra cuestión que preocupa al entrevistado es el robo del servidor. Piensa que si

alguien logra el acceso a la habitación del servidor y roba el servidor, la empresa


quedaría bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.

La habitación del servidor no dispone de cerradura.

No hay ninguna póliza de seguros contratada que cubra pérdidas en cuanto a

sistemas de información. El entrevistado no lo considera necesario.


ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA ADMINISTRACION DE

SISTEMAS

Objetivo:

Conocer el plan de continuidad de la empresa respecto a los

servicios informáticos.


Auditor ¿Qué ocurriría si en un momento determinado se cayera o deteriorará el servidor?

Administrador

Sería un problema grande ya que en la clínica solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habría perdida de información pero no seria tan abrumador . Auditor Respecto al almacenamiento de datos, ¿existe algún salvado de los datos que tiene la empresa?

Administrador

Si, se realizan copias de seguridad, almacenando la información que tiene el sistema en un disco duro externo.

Auditor En caso de ocurrir algún problema en el servicio técnico, ¿se resolvería con facilidad?

Administrador

Efectivamente, el departamento de informática está formado por un ingeniero capacitados para ello.


De la entrevista realizada al administrador de sistemas se puede concluir que

no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad

debido a que la empresa necesita continuidad en los servicios informáticos,

puesto que en ellos se basa la productividad y la obtención de beneficios.

Un riesgo importante que podría acechar a la continuidad del servicio es la

caída o deterioro del servidor.

La continuidad también podría dañarse si se sufriera un borrado de datos de la

empresa. Como alternativa a este suceso, el administración de sistemas

confía en la recuperación de datos con ayuda de un disco duro externo.

Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el

desarrollo del mercado, el administrador de sistemas justifica que cualquier


hecho que afecte a la continuidad del servicio será resuelto por uno de los el

ingeniero que componen dicho departamento. Además, en la entrevista se

deduce que no existe un documento que enumere los riesgos ocurridos con el

fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.

[Escriba texto]

ANEXO 30: CARTA AL DIRECTOR

[Escriba texto]

Carta al Director

21 de junio de 2013

Auditoría externa

Dirección de la”zzzzzzzz”

Estimado Director,

Tras la realización de la auditoría a su empresa nos dirigimos a Ud. con el fin de

comunicarles los principales problemas encontrados.

El primer problema encontrado ha sido que no tienen un plan estratégico definido y,

por tanto, no tienen definidos claramente sus objetivos a largo plazo.

Otro problema detectado es que no existe un proceso para gestionar los riesgos,

dejando a la improvisación las medidas que se adoptarían para solucionar una posible

situación comprometida para la empresa. La inexistencia de este proceso puede

afectar seriamente a la continuidad del negocio.

Se tiene conexiones eléctricas y de red inadecuadas, que podrían ocasionar un

incendio.

Por último, destacar que la seguridad de la empresa merece una revisión, ya que

carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas

para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.

Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.

Atentamente,

Los Auditores.

Auditoria seguridad física y del entorno iso/iec 27002:-2005

Automotive

Transcript of Auditoria seguridad física y del entorno iso/iec 27002:-2005