Auditoria seguridad física y del entorno iso/iec 27002:-2005

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
1
CONTENIDO
CAPÍTULO I: ........................................................................................................................................3
DESCRIPCIÓN DE LA ORGANIZACIÓN.................................................................................................3
1.1. NOMBRE DE LA EMPRESA: “zzzzzz"..............................................................................4
1.2. NATURALEZA DE LA EMPRESA ......................................................................................4
1.3. UBICACIÓN GEOGRÁFICA..............................................................................................4
1.4. VISIÓN............................................................................................................................4
1.5. MISIÓN...........................................................................................................................4
1.6. VALORES ........................................................................................................................4
1.7. ORGANIGRAMA DE LA EMPRESA..................................................................................5
CAPÍTULO II: .......................................................................................................................................6
MARCO TEÓRICO................................................................................................................................6
2.1. Seguridad Física..............................................................................................................7
2.2. Amenazas previstas en Seguridad Física........................................................................7
2.3. Desastre .........................................................................................................................8
2.4. Vulnerabilidad................................................................................................................8
2.4.1. Vulnerabilidad Física ..................................................................................................8
2.5. Peligro ............................................................................................................................9
2.6. Mitigar..........................................................................................................................10
2.7. Riesgo...........................................................................................................................11
2.8. Estructura General ISO/IEC 27002:2005:.....................................................................11
2.9. Descripción de los Dominios y sus Objetivos...............................................................11
2.10. Seguridad Física y del Entorno o Ambiente .............................................................14
2.10.1. Áreas Seguras...........................................................................................................14
2.10.1.1. Perímetro de Seguridad Física .............................................................................14
2.10.1.2. Controles de Ingreso Físico ..................................................................................14
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios .....................................................14
2.10.1.4. Protección contra Amenazas Externas e Internas ...............................................14
2.10.1.5. Trabajo en Áreas Aseguradas...............................................................................15
2.10.1.6. Áreas de Acceso Público, Entrega y Carga ...........................................................15
2.10.2. Equipo de Seguridad ................................................................................................15
2.10.2.1. Ubicación y Protección del equipo.......................................................................15
2.10.2.2. Servicios Públicos de Soporte ..............................................................................15

2
2.10.2.3. Seguridad del Cableado .......................................................................................15
2.10.2.4. Mantenimiento de Equipo ...................................................................................15
2.10.2.5. Seguridad del Equipo fuera del Local...................................................................16
2.10.2.6. Seguridad de la Eliminación o Re uso del Equipo ................................................16
2.10.2.7. Retiro de Propiedad .............................................................................................16
CAPÍTULO III .....................................................................................................................................17
DESCRIPCIÓN DE LA AUDITORIA ......................................................................................................17
3.1. Objetivos de la Auditoria..................................................................................................18
3.1.1. Objetivo General......................................................................................................18
3.1.2. Objetivos Específicos................................................................................................18
3.2. Técnicas para reunir Evidencias de la Auditoría ..............................................................18
3.2.1. Entrevista .................................................................................................................18
3.2.2. Observación .............................................................................................................18
3.3. Informe de la Auditoría....................................................................................................22
3.3.1. Alcance de la Auditoría ............................................................................................22
3.3.2. Cliente: .....................................................................................................................22
3.3.3. Líder del Equipo........................................................................................................23
3.3.4. Actividades Realizadas .............................................................................................23
3.3.5. Criterios de la Auditoria ...........................................................................................23
3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005.............................................23
3.3.6.1. Mediante la entrevista:........................................................................................24
3.3.6.2. Mediante la Observación utilizando la lista de verificación: ...............................24
3.3.7. Conclusiones de la Auditoría....................................................................................27
ANEXOS ............................................................................................................................................29
ANEXO Nº1: ENTREVISTA.............................................................................................................30
ENTREVISTACON LA DIRECCIÓN ......................................................................................................31
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICASOBRE LOS PLANES DE TI ..................................32
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICASOBRE LA GESTIÓNDE RIESGOS .......................33
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA ADMINISTRACIONDE SISTEMAS......35
ANEXO 30: CARTA AL DIRECTOR..................................................................................................37
Carta al Director...............................................................................................................................38

[Escriba texto]
CAPÍTULO I:
DESCRIPCIÓN DE LA ORGANIZACIÓN

4
1.1. NOMBRE DE LA EMPRESA: “zzzzzz"
1.2. NATURALEZA DE LA EMPRESA
Somos una institución líder en el sistema privado de salud, brindamos servicios
de salud confiable y segura a todo el centro del país, orientándonos
permanentemente hacia la excelencia con tecnología de vanguardia para el
diagnóstico y tratamiento de todas las enfermedades, alto nivel profesional
1.3. UBICACIÓN GEOGRÁFICA
1.4. VISIÓN
“Ser la red privada de salud líder en la región centro del país, satisfaciendo las
necesidades del usuario y brindándoles personal altamente capacitado,
motivado y apoyado en tecnología de punta".
1.5. MISIÓN
“Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;
bajo los soportes de un excelente equipo humano, tecnología e infraestructura
moderna”
1.6. VALORES
 Honestidad y lealtad
 Comunicación
 Excelencia enfocada en el paciente
 Trabajo en equipo
 Liderazgo

5
1.7. ORGANIGRAMA DE LA EMPRESA

[Escriba texto]
CAPÍTULO II:
MARCO TEÓRICO

7
2.1. Seguridad Física
Es muy importante ser consciente que por más que la empresa sea la más segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);
la seguridad de la misma será nula si no se ha previsto como combatir un incendio
o cualquier otro tipo de desastre natural y no tener presente políticas claras de
recuperación.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema informático. Si bien algunos de los aspectos de seguridad física básicos se
prevén, otros, como la detección de un atacante interno a la empresa que intenta
acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar
en que para un atacante sea más fácil lograr tomar y copiar una cinta de backup
de la sala de cómputo, que intentar acceder vía lógica a la misma.
Teniendo las siguientes ventajas:
 Disminuir siniestros.
 Trabajar mejor manteniendo la sensación de seguridad.
 Descartar falsas hipótesis si se produjeran incidentes.
 Tener los medios para luchar contra accidentes.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial”. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2. Amenazas previstas en Seguridad Física
 Desastres naturales, incendios accidentales, tormentas e inundaciones
 Amenazas ocasionadas por el hombre.
 Disturbios, sabotajes internos y externos deliberados.

8
2.3. Desastre
Interrupción grave en el funcionamiento de una comunidad causando grandes pérdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnológico).
2.4. Vulnerabilidad
Grado de resistencia y/o exposición de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser física, social, cultural, económica, institucional y
otros.
2.4.1. Vulnerabilidad Física
Está relacionada con la calidad o tipo de material utilizado y el tipo de
construcción de las viviendas, establecimientos económicos (comerciales e
industriales) y de servicios (salud, educación, sede de instituciones
públicas), e infraestructura socioeconómica (central hidroeléctrica,
carretera, puente y canales de riego), para asimilar los efectos del peligro.
La vulnerabilidad, es el grado de debilidad o exposición de un elemento o
conjunto de elementos frente a la ocurrencia de un peligro natural o
antrópico de una magnitud dada. Es la facilidad como un elemento
(infraestructura, vivienda, actividades productivas, grado de organización,
sistemas de alerta y desarrollo político institucional, entre otros), pueda
sufrir daños humanos y materiales. Se expresa en términos de
probabilidad, en porcentaje de 0 a 100.
La vulnerabilidad, es entonces una condición previa que se manifiesta
durante el desastre, cuando no se ha invertido lo suficiente en obras o
acciones de prevención y mitigación y se ha aceptado un nivel de riesgo
demasiado alto.
Para su análisis, la vulnerabilidad debe promover la identificación y
caracterización de los elementos que se encuentran expuestos, en una
determinada área geográfica, a los efectos desfavorables de un peligro
adverso

9
CUADRO Nº 1: VULNERABILIDAD FÍSICA
CUADRO Nº 2: ESTRATO, DESCRIPCIÓN Y VALOR DE LA VULNERABILIDAD
2.5. Peligro
Es la probabilidad de ocurrencia de un fenómeno natural o tecnológico potencialmente
dañino, para un periodo específico y una localidad o zona conocidas. Se identifica, en la
mayoría de los casos, con el apoyo de la ciencia y tecnología.

10
GRÁFICO Nº 1: CLASIFICACIÓN DE LOS PRINCIPALES PELIGROS
CUADRO Nº 3: MATRIZ DE PELIGRO Y VULNERABILIDAD
2.6. Mitigar
Reducción de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevención que se toman a nivel de ingeniería, dictado de normas legales,
la planificación y otros, están orientadas a la protección de vidas humanas, de bienes
materiales y de producción contra desastres de origen natural, biológicos y tecnológicos

11
2.7. Riesgo
Es la probabilidad de ocurrencia de un fenómeno natural o tecnológico potencialmente
dañino, para un periodo específico y una localidad o zona conocidas. Se identifica, en la
mayoría de los casos, con el apoyo de la ciencia y tecnología
2.8. Estructura General ISO/IEC 27002:2005:
Dominios : 11
Objetivos de Control : 39
Controles : 133
2.9. Descripción de los Dominios y sus Objetivos
 Políticas de Seguridad
 Proporcionar a la gerencia la dirección y soporte para la seguridad de
la información en concordancia con los requerimientos comerciales y
las leyes y regulaciones relevantes.
 Aspectos Organizativos de la Seguridad de la Información
 Manejar la seguridad de la información dentro de la organización.
 Gestión de Activos
 Lograr y mantener una apropiada protección de los activos
organizacionales
 Seguridad Ligada a los Recursos Humanos
 Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idóneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
 Asegurar que los usuarios empleados, contratistas y terceras personas
estén al tanto de las amenazas e inquietudes de la seguridad de la
información, sus responsabilidades y obligaciones, y estén equipadas
para apoyar la política de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.

12
 Asegurar que los usuarios empleados, contratistas y terceras personas
salgan de la organización o cambien de empleo de una manera
ordenada.
 Seguridad Física y del Entorno o Ambiente
 Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales de la organización.
 Gestión de Comunicaciones y Operaciones
 Asegurar la operación correcta y segura de los medios de
procesamiento de la información.
 Implementar y mantener el nivel apropiado de seguridad de la
información y la entrega del servicio en línea con los acuerdos de
entrega de servicios de terceros.
 Minimizar el riesgo de fallas en el sistema.
 Proteger la integridad del software y la integración
 Mantener la integridad y disponibilidad de la información y los
medios de procesamiento de información
 Asegurar la protección de la información en redes y la protección de
la infraestructura de soporte.
 Evitar la divulgación no-autorizada; modificación, eliminación o
destrucción de activos; y la interrupción de las actividades comerciales
 Mantener la seguridad en el intercambio de información y software
dentro de la organización y con cualquier otra entidad externa
 Asegurar la seguridad de los servicios de comercio electrónico y su uso
seguro.
 Detectar las actividades de procesamiento de información no
autorizadas
 Control de Acceso
 Controlar el acceso a la información
 Asegurar el acceso del usuario autorizado y evitar el acceso no
autorizado a los sistemas de información

13
 Evitar el acceso de usuarios no-autorizados, evitar poner en peligro
la información y evitar el robo de información y los medios de
procesamiento de la información.
 Evitar el acceso no autorizado a los servicios de la red
 Evitar el acceso no autorizado a los sistemas operativos.
 Asegurar la seguridad de la información cuando se utiliza medios
de computación y tele-trabajo móviles
 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
 Garantizar que la seguridad sea una parte integral de los sistemas
de información.
 Prevenir errores, pérdida, modificación no autorizada o mal uso de
la información en las aplicaciones
 Proteger la confidencialidad, autenticidad o integridad a través de
medios criptográficos
 Garantizar la seguridad de los archivos del sistema
 Mantener la seguridad del software y la información del sistema de
aplicación
 Reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas
 Gestión de Incidentes en la Seguridad de la Información
 Asegurar que los eventos y debilidades de la seguridad de la
información asociados con los sistemas de información sean
comunicados de una manera que permita que se realice una acción
correctiva oportuna.
 Asegurar que se aplique un enfoque consistente y efectivo a la
gestión de los incidentes en la seguridad de la información
 Gestión de la Continuidad del Negocio
 Contraatacar las interrupciones a las actividades comerciales y
proteger los procesos comerciales críticos de los efectos de fallas
importantes o desastres en los sistemas de información y asegurar
su reanudación oportuna.

14
 Cumplimiento
 Evitar las violaciones a cualquier ley; regulación estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
 Asegurar el cumplimiento de los sistemas con las políticas y
estándares de seguridad organizacional.
 Maximizar la efectividad de recuraos informáticos y minimizar la
interferencia desde/hacia el proceso de auditoría del sistema de
información.
2.10. Seguridad Física y del Entorno o Ambiente
2.10.1. Áreas Seguras
Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales de la organización.
2.10.1.1. Perímetro de Seguridad Física
Control 1: Se deben utilizar perímetros de seguridad (barreras tales como
paredes, rejas de entrada controladas por tarjetas o recepcionistas) para
proteger las áreas que contienen información y medios de procesamiento
de información.
2.10.1.2. Controles de Ingreso Físico
Control 2: Las áreas seguras son protegidas mediante controles de ingreso
apropiados para asegurar que sólo se le permita el acceso al personal
autorizado.
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios
Control 3: Se diseña y aplica la seguridad física para las oficinas,
habitaciones y medios.
2.10.1.4. Protección contra Amenazas Externas e Internas
Control 4: Se asigna y aplica protección física contra daño por fuego,
inundación, terremoto, explosión, revuelta civil y otras formas de
desastres naturales o causados por el hombre.

15
2.10.1.5. Trabajo en Áreas Aseguradas
Control 5: Se diseña y aplica la protección física y los lineamientos para
trabajar en áreas aseguradas.
2.10.1.6. Áreas de Acceso Público, Entrega y Carga
Control 6: Se controlar los puntos de acceso como las áreas de entrega y
carga y otros puntos por donde personas no-autorizadas puedan ingresar
al local y, se aísla de los medios de procesamiento de información para
evitar el acceso no autorizado.
2.10.2. Equipo de Seguridad
Se evita pérdida, daño, robo o compromiso de los activos y la interrupción
de las actividades de la organización.
2.10.2.1. Ubicación y Protección del equipo
Control 7: Se ubica o protege el equipo para reducir las amenazas y
peligros ambientales y oportunidades para acceso no autorizado.
2.10.2.2. Servicios Públicos de Soporte
Control 8: Se protege el equipo de fallas de energía y otras interrupciones
causadas por fallas en los servicios públicos de soporte.
Las opciones para lograr la continuidad de los suministros de energía
incluyen múltiples alimentaciones para evitar que una falla en el
suministro de energía
2.10.2.3. Seguridad del Cableado
Control 9: El cableado de la energía y las telecomunicaciones que llevan la
data o dan soporte a los servicios de información debieran protegerse
contra la intercepción o daño.
2.10.2.4. Mantenimiento de Equipo
Control 10: Se debiera mantener correctamente el equipo para asegurar
su continua disponibilidad e integridad.

16
2.10.2.5. Seguridad del Equipo fuera del Local
Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando
en cuenta los diferentes riesgos de trabajar fuera del local de la
organización.
El equipo de almacenamiento y procesamiento de la información incluye
todas las formas de computadoras personales, organizadores, teléfonos
móviles, tarjetas inteligentes u otras formas que se utilicen para trabajar
desde casa o se transporte fuera de local normal de trabajo.
2.10.2.6. Seguridad de la Eliminación o Re uso del Equipo
Control 12: Se debieran chequear los ítems del equipo que contiene
medios de almacenaje para asegurar que se haya retirado o sobre-escrito
cualquier data confidencial o licencia de software antes de su eliminación.
Los dispositivos que contienen data confidencial pueden requerir una
evaluación del riesgo para determinar si los ítems debieran ser físicamente
destruidos en lugar de enviarlos a reparar o descartar.
2.10.2.7. Retiro de Propiedad
Control 13: El equipo, información o software no debiera retirarse sin
autorización previa.
También se pueden realizar chequeos inesperados para detectar el
retiro de propiedad, dispositivos de grabación no-autorizados, armas,
etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser
llevados a cabo en concordancia con la legislación y regulaciones
relevantes. Las personas debieran saber que se llevan a cabo chequeos
inesperados, y los chequeos se debieran realizar con la debida autorización
de los requerimientos legales y reguladores.

[Escriba texto]
CAPÍTULO III
DESCRIPCIÓN DE LA AUDITORIA

18
3.1. Objetivos de la Auditoria
3.1.1. Objetivo General
Verificar la Suficiencia y cumplimiento de todos los parámetros de
seguridad tanto física como ambiental según ISO/IEC 27002:2005 con el
ítem de Seguridad Física y Ambiental.
3.1.2. Objetivos Específicos
 Realizar una entrevista con la mayor autoridad para solicitar la
autorización del desarrollo de la Auditoria.
 Realizar una visita a la empresa para revisar su infraestructura.
 Revisión mediante la observación directa del auditor.
 Evaluar la infraestructura en pro de la seguridad empresarial.
 Realización de listas de verificación para evaluar el desempeño de la
empresa en seguridad de la información.
 Realizar las debidas recomendaciones para realizar el mejoramiento de
la seguridad de la compañía.
3.2. Técnicas para reunir Evidencias de la Auditoría
3.2.1. Entrevista
Véase en el Anexo Nº 1
3.2.2. Observación
Para ello el equipo de trabajo manejo una lista de Verificación con las
características con la que debería contar la institución para poder cumplir
la ISO/IEC 27002:2005.

19
Control 1:
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Perímetros de seguridad debieran estar claramente
definidos (de acuerdo a los riesgos que los activos
tengan)
Las paredes externas del local son una construcción
sólida y todas las puertas externas están
adecuadamente protegidas contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando
están desatendidas y se debiera considerar una
protección externa para las ventas, particularmente en
el primer piso
Cuentan con un área de recepción con un(a)
recepcionista u otros medios para controlar el acceso
físico al local o edificio; el acceso a los locales y edificios
están restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras físicas
para prevenir el acceso físico no autorizado y la
contaminación ambiental
Todas las puertas de emergencia en un perímetro de
seguridad cuentan con alarma en concordancia con los
adecuados estándares regionales, nacionales e
internacionales
Operar en concordancia con el código contra-incendios
local de una manera totalmente segura
Existen sistemas de detección de intrusos según
estándares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
áreas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cómputo o cuarto
de comunicaciones
Los medios de procesamiento de información
manejados por la organización están físicamente
separados de aquellas manejadas por terceros

20
Control 2
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Llevar un registro de la fecha y la hora de entrada y salida
de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido
previamente aprobado
El acceso a áreas donde se procesa o almacena
información sensible se controla y restringe sólo a
personas autorizadas; utilizando controles de
autenticación
Los derechos de acceso a áreas seguras son revisados y
actualizados regularmente, y revocados cuando sea
necesario
Al personal de servicio de apoyo de terceros se le otorga
acceso restringido a las áreas seguras o los medios de
procesamiento de información confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
Control 3
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Se tiene en cuenta los estándares y regulaciones de
sanidad y seguridad relevantes
Se debieran localizar los medios claves para evitar el
acceso del público
Los directorios y teléfonos internos que identifiquen la
ubicación de los medios de procesamiento de la
información no están accesibles al público

21
Control 4
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Sólo el personal de mantenimiento autorizado llevara a
cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organización; cuando sea
necesario, se revisa la información confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las
pólizas de seguros
Control 5
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
El equipo y medios sacados del local nunca son dejados
desatendidos en lugares públicos
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
protección contra la exposición a fuertes campos
electromagnéticos
Se determinan controles para el trabajo en casa a través
de una evaluación del riesgo y los controles apropiados
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local

22
Control 6
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Los dispositivos que contienen información confidencial
son físicamente destruidos o se destruye, borra o sobre-
escribe la información utilizando técnicas que hagan
imposible recuperar la información original, en lugar de
simplemente utilizar la función estándar de borrar o
formatear
Control 7
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
No se retira equipo, información o software sin
autorización previa
Los usuarios empleados, contratistas y terceras
personas que tienen la autoridad para permitir el
retiro de los activos fuera del local están claramente
identificados
Se establecen límites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolución
Cuando sea necesario y apropiado, el equipo es
registrado como retirado del local y se registra su
retorno
3.3. Informe de la Auditoría
3.3.1. Alcance de la Auditoría
Todas las oficinas del ambiente de la “ZZZ”
3.3.2. Cliente:
Director………..

23
3.3.3. Líder del Equipo
3.3.4. Actividades Realizadas
Actividad Fecha
Realizar una entrevista con la mayor autoridad
para solicitar la autorización del desarrollo de la
Auditoria.
13/06/2013
Realizar una visita a la empresa para revisar su
infraestructura. Revisión mediante la observación
directa del auditor
13/06/2013
Evaluar la infraestructura en pro de la seguridad
empresarial
13/06/2013
Realización de listas de verificación para evaluar el
desempeño de la empresa en seguridad de la
información
13/06/2013
Realizar las debidas recomendaciones para realizar
el mejoramiento de la seguridad de la compañía
21/06/2013
3.3.5. Criterios de la Auditoria
- Compromiso de la alta gerencia.
- Control de acceso. En una infraestructura de este tipo siempre
tenemos que tener el control del tiempo para accesos restringidos.
- Pruebas de mecanismos de detección y alarma.
- Extintores, la sala de contraincendios, los sensores de humedad, de
temperatura, de detección de humo y de movimiento.
- Acceso de mercancías y personal de proveedores.
- Ausencia de seguridad perimetral o seguridad perimetral insuficiente.
- Gestión de energía. En estos centros se consume grandes cantidades
de energía, y por tanto, requiere de medidas especiales para asegurar
que el flujo energético esté garantizado ante cualquier tipo de
incidente, y que en el peor de los casos, el suministro pueda ser
establecido por medios alternativos.
3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005
Utilizando el ISO ya nombrado se utilizó una lista de verificación donde se
encontraban las características de los controles para así determinar que
insuficiencias tenía la organización.

24
3.3.6.1. Mediante la entrevista:
Como se observa en al Anexo Nº 1, existe una dejadez de parte
de la alta gerencia en poder implantar una mayor seguridad en
su institución, teniendo como su máxima barrera la economía,
pero esto a la larga le generará una mayor perdida. Esto se
observa también cuando no existen documentos administrativos
como el Plan Operativo Institucional, Plan estratégico
Institucional, Plan de Contingencia, Plan de Continuidad de la
Organización, entre otros.
3.3.6.2. Mediante la Observación utilizando la lista de verificación:
Control 1:
Ítem a Evaluado
Cumple
NoCumple
AnexoNº
Perímetros de seguridad debieran estar claramente
definidos (de acuerdo a los riesgos que los activos
tengan)
. 2
Las paredes externas del local son una construcción
sólida y todas las puertas externas están
adecuadamente protegidas contra accesos no
autorizados mediante mecanismos de control
. 3
Las puertas y ventanas quedan aseguradas cuando
están desatendidas y se debiera considerar una
protección externa para las ventas, particularmente en
el primer piso
. 3
Cuentan con un área de recepción con un(a)
recepcionista u otros medios para controlar el acceso
físico al local o edificio; el acceso a los locales y edificios
están restringidos solamente al personal autorizado
. 4
Cuando sea aplicable, se elaboran las barreras físicas
para prevenir el acceso físico no autorizado y la
contaminación ambiental
. 5
Todas las puertas de emergencia en un perímetro de
seguridad cuentan con alarma en concordancia con los
adecuados estándares regionales, nacionales e
internacionales
. 6,
29
Operar en concordancia con el código contra-incendios
local de una manera totalmente segura . 7,
10

25
Existen sistemas de detección de intrusos según
estándares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
áreas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cómputo o cuarto
de comunicaciones
. 8
Los medios de procesamiento de información
manejados por la organización están físicamente
separados de aquellas manejadas por terceros
. 9
Control 2
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Llevar un registro de la fecha y la hora de entrada y salida
de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido
previamente aprobado
. 4
El acceso a áreas donde se procesa o almacena
información sensible se controla y restringe sólo a
personas autorizadas; utilizando controles de
autenticación
. 11
Los derechos de acceso a áreas seguras son revisados y
actualizados regularmente, y revocados cuando sea
necesario
. 13
Al personal de servicio de apoyo de terceros se le otorga
acceso restringido a las áreas seguras o los medios de
procesamiento de información confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
. 12
Control 3
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Se tiene en cuenta los estándares y regulaciones de
sanidad y seguridad relevantes . 14,
17
Se debieran localizar los medios claves para evitar el
acceso del público . 15,
16

26
Los directorios y teléfonos internos que identifiquen la
ubicación de los medios de procesamiento de la
información no están accesibles al público
. 18
Control 4
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Sólo el personal de mantenimiento autorizado llevara a
cabo las reparaciones y dar servicio al equipo . 19
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo . 20,
21
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organización; cuando sea
necesario, se revisa la información confidencial del
equipo, o se verifica al personal de mantenimiento
.
Cumple con todos los requerimientos impuestos por las
pólizas de seguros . 22
Control 5
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
El equipo y medios sacados del local nunca son dejados
desatendidos en lugares públicos . 19
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
protección contra la exposición a fuertes campos
electromagnéticos
. 23
Se determinan controles para el trabajo en casa a través
de una evaluación del riesgo y los controles apropiados
conforme sea apropiado
. 24
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local . 25

27
Control 6
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
Los dispositivos que contienen información confidencial
son físicamente destruidos o se destruye, borra o sobre-
escribe la información utilizando técnicas que hagan
imposible recuperar la información original, en lugar de
simplemente utilizar la función estándar de borrar o
formatear
. 26
Control 7
Ítem a Evaluar
Cumple
NoCumple
AnexoNº
No se retira equipo, información o software sin
autorización previa . 12
Los usuarios empleados, contratistas y terceras
personas que tienen la autoridad para permitir el
retiro de los activos fuera del local están claramente
identificados
. 27
Se establecen límites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolución .
Cuando sea necesario y apropiado, el equipo es
registrado como retirado del local y se registra su
retorno
. 28
3.3.7. Conclusiones de la Auditoría
La auditoría Física tiene como objetivo establecer cuáles son los puntos de
quiebre que la institución debe cumplir para poder garantizar la seguridad
física y Ambiental de la institución.
Véase Anexo Nº 29, donde se dan las recomendaciones y hallazgos
encontrados en su institución.

28
Para lo cual se le recomienda:
 Invertir en la seguridad Física y Ambiental, porque a la larga la
institución se estaría ahorrando muchas pérdidas económicas
como humanas dentro de los activos de la empresa. Para poder
eliminar así las vulnerabilidades y riesgos que tengan nuestros
activos ante cualquier evento Físico y Ambiental.
 Los medios de procesamiento de información crítica o confidencial
debieran ubicarse en áreas seguras, protegidas por los perímetros
de seguridad definidos, con las barreras de seguridad y controles
de entrada apropiados. Debieran estar físicamente protegidos del
acceso no autorizado, daño e interferencia
 Se debe proteger el equipo de amenazas físicas y ambientales.
 La protección del equipo (incluyendo aquel utilizado fuera del local
y la eliminación de propiedad) es necesaria para reducir el riesgo
de acceso no-autorizado a la información y proteger contra pérdida
o daño. Esto también se considera la ubicación y eliminación del
equipo.
 Se requieren controles especiales para proteger el equipo contra
amenazas físicas, y salvaguardar los medios de soporte como el
suministro eléctrico y la infraestructura del cableado

[Escriba texto]
ANEXO Nº1: ENTREVISTA

ENTORNO]
ENTREVISTACON LA DIRECCIÓN
 Objetivo:
Conocer el plan estratégico de la organización y el grado de compromiso de la
dirección con la utilización de nuevas tecnologías.
 Fragmentos de la entrevista:
Auditor ¿Cree que la tecnología puede serle útil para alcanzar sus objetivos?
Director
Sí, por eso tenemos contratado un ingeniero de sistemas que se encargan
de que la tecnología esté siempre a punto.
Auditor
¿Tienen prevista alguna inversión en tecnología para mejorar sus procesos o
la calidad de los servicios que ofrecen?
Director
El ingeniero quiere que encarguemos el desarrollo de una página Web y de
un sistema que automatice todos nuestros procesos, pero eso supone una
inversión que no tenemos previsto afrontar.
Auditor
¿Dan libertad al departamento de informática para comprar el software o el
hardware que crean conveniente?
Director
La oficina de informática antes de hacer cualquier compra lo comunican a la
dirección para que demos el visto bueno y el presupuesto. Si nosotros
vemos que necesitamos algo que tenga que ver con la informática, se lo
comentamos al departamento de informática.
 Síntesis de la entrevista:
La dirección cree que la tecnología les puede ser útil, pero no quieren afrontar
ningún proyecto de gran envergadura. Para ella es suficiente con el trabajo del
ingeniero.
La dirección no da libertad al departamento de informática para que compre lo
que crea necesario. Cualquier compra debe ser aprobada por la dirección y
presupuestada.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICASOBRE LOS PLANES DE TI
 Objetivo:
Conocer los planes a corto y largo plazo en cuanto a tecnologías de la
información y los planes de infraestructura tecnológica.
Auditor ¿Cómo valora sus sistemas de información actuales?, ¿está contento
con ellos?
Director de
Informática
Todos nuestros sistemas no son muy potentes. Pero, con ellos
estamos contentos porque estamos obteniendo resultados positivos.
Auditor ¿Tienen algún plan de tecnología para el futuro?
Director de
Informática
Nuestro objetivo es que todo se haga automáticamente, desde que un
cliente hace una cita hasta que este sea atendido oportunamente.
También creemos necesario una página Web que tenga un diseño
agradable para los clientes.Auditor ¿Qué opina la dirección de esa futura inversión?
Director de
Informática
La dirección está contenta porque las cosas están funcionando bien,
así que no quieren invertir en sistemas de información. Pero yo creo
que esa inversión va a ser necesaria a futuro si queremos seguir en el
mercado.
A pesar de no tener redactado un plan de sistemas de información, el
entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar
sus sistemas de información para seguir siendo competitivos y alcanzar una cuota
de mercado mayor. La idea del director de informática es:
 Tener una página Web que tenga un diseño agradable y que cumpla con
los estándares de usabilidad.
 Disponer de unos sistemas de información que automaticen todos sus
procesos.
El entrevistado ha expresado que el desarrollo de los nuevos sistemas de
información a cargo de una empresa externa supone una inversión importante y
que la dirección no quiere asumir el costo de dicha inversión ni a corto ni a medio
plazo.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICASOBRE LA GESTIÓN DE RIESGOS
 Objetivo:
Conocer las políticas y procedimientos relacionados con la evaluación de
riesgos. Conocer los seguros que cubren los riesgos.
Auditor
¿Tienen un documento de gestión de riesgos o algún proceso
establecido para gestionarlos?
Director de
Informática
Los riesgos no están especificados en ningún sitio, pero este plan
de riesgos se está elaborando para evitar futuras perdidas de
información.
Auditor
¿Qué ocurriría si ahora mismo si se diera alguno de los riesgos?
¿Cómo reaccionaría?
Director de
Informática
Intentaríamos valorar el alcance de la situación y estudiar la mejor
manera de solucionarlo pero ya que no contamos con un plan de
riesgos y tendríamos que requerir de una persona externa para
solucionar el problema claro está de que dicha persona tendría que
ser especialista en riesgos informáticos.Auditor
¿Han contratado algún seguro para proteger los sistemas ante
posibles pérdidas causadas por robos o desastres naturales?
Director de
Informática
No contamos con ningún seguro pero se ve que sería necesario ya que
contamos con sistemas especiales que están valorizados en un
presupuesto alto así que no es una opción perderlos sea cual sea la
situación. Síntesis de la entrevista:
No hay ningún documento sobre gestión de riesgos, pero el director del
departamento de informática tiene claros cuáles son los principales riesgos a
los que están expuestos.
El principal riesgo identificado es la caída del servidor. Si el servidor falla, se
podría perder información valiosa. Para intentar disminuir la probabilidad del
riesgo, cuenta con copias de seguridad alojadas en un disco duro.
Otro riesgo identificado es la pérdida de los datos del servidor. Los datos del
servidor se pueden perder debido a que algún empleado de la empresa o alguien
ajeno a la misma los borre o debido a que se estropee el soporte en el que se
almacenan. Para evitarlo, el administrador hace copias de seguridad de los
datos a menudo. Dichas copias se almacenan en un disco duro externo.
Otra cuestión que preocupa al entrevistado es el robo del servidor. Piensa que si
alguien logra el acceso a la habitación del servidor y roba el servidor, la empresa

ENTORNO]
quedaría bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.
La habitación del servidor no dispone de cerradura.
No hay ninguna póliza de seguros contratada que cubra pérdidas en cuanto a
sistemas de información. El entrevistado no lo considera necesario.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMÁTICA SOBRE LA ADMINISTRACIONDE
SISTEMAS
 Objetivo:
Conocer el plan de continuidad de la empresa respecto a los
servicios informáticos.
Auditor
¿Qué ocurriría si en un momento determinado se cayera o
deteriorará el servidor?
Administrad
or
Sería un problema grande ya que en la clínica solo contamos con un
servidor, pero tal vez la ventaja es que contamos con una copia de
respaldo que se realiza semanal en un disco duro aunque claro de
todas maneras habría perdida de información pero no seria tan
abrumador .Auditor
Respecto al almacenamiento de datos, ¿existe algún salvado de los
datos que tiene la empresa?
Administrad
or
Si, se realizan copias de seguridad, almacenando la información que
tiene el sistema en un disco duro externo.
Auditor
En caso de ocurrir algún problema en el servicio técnico, ¿se
resolvería con facilidad?
Administrad
or
Efectivamente, el departamento de informática está formado por un
ingeniero capacitados para ello.
De la entrevista realizada al administrador de sistemas se puede concluir que
no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad
debido a que la empresa necesita continuidad en los servicios informáticos,
puesto que en ellos se basa la productividad y la obtención de beneficios.
Un riesgo importante que podría acechar a la continuidad del servicio es la
caída o deterioro del servidor.
La continuidad también podría dañarse si se sufriera un borrado de datos de la
empresa. Como alternativa a este suceso, el administración de sistemas
confía en la recuperación de datos con ayuda de un disco duro externo.
Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el
desarrollo del mercado, el administrador de sistemas justifica que cualquier

ENTORNO]
hecho que afecte a la continuidad del servicio será resuelto por uno de los el
ingeniero que componen dicho departamento. Además, en la entrevista se
deduce que no existe un documento que enumere los riesgos ocurridos con el
fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.

[Escriba texto]
ANEXO 30: CARTA AL DIRECTOR

[Escriba texto]
Carta al Director
21 de junio de 2013
Auditoría externa
Dirección de la”zzzzzzzz”
Estimado Director,
Tras la realización de la auditoría a su empresa nos dirigimos a Ud. con el fin de
comunicarles los principales problemas encontrados.
El primer problema encontrado ha sido que no tienen un plan estratégico definido y,
por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisación las medidas que se adoptarían para solucionar una posible
situación comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Se tiene conexiones eléctricas y de red inadecuadas, que podrían ocasionar un
incendio.
Por último, destacar que la seguridad de la empresa merece una revisión, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.
Atentamente,
Los Auditores.

Auditoria seguridad física y del entorno iso/iec 27002:-2005

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Auditoria seguridad física y del entorno iso/iec 27002:-2005

Similar a Auditoria seguridad física y del entorno iso/iec 27002:-2005 (20)

Último

Último (11)

Auditoria seguridad física y del entorno iso/iec 27002:-2005