El documento propone políticas de seguridad para diferentes aspectos de la norma ISO 27002:2005 sobre seguridad física y del entorno. Se sugieren políticas como instalar cámaras de seguridad y puertas aseguradas con lectores biométricos para el perímetro y entrada al centro de datos, mantener equipos en racks con seguridad en el data center, y establecer cronogramas de mantenimiento de equipos e instalaciones eléctricas. También recomienda políticas para el control de acceso como usar contraseñas fuertes y re
RETO MES DE ABRIL .............................docx
Alexandra caguana auditoriainformática_ii_bimestre
1. Alexandra Caguana
Auditoria Informática
II Bimestre
Contabilidad y Auditoria
ENSAYO AUDITORIA
Revise el punto 10.4 capítulo 10 del libro base, páginas 291 a 294, “ISO
27002:2005 – Seguridad física y del entorno”. Proponga Usted en cada
aspecto de esta norma, una política necesaria que debería tener la
organización (20 aspectos). No es válido si hace copias exactas de normas o
políticas de organizaciones que ya las tienen definidas.
SEGURIDAD FISICA Y DEL ENTORNO
Perímetro de Seguridad.
La institución debe instalar cámaras de seguridad.
La infraestructura que rodea a los equipos deben ser de bloque y cemento.
Controles físicos de entrada
Las puertas de ingreso al centro de dato deben estar aseguras con
sistemas de bandas magnéticas con un lector de huellas dátiles y de
tarjetas en la parte exterior y un pulsador en la parte interior.
Seguridad de oficinas, despachos e instalaciones
Manuales de gestión de seguridad.
Al ingreso de áreas de oficinas estarán resguardadas por guardias de
seguridad.
Protección contra amenazas externas y ambientales
Instalación de detector de humo.
Realizar simulacros de evacuación periódicamente para que el personal
sepa como actuar en caso de amenazas externas y ambientales.
Trabajo en áreas seguras
Instalación de señal ética de áreas que se puede ingresar o de áreas
restringidas.
Áreas de acceso público, áreas de cargas y descarga
Las áreas de cargas o descargas deben estar correctamente estructuradas
es decir su construcción tiene que estar separada por departamentos con
las respectivos autorizaciones de acceso.
2. Alexandra Caguana
Auditoria Informática
II Bimestre
Contabilidad y Auditoria
Instalación y protección de los equipos
En lo posible los equipos servidores deben estar ubicados en RACK con su
respectiva seguridad.
Mantener una temperatura fría y templada en el Data Center.
Suministros eléctricos
Instalación de toma corriente con conexión a UPS para garantizar el
funcionamiento de los mismos.
Ejecutar cronograma de mantenimiento de suministros eléctricos.
Enlace de Backup a los suministros eléctricos.
Seguridad de cableado
Los cables de red de voz y datos deben ser cubiertos con protectores,
cuando estos van por tumbados deben ir por ductos de fierro.
Mantenimiento de equipos
Establecer un cronograma de mantenimiento periódico para todos los
equipos que estará a cargo del personal de sistemas cuyos procesos
permitirán obtener un historial del registro de mantenimiento.
Seguridad de los equipos fuera de los locales de la organización
Los equipos deben tener su respectiva póliza de segura.
Obtener copias de seguridad de la información.
Seguridad en la reutilización, enajenación o desechado de equipos
Realizar una revisión total de equipos a fin de asegurar que cualquier dato
sensibles o software de licencia haya sido removido colocando o colocado
un disco de respaldo.
Salida de las Instalaciones
Para poder retirar un equipo de las instalaciones de una empresa se debe
tener la autorización por parte del director.
3. Alexandra Caguana
Auditoria Informática
II Bimestre
Contabilidad y Auditoria
CONTROL DE ACCESO
Política de control de Acceso
Determinar el uso de contraseñas fuertes con el fin de garantizar que la
información solo sea accesible por el personal autorizado y que cuente con
un control de accesos.
Gestión de Acceso de Usuarios
La legalización de ingresos de altas y bajas de usuarios a todos los
sistemas y servicios de información para poder asegurar el buen uso de los
recursos.
Gestión de Privilegio
Las cuentas de usuarios con diferentes privilegios según la responsabilidad
del servidor dentro del sistema.
Revisión de derechos de accesos de Usuarios
Departamento de sistemas realizará periódicamente los derechos de
usuarios en los diferentes sistemas que mantenga la institución para
garantizar la información generada en los mismos y aplicar los correctivos
necesarios.
Equipo Informático de usuarios desatendidos
Emitir disposiciones sobre el uso correcto de los equipos dando a conocer
que en caso de ausencia del custodio del equipo, se debe aplicar
protectores de pantalla con clave y cierre de sesión de aplicaciones.
Políticas de limpieza de escritorio y pantalla
Todos los componentes del equipo deben estar libres de cualquier tipo de
materiales.
Usuarios debe ser responsable de la organización del escritorio donde se
encuentra el equipo de cómputo.
Informática móvil y comunicación.
Los usuarios deberán mantener buenas prácticas de uso, que orienten la
forma correcta de desarrollar y utilizar estos sistemas.