Auditoria Informatica

1. PRUEBA DE ENSAYO
A. Revise punto10.4 del capítulo10 del librobase, páginas291 a 294, ¨ISO 27002:2005-
Seguridad física y del entorno¨. Proponga Usted en cada aspecto de esta norma, una
políticanecesariaque deberíatenerlaorganización(20 aspectos). No esválidosi hace
copias exactas de norma o políticas de organizaciones que ya las tienen definidas.
1. PERIMETRO DE SEGURIDAD:
El ingresoal áreadonde se encuentrelosservidoresse loharámediante laidentificación
con un chip entregado únicamente a personal autorizado.
2. CONTROLES FÍSICOS DE LA ENTRADA:
Únicamente el personalque tengaelchipprogramadoyautorizado paraaccederal área
de los servidores podrá ingresar. Se llevara un registro de entrada y salida del chip
3. SEGURIDAD DE OFICINAS, DESPACHOS E INSTALACIONES:
Se programara el chipsegúnel horarioque tiene el funcionario. Ysi deseaentrarenun
horario diferente será previa autorización.
4. PROTECCION CONTRA AMENAZAS EXTERNAS Y AMBIENTALES:
El área donde se encuentre los servidores debe tener ventilación, sensores de
incendios,inundaciones, extintoresetc., losmismosque se debendarmantenimiento
frecuente
5. TRABAJO EN AREAS SEGURAS :
Estas áreas deben contar con una correcta señalización, botiquín de primeros auxilios,
botón de pánico, salidas de emergencia y sobre todo con un plan de contingencia en
caso de presentarse una emergencia.
6. AREAS DE ACCESO PUBLICO, AREAS DE CARGA Y DESCARGA:
El área de servidoresdebe estarubicadoobligatoriamente enunlugarfueradel acceso
de personas no autorizadas.
7. INSTALACION Y PROTECCION DE EQUIPOS:
Los equipose instalaciones debenestarubicadosenunáreaexclusivaparaeste fin, un
lugar que proporcione todas las seguridades necesarias para garantizar que no sean
violentados.
8. SUMINISTRO ELECTRICO:
Implementar un UPS que de soporte a los equipos, estabilizando el servicio eléctrico,
para evitar pérdidas y daños de equipos.

2. 9. SEGURIDAD DE CABLEADO:
Todoel cableadoestructuradodebeestarbajocanaletasdebidamenteidentificadascon
colores para identificar a donde pertenecen.
10. MANTENIMIENTO DE EQUIPOS:
Dar mantenimiento cada 6 mesesatodos losequiposyasea con el personal propiode
la empresa o contratar un empresa especialista en mantenimiento informático.
11. SEGURIDAD DE LOS EQUIPOS FUERA DE LOS LOCALES DE LA ORGANIZACIÓN:

3. Losequiposque estánfuerade laorganización estábajolaresponsabilidaddelapersona
quien solicito la salida del equipo de la organización. Debe firmarse un acta entrega
recepciónpreviamenteautorizadadonde se establezcanlasresponsabilidades de uso.
12. SEGURIDAD EN LA REUTILIZACION, ENAJENACION O DESECHADO DE EQUIPOS:
Establecer un manual de procedimientos para el manejo, enajenacióno desechadode
equipos, software etc. Donde se explique claramente cómo proceder en cada caso y
donde se registre el fin que tuvo cada equipo, si fue reciclado total o parcialmente, si
fue donado, si se respaldó información etc.
13. SALIDA DE INSTALACIONES:
Para la salida de los equipos, software, información etc., deben tener una
AUTORIZACION debidamentelegalizadaporeljefe inmediatoyjefede informática, esta
debe estardebidamentemotivadayaqueúnicamente sedaráestaautorizaciónencasos
excepcionales.
CONTROL DE ACCESOS
14. POLITICA DE CONTROL DE ACCESOS:
Como políticade seguridadse debe programar losingresosa losusuarioscon un límite
de 3 errores cuando digiten la contraseña, en caso de no poder al tercer intentose le
bloquearalacontraseñay tendráque solicitarporescritoque le habilitennuevamente.
15. GESTION DE ACCESO A LOS USUARIOS:
Se llevara un control de acceso al sistema a través de un límite claves proporcionadas
únicamente al personal autorizado.
16. GESTION DE PRIVILEGIOS:
Cada usuario tendrá acceso a ciertas aplicaciones, según su cargo y perfil de usuario
requerido por su jefe inmediato. De igual manera los jefes tendrán autorizaciones
según su perfil.
17. REVISION DE DERECHOS DE ACCESO DE USUARIOS:
Se depurara y reprogramaran los usuarios cada una vez por año, para evitar la
saturación del sistema.
18. EQUIPO INFORMATICO DE USUARIOS DESATENDIDOS:
Se instalaraVNC, asistenciaremotade serel caso en lugaresdonde se tengaequiposy
no sea de fácil acceso de tal forma que se dé una atención oportuna.
19. POLITICAS DE LIMPIEZA DE ESCRITORIO Y PANTALLA:

4. Trimestralmente se llevara a cabo una limpieza de los escritorios y pantallas para
organiza los archivos.
20. INFOMATICA MOVIL Y DE COMUNICACIONES:
Instalar un software de ANTIVIRUS propio de la Empresa que se actualice
periódicamente para evitar daño en los equipos. Implementar el programa FIREWALL
para evitar contagios de virus.