Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL
ENTORNO] 22 de junio de 2013
CONTENIDO
CAPTULO I: ........................................................................................................................................ 3
DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3
1.1.
NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4
1.2.
NATURALEZA DE LA EMPRESA ...................................................................................... 4
1.3.
UBICACIN GEOGRFICA .............................................................................................. 4
1.4.
VISIN ............................................................................................................................ 4
1.5.
MISIN ........................................................................................................................... 4
1.6.
VALORES ........................................................................................................................ 4
1.7.
ORGANIGRAMA DE LA EMPRESA .................................................................................. 5
CAPTULO II: ....................................................................................................................................... 6

MARCO TERICO................................................................................................................................ 6
2.1.
Seguridad Fsica .............................................................................................................. 7
2.2.
Amenazas previstas en Seguridad Fsica ........................................................................ 7
2.3.
Desastre ......................................................................................................................... 8
2.4.
Vulnerabilidad ................................................................................................................ 8
2.4.1.
Vulnerabilidad Fsica .................................................................................................. 8
2.5.
Peligro ............................................................................................................................ 9
2.6.
Mitigar .......................................................................................................................... 10
2.7.
Riesgo ........................................................................................................................... 11
2.8.
Estructura General ISO/IEC 27002:2005: ..................................................................... 11
2.9.
Descripcin de los Dominios y sus Objetivos ............................................................... 11
2.10.
Seguridad Fsica y del Entorno o Ambiente ............................................................. 14
2.10.1.
reas Seguras ........................................................................................................... 14
2.10.1.1.
Permetro de Seguridad Fsica ............................................................................. 14
2.10.1.2.
Controles de Ingreso Fsico .................................................................................. 14
2.10.1.3.
Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14
2.10.1.4.
Proteccin contra Amenazas Externas e Internas ............................................... 14
2.10.1.5.
Trabajo en reas Aseguradas ............................................................................... 15
2.10.1.6.
reas de Acceso Pblico, Entrega y Carga ........................................................... 15
2.10.2.
Equipo de Seguridad ................................................................................................ 15
2.10.2.1.
Ubicacin y Proteccin del equipo ....................................................................... 15
2.10.2.2.
Servicios Pblicos de Soporte .............................................................................. 15

2.10.2.3.
Seguridad del Cableado ....................................................................................... 15
2.10.2.4.
Mantenimiento de Equipo ................................................................................... 15
2.10.2.5.
Seguridad del Equipo fuera del Local ................................................................... 16
2.10.2.6.
Seguridad de la Eliminacin o Re uso del Equipo ................................................ 16
2.10.2.7.
Retiro de Propiedad ............................................................................................. 16
CAPTULO III ..................................................................................................................................... 17

DESCRIPCIN DE LA AUDITORIA ...................................................................................................... 17
3.1.
Objetivos de la Auditoria.................................................................................................. 18
3.1.1.
Objetivo General ...................................................................................................... 18
3.1.2.
Objetivos Especficos................................................................................................ 18
3.2.
Tcnicas para reunir Evidencias de la Auditora .............................................................. 18
3.2.1.
Entrevista ................................................................................................................. 18
3.2.2.
Observacin ............................................................................................................. 18
3.3.
Informe de la Auditora .................................................................................................... 22
3.3.1.
Alcance de la Auditora ............................................................................................ 22
3.3.2.
Cliente: ..................................................................................................................... 22
3.3.3.
Lder del Equipo........................................................................................................ 23
3.3.4.
Actividades Realizadas ............................................................................................. 23
3.3.5.
Criterios de la Auditoria ........................................................................................... 23
3.3.6.
Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 ............................................. 23
3.3.6.1.
Mediante la entrevista: ........................................................................................ 24
3.3.6.2.
Mediante la Observacin utilizando la lista de verificacin: ............................... 24
3.3.7.
Conclusiones de la Auditora .................................................................................... 27
ANEXOS ............................................................................................................................................ 29
ANEXO N1: ENTREVISTA ............................................................................................................. 30
ENTREVISTA CON LA DIRECCIN ...................................................................................................... 31
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI .................................. 32
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS ....................... 33
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35
ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37
Carta al Director ............................................................................................................................... 38
[Escriba texto]
CAPTULO I:
DESCRIPCIN DE LA ORGANIZACIN

1.1. NOMBRE DE LA EMPRESA: zzzzzz"
1.2. NATURALEZA DE LA EMPRESA
Somos una institucin lder en el sistema privado de salud, brindamos servicios
de salud confiable y segura a todo el centro del pas, orientndonos
permanentemente hacia la excelencia con tecnologa de vanguardia para el
diagnstico y tratamiento de todas las enfermedades, alto nivel profesional
1.3. UBICACIN GEOGRFICA
1.4. VISIN
Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las
necesidades del usuario
y brindndoles personal
altamente capacitado,
motivado y apoyado en tecnologa de punta".

1.5. MISIN
Prestar servicios de salud integral: preventiva, recuperativa y rehabilitadora;
bajo los soportes de un excelente equipo humano, tecnologa e infraestructura
moderna
1.6. VALORES
Honestidad y lealtad
Comunicacin
Excelencia enfocada en el paciente
Trabajo en equipo
Liderazgo

1.7. ORGANIGRAMA DE LA EMPRESA
[Escriba texto]
CAPTULO II:
MARCO TERICO

ENTORNO]
2.1.
22 de junio de 2013
Seguridad Fsica
Es muy importante ser consciente que por ms que la empresa sea la ms segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);
la seguridad de la misma ser nula si no se ha previsto como combatir un incendio
o cualquier otro tipo de desastre natural y no tener presente polticas claras de
recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un
sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar
en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup
de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2.
Amenazas previstas en Seguridad Fsica

Desastres naturales, incendios accidentales, tormentas e inundaciones
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

ENTORNO]
2.3.
22 de junio de 2013
Desastre
Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnolgico).
2.4.
Vulnerabilidad
Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y
otros.
2.4.1. Vulnerabilidad Fsica

Est relacionada con la calidad o tipo de material utilizado y el tipo de
construccin de las viviendas, establecimientos econmicos (comerciales e
industriales) y de servicios (salud, educacin, sede de instituciones
pblicas), e infraestructura socioeconmica (central hidroelctrica,
carretera, puente y canales de riego), para asimilar los efectos del peligro.
La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o
conjunto de elementos frente a la ocurrencia de un peligro natural o
antrpico de una magnitud dada. Es la facilidad como un elemento
(infraestructura, vivienda, actividades productivas, grado de organizacin,
sistemas de alerta y desarrollo poltico institucional, entre otros), pueda
sufrir daos humanos y materiales. Se expresa en trminos de
probabilidad, en porcentaje de 0 a 100.
La vulnerabilidad, es entonces una condicin previa que se manifiesta
durante el desastre, cuando no se ha invertido lo suficiente en obras o
acciones de prevencin y mitigacin y se ha aceptado un nivel de riesgo
demasiado alto.
Para su anlisis, la vulnerabilidad debe promover la identificacin y
caracterizacin de los elementos que se encuentran expuestos, en una
determinada rea geogrfica, a los efectos desfavorables de un peligro
adverso

ENTORNO]
22 de junio de 2013
CUADRO N 1: VULNERABILIDAD FSICA
CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD
2.5.
Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa.

ENTORNO]
22 de junio de 2013
GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS
CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD
2.6.
Mitigar
Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,
la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes
materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos
10

ENTORNO]
2.7.
22 de junio de 2013
Riesgo
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa
2.8.
Estructura General ISO/IEC 27002:2005:

Dominios
: 11
Objetivos de Control : 39
Controles
2.9.
: 133
Descripcin de los Dominios y sus Objetivos
Polticas de Seguridad
Proporcionar a la gerencia la direccin y soporte para la seguridad de
la informacin en concordancia con los requerimientos comerciales y
las leyes y regulaciones relevantes.
Aspectos Organizativos de la Seguridad de la Informacin

Manejar la seguridad de la informacin dentro de la organizacin.
Gestin de Activos
Lograr y mantener una apropiada proteccin de los activos
organizacionales
Seguridad Ligada a los Recursos Humanos

Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los
medios.
Asegurar que los usuarios empleados, contratistas y terceras personas
estn al tanto de las amenazas e inquietudes de la seguridad de la
informacin, sus responsabilidades y obligaciones, y estn equipadas
para apoyar la poltica de seguridad organizacional en el curso de su
trabajo normal, y reducir el riesgo de error humano.
11

ENTORNO]
22 de junio de 2013
Asegurar que los usuarios empleados, contratistas y terceras personas

salgan de la organizacin o cambien de empleo de una manera
ordenada.
Seguridad Fsica y del Entorno o Ambiente

Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
Gestin de Comunicaciones y Operaciones

Asegurar la operacin correcta y segura de los medios de
procesamiento de la informacin.
Implementar y mantener el nivel apropiado de seguridad de la
informacin y la entrega del servicio en lnea con los acuerdos de
entrega de servicios de terceros.
Minimizar el riesgo de fallas en el sistema.
Proteger la integridad del software y la integracin
Mantener la integridad y disponibilidad de la informacin y los
medios de procesamiento de informacin
Asegurar la proteccin de la informacin en redes y la proteccin de
la infraestructura de soporte.
Evitar la divulgacin no-autorizada; modificacin, eliminacin o
destruccin de activos; y la interrupcin de las actividades comerciales
Mantener la seguridad en el intercambio de informacin y software
dentro de la organizacin y con cualquier otra entidad externa
Asegurar la seguridad de los servicios de comercio electrnico y su uso
seguro.
Detectar las actividades de procesamiento de informacin no
autorizadas
Control de Acceso
Controlar el acceso a la informacin
Asegurar el acceso del usuario autorizado y evitar el acceso no
autorizado a los sistemas de informacin
12

ENTORNO]
22 de junio de 2013
Evitar el acceso de usuarios no-autorizados, evitar poner en peligro

la informacin y evitar el robo de informacin y los medios de
procesamiento de la informacin.
Evitar el acceso no autorizado a los servicios de la red
Evitar el acceso no autorizado a los sistemas operativos.
Asegurar la seguridad de la informacin cuando se utiliza medios
de computacin y tele-trabajo mviles
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin

Garantizar que la seguridad sea una parte integral de los sistemas
de informacin.
Prevenir errores, prdida, modificacin no autorizada o mal uso de
la informacin en las aplicaciones
Proteger la confidencialidad, autenticidad o integridad a travs de
medios criptogrficos
Garantizar la seguridad de los archivos del sistema
Mantener la seguridad del software y la informacin del sistema de
aplicacin
Reducir los riesgos resultantes de la explotacin de las
vulnerabilidades tcnicas publicadas
Gestin de Incidentes en la Seguridad de la Informacin

Asegurar que los eventos y debilidades de la seguridad de la
informacin asociados con los sistemas de informacin sean
comunicados de una manera que permita que se realice una accin
correctiva oportuna.
Asegurar que se aplique un enfoque consistente y efectivo a la
gestin de los incidentes en la seguridad de la informacin
Gestin de la Continuidad del Negocio

Contraatacar las interrupciones a las actividades comerciales y
proteger los procesos comerciales crticos de los efectos de fallas
importantes o desastres en los sistemas de informacin y asegurar
su reanudacin oportuna.
13

ENTORNO]
22 de junio de 2013
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las polticas y
estndares de seguridad organizacional.
Maximizar la efectividad de recuraos informticos y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de
informacin.
2.10. Seguridad Fsica y del Entorno o Ambiente

2.10.1. reas Seguras
Evitar el acceso fsico no autorizado, dao e interferencia con la
informacin y los locales de la organizacin.
2.10.1.1. Permetro de Seguridad Fsica
Control 1: Se deben utilizar permetros de seguridad (barreras tales como
paredes, rejas de entrada controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y medios de procesamiento
de informacin.
2.10.1.2. Controles de Ingreso Fsico
Control 2: Las reas seguras son protegidas mediante controles de ingreso
apropiados para asegurar que slo se le permita el acceso al personal
autorizado.
2.10.1.3. Asegurar las Oficinas, Habitaciones y Medios
Control 3: Se disea y aplica la seguridad fsica para las oficinas,
habitaciones y medios.
2.10.1.4. Proteccin contra Amenazas Externas e Internas
Control 4: Se asigna y aplica proteccin fsica contra dao por fuego,
inundacin, terremoto, explosin, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
14

ENTORNO]
22 de junio de 2013
2.10.1.5. Trabajo en reas Aseguradas

Control 5: Se disea y aplica la proteccin fsica y los lineamientos para
trabajar en reas aseguradas.
2.10.1.6. reas de Acceso Pblico, Entrega y Carga
Control 6: Se controlar los puntos de acceso como las reas de entrega y
carga y otros puntos por donde personas no-autorizadas puedan ingresar
al local y, se asla de los medios de procesamiento de informacin para
evitar el acceso no autorizado.
2.10.2. Equipo de Seguridad
Se evita prdida, dao, robo o compromiso de los activos y la interrupcin
de las actividades de la organizacin.
2.10.2.1. Ubicacin y Proteccin del equipo
Control 7: Se ubica o protege el equipo para reducir las amenazas y
peligros ambientales y oportunidades para acceso no autorizado.
2.10.2.2. Servicios Pblicos de Soporte
Control 8: Se protege el equipo de fallas de energa y otras interrupciones
causadas por fallas en los servicios pblicos de soporte.
Las opciones para lograr la continuidad de los suministros de energa
incluyen mltiples alimentaciones para evitar que una falla en el
suministro de energa
2.10.2.3. Seguridad del Cableado
Control 9: El cableado de la energa y las telecomunicaciones que llevan la
data o dan soporte a los servicios de informacin debieran protegerse
contra la intercepcin o dao.
2.10.2.4. Mantenimiento de Equipo
Control 10: Se debiera mantener correctamente el equipo para asegurar
su continua disponibilidad e integridad.
15

ENTORNO]
22 de junio de 2013
2.10.2.5. Seguridad del Equipo fuera del Local

Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando
en cuenta los diferentes riesgos de trabajar fuera del local de la
organizacin.
El equipo de almacenamiento y procesamiento de la informacin incluye
todas las formas de computadoras personales, organizadores, telfonos
mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar
desde casa o se transporte fuera de local normal de trabajo.
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo
Control 12: Se debieran chequear los tems del equipo que contiene
medios de almacenaje para asegurar que se haya retirado o sobre-escrito
cualquier data confidencial o licencia de software antes de su eliminacin.
Los dispositivos que contienen data confidencial pueden requerir una
evaluacin del riesgo para determinar si los tems debieran ser fsicamente
destruidos en lugar de enviarlos a reparar o descartar.
2.10.2.7. Retiro de Propiedad
Control 13: El equipo, informacin o software no debiera retirarse sin
autorizacin previa.
Tambin se pueden realizar chequeos inesperados para detectar el
retiro de propiedad, dispositivos de grabacin no-autorizados, armas,
etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser
llevados a cabo en concordancia con la legislacin y regulaciones
relevantes. Las personas debieran saber que se llevan a cabo chequeos
inesperados, y los chequeos se debieran realizar con la debida autorizacin
de los requerimientos legales y reguladores.
16
[Escriba texto]
CAPTULO III
DESCRIPCIN DE LA AUDITORIA

ENTORNO]
3.1.
22 de junio de 2013
Objetivos de la Auditoria
3.1.1. Objetivo General
Verificar la Suficiencia y cumplimiento de todos los parmetros de
seguridad tanto fsica como ambiental segn ISO/IEC 27002:2005 con el
tem de Seguridad Fsica y Ambiental.
3.1.2. Objetivos Especficos
Realizar una entrevista con la mayor autoridad para solicitar la

autorizacin del desarrollo de la Auditoria.
Realizar una visita a la empresa para revisar su infraestructura.
Revisin mediante la observacin directa del auditor.
Evaluar la infraestructura en pro de la seguridad empresarial.
Realizacin de listas de verificacin para evaluar el desempeo de la

empresa en seguridad de la informacin.
Realizar las debidas recomendaciones para realizar el mejoramiento de

la seguridad de la compaa.
3.2.
Tcnicas para reunir Evidencias de la Auditora

3.2.1. Entrevista
Vase en el Anexo N 1
3.2.2. Observacin
Para ello el equipo de trabajo manejo una lista de Verificacin con las
caractersticas con la que debera contar la institucin para poder cumplir
la ISO/IEC 27002:2005.
18

ENTORNO]
22 de junio de 2013
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 1:
Permetros de seguridad debieran estar claramente

definidos (de acuerdo a los riesgos que los activos
tengan)
Las paredes externas del local son una construccin
slida y todas las puertas externas
estn
adecuadamente
protegidas
contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando
estn desatendidas y se debiera considerar una
proteccin externa para las ventas, particularmente en
el primer piso
Cuentan con un rea de recepcin con un(a)
recepcionista u otros medios para controlar el acceso
fsico al local o edificio; el acceso a los locales y edificios
estn restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras fsicas
para prevenir el acceso fsico no autorizado y la
contaminacin ambiental
Todas las puertas de emergencia en un permetro de
seguridad cuentan con alarma en concordancia con los
adecuados estndares regionales, nacionales e
internacionales
Operar en concordancia con el cdigo contra-incendios
local de una manera totalmente segura
Existen sistemas de deteccin de intrusos segn
estndares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
reas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cmputo o cuarto
de comunicaciones
Los medios de procesamiento
de
informacin
manejados por la organizacin estn fsicamente
separados de aquellas manejadas por terceros
19

ENTORNO]
22 de junio de 2013
Cumple
No Cumple
Anexo N
No Cumple
Anexo N
tem a Evaluar
Cumple
Control 2
Llevar un registro de la fecha y la hora de entrada y salida

de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido
previamente aprobado
El acceso a reas donde se procesa o almacena
informacin sensible se controla y restringe slo a
personas autorizadas; utilizando controles de
autenticacin
Los derechos de acceso a reas seguras son revisados y
actualizados regularmente, y revocados cuando sea
necesario
Al personal de servicio de apoyo de terceros se le otorga
acceso restringido a las reas seguras o los medios de
procesamiento de informacin confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
Control 3
tem a Evaluar
Se tiene en cuenta los estndares y regulaciones de

sanidad y seguridad relevantes
Se debieran localizar los medios claves para evitar el
acceso del pblico
Los directorios y telfonos internos que identifiquen la
ubicacin de los medios de procesamiento de la
informacin no estn accesibles al pblico
20

ENTORNO]
22 de junio de 2013
No Cumple
No Cumple
Anexo N
Cumple
tem a Evaluar
Cumple
Control 4
Slo el personal de mantenimiento autorizado llevara a

cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organizacin; cuando sea
necesario, se revisa la informacin confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las
plizas de seguros
tem a Evaluar
Anexo N
Control 5
El equipo y medios sacados del local nunca son dejados

desatendidos en lugares pblicos
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
proteccin contra la exposicin a fuertes campos
electromagnticos
Se determinan controles para el trabajo en casa a travs
de una evaluacin del riesgo y los controles apropiados
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local
21

ENTORNO]
22 de junio de 2013
No Cumple
No Cumple
Anexo N
Cumple
tem a Evaluar
Cumple
Control 6
Los dispositivos que contienen informacin confidencial

son fsicamente destruidos o se destruye, borra o sobreescribe la informacin utilizando tcnicas que hagan
imposible recuperar la informacin original, en lugar de
simplemente utilizar la funcin estndar de borrar o
formatear
tem a Evaluar
Anexo N
Control 7
No se retira equipo, informacin o software sin

autorizacin previa
Los usuarios empleados, contratistas y terceras
personas que tienen la autoridad para permitir el
retiro de los activos fuera del local estn claramente
identificados
Se establecen lmites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolucin
Cuando sea necesario y apropiado, el equipo es
registrado como retirado del local y se registra su
retorno
3.3.
Informe de la Auditora
3.3.1. Alcance de la Auditora
Todas las oficinas del ambiente de la ZZZ
3.3.2. Cliente:
Director..
22

ENTORNO]
22 de junio de 2013
3.3.3. Lder del Equipo

3.3.4. Actividades Realizadas
Actividad
Realizar una entrevista con la mayor autoridad
para solicitar la autorizacin del desarrollo de la
Auditoria.
Realizar una visita a la empresa para revisar su
infraestructura. Revisin mediante la observacin
directa del auditor
Evaluar la infraestructura en pro de la seguridad
empresarial
Realizacin de listas de verificacin para evaluar el
desempeo de la empresa en seguridad de la
informacin
Realizar las debidas recomendaciones para realizar
el mejoramiento de la seguridad de la compaa
Fecha
13/06/2013
13/06/2013
13/06/2013
13/06/2013
21/06/2013
3.3.5. Criterios de la Auditoria

-
Compromiso de la alta gerencia.
Control de acceso. En una infraestructura de este tipo siempre

tenemos que tener el control del tiempo para accesos restringidos.
Pruebas de mecanismos de deteccin y alarma.
Extintores, la sala de contraincendios, los sensores de humedad, de

temperatura, de deteccin de humo y de movimiento.
Acceso de mercancas y personal de proveedores.
Ausencia de seguridad perimetral o seguridad perimetral insuficiente.
Gestin de energa. En estos centros se consume grandes cantidades

de energa, y por tanto, requiere de medidas especiales para asegurar
que el flujo energtico est garantizado ante cualquier tipo de
incidente, y que en el peor de los casos, el suministro pueda ser
establecido por medios alternativos.
3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005

Utilizando el ISO ya nombrado se utiliz una lista de verificacin donde se
encontraban las caractersticas de los controles para as determinar que
insuficiencias tena la organizacin.
23

ENTORNO]
3.3.6.1.
22 de junio de 2013
Mediante la entrevista:
Como se observa en al Anexo N 1, existe una dejadez de parte
de la alta gerencia en poder implantar una mayor seguridad en
su institucin, teniendo como su mxima barrera la economa,
pero esto a la larga le generar una mayor perdida. Esto se
observa tambin cuando no existen documentos administrativos
como el Plan Operativo Institucional, Plan estratgico
Institucional, Plan de Contingencia, Plan de Continuidad de la
Organizacin, entre otros.
3.3.6.2.
Mediante la Observacin utilizando la lista de verificacin:
Permetros de seguridad debieran estar claramente

definidos (de acuerdo a los riesgos que los activos
tengan)
Las paredes externas del local son una construccin
slida y todas las puertas externas
estn
adecuadamente
protegidas
contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando
estn desatendidas y se debiera considerar una
proteccin externa para las ventas, particularmente en
el primer piso
Cuentan con un rea de recepcin con un(a)
recepcionista u otros medios para controlar el acceso
fsico al local o edificio; el acceso a los locales y edificios
estn restringidos solamente al personal autorizado
Cuando sea aplicable, se elaboran las barreras fsicas
para prevenir el acceso fsico no autorizado y la
contaminacin ambiental
Todas las puertas de emergencia en un permetro de
seguridad cuentan con alarma en concordancia con los
adecuados estndares regionales, nacionales e
internacionales
Operar en concordancia con el cdigo contra-incendios
local de una manera totalmente segura
Anexo N
No Cumple
tem a Evaluado
Cumple
Control 1:
6,
29
7,
10
24

ENTORNO]
22 de junio de 2013
Existen sistemas de deteccin de intrusos segn

estndares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
reas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cmputo o cuarto
de comunicaciones
Los medios de procesamiento
de
informacin
manejados por la organizacin estn fsicamente
separados de aquellas manejadas por terceros
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 2
Llevar un registro de la fecha y la hora de entrada y salida

de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido
previamente aprobado
El acceso a reas donde se procesa o almacena
informacin sensible se controla y restringe slo a
personas autorizadas; utilizando controles de
autenticacin
Los derechos de acceso a reas seguras son revisados y
actualizados regularmente, y revocados cuando sea
necesario
11
13
Al personal de servicio de apoyo de terceros se le otorga

acceso restringido a las reas seguras o los medios de
procesamiento de informacin confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado
12
Anexo N
Se tiene en cuenta los estndares y regulaciones de

sanidad y seguridad relevantes
14,
17
Se debieran localizar los medios claves para evitar el

acceso del pblico
15,
16
tem a Evaluar
Cumple
No Cumple
Control 3
25

ENTORNO]
22 de junio de 2013
Los directorios y telfonos internos que identifiquen la

ubicacin de los medios de procesamiento de la
informacin no estn accesibles al pblico
18
Slo el personal de mantenimiento autorizado llevara a

cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organizacin; cuando sea
necesario, se revisa la informacin confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las
plizas de seguros
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 4
.
.
.
19
22
20,
21
El equipo y medios sacados del local nunca son dejados

desatendidos en lugares pblicos
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
proteccin contra la exposicin a fuertes campos
electromagnticos
Se determinan controles para el trabajo en casa a travs
de una evaluacin del riesgo y los controles apropiados
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 5
.
.
19
24
25
23
26

ENTORNO]
22 de junio de 2013
Los dispositivos que contienen informacin confidencial

son fsicamente destruidos o se destruye, borra o sobreescribe la informacin utilizando tcnicas que hagan
imposible recuperar la informacin original, en lugar de
simplemente utilizar la funcin estndar de borrar o
formatear
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 6
26
No se retira equipo, informacin o software sin

autorizacin previa
Los usuarios empleados, contratistas y terceras
personas que tienen la autoridad para permitir el
retiro de los activos fuera del local estn claramente
identificados
Se establecen lmites de tiempo para el retiro del
equipo y se realizan un chequeo de la devolucin
Cuando sea necesario y apropiado, el equipo es
registrado como retirado del local y se registra su
retorno
.
.
.
.
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 7
12
27
28
3.3.7. Conclusiones de la Auditora

La auditora Fsica tiene como objetivo establecer cules son los puntos de
quiebre que la institucin debe cumplir para poder garantizar la seguridad
fsica y Ambiental de la institucin.
Vase Anexo N 29, donde se dan las recomendaciones y hallazgos
encontrados en su institucin.
27

ENTORNO]
22 de junio de 2013
Para lo cual se le recomienda:
Invertir en la seguridad Fsica y Ambiental, porque a la larga la

institucin se estara ahorrando muchas prdidas econmicas
como humanas dentro de los activos de la empresa. Para poder
eliminar as las vulnerabilidades y riesgos que tengan nuestros
activos ante cualquier evento Fsico y Ambiental.
Los medios de procesamiento de informacin crtica o confidencial

debieran ubicarse en reas seguras, protegidas por los permetros
de seguridad definidos, con las barreras de seguridad y controles
de entrada apropiados. Debieran estar fsicamente protegidos del
acceso no autorizado, dao e interferencia
Se debe proteger el equipo de amenazas fsicas y ambientales.
La proteccin del equipo (incluyendo aquel utilizado fuera del local

y la eliminacin de propiedad) es necesaria para reducir el riesgo
de acceso no-autorizado a la informacin y proteger contra prdida
o dao. Esto tambin se considera la ubicacin y eliminacin del
equipo.
Se requieren controles especiales para proteger el equipo contra

amenazas fsicas, y salvaguardar los medios de soporte como el
suministro elctrico y la infraestructura del cableado
28
[Escriba texto]
ANEXOS
[Escriba texto]
ANEXO N1: ENTREVISTA

ENTORNO]
ENTREVISTA CON LA DIRECCIN

Objetivo:
Conocer el plan estratgico de la organizacin y el grado de compromiso de la

direccin con la utilizacin de nuevas tecnologas.
Fragmentos de la entrevista:
Auditor
Cree que la tecnologa puede serle til para alcanzar sus objetivos?
S, por eso tenemos contratado un ingeniero de sistemas que se encargan
Director
Auditor
Director
Auditor
Director
de que la tecnologa est siempre a punto.

Tienen prevista alguna inversin en tecnologa para mejorar sus procesos o
la calidad de los servicios que ofrecen?
El ingeniero quiere que encarguemos el desarrollo de una pgina Web y de
un sistema que automatice todos nuestros procesos, pero eso supone una
inversin que no tenemos previsto afrontar.
Dan libertad al departamento de informtica para comprar el software o el
hardware que crean conveniente?
La oficina de informtica antes de hacer cualquier compra lo comunican a la
direccin para que demos el visto bueno y el presupuesto. Si nosotros
vemos que necesitamos algo que tenga que ver con la informtica, se lo
comentamos al departamento de informtica.
Sntesis de la entrevista:
La direccin cree que la tecnologa les puede ser til, pero no quieren afrontar
ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del
ingeniero.
La direccin no da libertad al departamento de informtica para que compre lo
que crea necesario. Cualquier compra debe ser aprobada por la direccin y
presupuestada.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI

Objetivo:
Conocer los planes a corto
y largo plazo en cuanto
a tecnologas de la
informacin y los planes de infraestructura tecnolgica.

Cmo valora sus sistemas de informacin actuales?, est contento

con
ellos?
Todos
nuestros sistemas no son muy potentes. Pero, con ellos
Auditor
Director de
Informtica estamos contentos porque estamos obteniendo resultados positivos.
Tienen algn plan de tecnologa para el futuro?
Auditor
Nuestro objetivo es que todo se haga automticamente, desde que un

Director de
cliente hace una cita hasta que este sea atendido oportunamente.
Informtica
Tambin creemos necesario una pgina Web que tenga un diseo
Qu
opinapara
la direccin
de esa futura inversin?
agradable
los clientes.
Auditor
La direccin est contenta porque las cosas estn funcionando bien,
Director de
as que no quieren invertir en sistemas de informacin. Pero yo creo
Informtica
que esa inversin va a ser necesaria a futuro si queremos seguir en el
mercado.
A pesar de no tener redactado un plan de sistemas de informacin, el
entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar
sus sistemas de informacin para seguir siendo competitivos y alcanzar una cuota
de mercado mayor. La idea del director de informtica es:
Tener una pgina Web que tenga un diseo agradable y que cumpla con
los estndares de usabilidad.
Disponer de unos sistemas de informacin que automaticen todos sus
procesos.
El entrevistado ha expresado que el desarrollo de los nuevos sistemas de
informacin a cargo de una empresa externa supone una inversin importante y
que la direccin no quiere asumir el costo de dicha inversin ni a corto ni a medio
plazo.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS

Objetivo:
Conocer las polticas
y procedimientos relacionados con la evaluacin de
riesgos. Conocer los seguros que cubren los riesgos.

Auditor
Director de
Informtica
Auditor
Tienen un documento de gestin de riesgos o algn proceso

establecido para gestionarlos?
Los riesgos no estn especificados en ningn sitio, pero este plan
de riesgos se est elaborando para evitar futuras perdidas de
informacin.
Qu ocurrira si ahora mismo si se diera alguno de los riesgos?
Cmo reaccionara?
Intentaramos valorar el alcance de la situacin y estudiar la mejor

manera de solucionarlo pero ya que no contamos con un plan de
riesgos y tendramos que requerir de una persona externa para
solucionar el problema claro est de que dicha persona tendra que
Han contratado algn seguro para proteger los sistemas ante
Auditor
ser especialista en riesgos informticos.
posibles prdidas causadas por robos o desastres naturales?
No contamos con ningn seguro pero se ve que sera necesario ya que
Director de contamos con sistemas especiales que estn valorizados en un
Informtica presupuesto alto as que no es una opcin perderlos sea cual sea la
Sntesis situacin.
de la entrevista:
Director de
Informtica
No hay ningn documento sobre gestin de riesgos, pero el director del

departamento de informtica tiene claros cules son los principales riesgos a
los que estn expuestos.
El principal riesgo identificado es la cada del servidor. Si el servidor falla, se
podra perder informacin valiosa. Para intentar disminuir la probabilidad del
riesgo, cuenta con copias de seguridad alojadas en un disco duro.
Otro riesgo identificado es la prdida de los datos del servidor. Los datos del
servidor se pueden perder debido a que algn empleado de la empresa o alguien
ajeno a la misma los borre o debido a que se estropee el soporte en el que se
almacenan. Para evitarlo, el administrador hace copias de seguridad de los
datos a menudo. Dichas copias se almacenan en un disco duro externo.
Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si
alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa

ENTORNO]
quedara bastante tiempo sin funcionar hasta que se comprase un equipo nuevo.
La habitacin del servidor no dispone de cerradura.
No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a
sistemas de informacin. El entrevistado no lo considera necesario.

ENTORNO]
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE

SISTEMAS
Objetivo:
Conocer
el
plan
de
continuidad de
la
empresa
respecto
los
servicios informticos.
Auditor
Administrad
or
Auditor
Administrad
or
Auditor
Administrad
or
Qu ocurrira si en un momento determinado se cayera o

deteriorar el servidor?
Sera un problema grande ya que en la clnica solo contamos con un
servidor, pero tal vez la ventaja es que contamos con una copia de
respaldo que se realiza semanal en un disco duro aunque claro de
todas
maneras
habra perdida de
de datos,
informacin
pero
no salvado
seria tande los
Respecto
al almacenamiento
existe
algn
abrumador
. la empresa?
datos que tiene
Si, se realizan copias de seguridad, almacenando la informacin que
tiene el sistema en un disco duro externo.
En caso de ocurrir algn problema en el servicio tcnico, se
resolvera con facilidad?
Efectivamente, el departamento de informtica est formado por un
ingeniero capacitados para ello.
De la entrevista realizada al administrador de sistemas se puede concluir que

no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad
debido a que la empresa necesita continuidad en los servicios informticos,
puesto que en ellos se basa la productividad y la obtencin de beneficios.
Un riesgo importante que podra acechar a la continuidad del servicio es la
cada o deterioro del servidor.
La continuidad tambin podra daarse si se sufriera un borrado de datos de la
empresa. Como alternativa a este suceso, el administracin de sistemas
confa en la recuperacin de datos con ayuda de un disco duro externo.
Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el
desarrollo del mercado, el administrador de sistemas justifica que cualquier

ENTORNO]
hecho que afecte a la continuidad del servicio ser resuelto por uno de los el
ingeniero que componen dicho departamento. Adems, en la entrevista se
deduce que no existe un documento que enumere los riesgos ocurridos con el
fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.
[Escriba texto]
ANEXO 30: CARTA AL DIRECTOR
[Escriba texto]
Carta al Director
21 de junio de 2013
Auditora externa
Direccin de lazzzzzzzz
Estimado Director,
Tras la realizacin de la auditora a su empresa nos dirigimos a Ud. con el fin de
comunicarles los principales problemas encontrados.
El primer problema encontrado ha sido que no tienen un plan estratgico definido y,
por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisacin las medidas que se adoptaran para solucionar una posible
situacin comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un
incendio.
Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.
Atentamente,
Los Auditores.

Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoriaseguridadfisicaydelentorno Iso Iec27002 2005 130624235050 Phpapp01

Cargado por

Copyright:

Formatos disponibles

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

ENTORNO] 22 de junio de 2013

NOMBRE DE LA EMPRESA: zzzzzz" .............................................................................. 4

NATURALEZA DE LA EMPRESA ...................................................................................... 4

UBICACIN GEOGRFICA .............................................................................................. 4

ORGANIGRAMA DE LA EMPRESA .................................................................................. 5

CAPTULO II: ....................................................................................................................................... 6

Seguridad Fsica .............................................................................................................. 7

Amenazas previstas en Seguridad Fsica ........................................................................ 7

Vulnerabilidad Fsica .................................................................................................. 8

Estructura General ISO/IEC 27002:2005: ..................................................................... 11

Descripcin de los Dominios y sus Objetivos ............................................................... 11

Seguridad Fsica y del Entorno o Ambiente ............................................................. 14

reas Seguras ........................................................................................................... 14

Permetro de Seguridad Fsica ............................................................................. 14

Controles de Ingreso Fsico .................................................................................. 14

Asegurar las Oficinas, Habitaciones y Medios ..................................................... 14

Proteccin contra Amenazas Externas e Internas ............................................... 14

Trabajo en reas Aseguradas ............................................................................... 15

reas de Acceso Pblico, Entrega y Carga ........................................................... 15

Equipo de Seguridad ................................................................................................ 15

Ubicacin y Proteccin del equipo ....................................................................... 15

Servicios Pblicos de Soporte .............................................................................. 15

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

Seguridad del Cableado ....................................................................................... 15

Mantenimiento de Equipo ................................................................................... 15

Seguridad del Equipo fuera del Local ................................................................... 16

Seguridad de la Eliminacin o Re uso del Equipo ................................................ 16

Retiro de Propiedad ............................................................................................. 16

CAPTULO III ..................................................................................................................................... 17

Objetivo General ...................................................................................................... 18

Tcnicas para reunir Evidencias de la Auditora .............................................................. 18

Informe de la Auditora .................................................................................................... 22

Alcance de la Auditora ............................................................................................ 22

Lder del Equipo........................................................................................................ 23

Actividades Realizadas ............................................................................................. 23

Criterios de la Auditoria ........................................................................................... 23

Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 ............................................. 23

Mediante la entrevista: ........................................................................................ 24

Mediante la Observacin utilizando la lista de verificacin: ............................... 24

Conclusiones de la Auditora .................................................................................... 27

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

motivado y apoyado en tecnologa de punta".

Excelencia enfocada en el paciente

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

Amenazas previstas en Seguridad Fsica

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

2.4.1. Vulnerabilidad Fsica

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

CUADRO N 1: VULNERABILIDAD FSICA

CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

GRFICO N 1: CLASIFICACIN DE LOS PRINCIPALES PELIGROS

CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

Estructura General ISO/IEC 27002:2005:

Descripcin de los Dominios y sus Objetivos

Aspectos Organizativos de la Seguridad de la Informacin

Seguridad Ligada a los Recursos Humanos

[AUDITORIA DE LA SEGURIDAD FISICA Y DEL

Asegurar que los usuarios empleados, contratistas y terceras personas

Seguridad Fsica y del Entorno o Ambiente

Gestin de Comunicaciones y Operaciones