Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO
CAPTULO I: ........................................................................................................................................ 3
DESCRIPCIN DE LA ORGANIZACIN ................................................................................................. 3
1.1.
1.2.
1.3.
1.4.
VISIN ............................................................................................................................ 4
1.5.
MISIN ........................................................................................................................... 4
1.6.
VALORES ........................................................................................................................ 4
1.7.
2.2.
2.3.
Desastre ......................................................................................................................... 8
2.4.
Vulnerabilidad ................................................................................................................ 8
2.4.1.
2.5.
Peligro ............................................................................................................................ 9
2.6.
Mitigar .......................................................................................................................... 10
2.7.
Riesgo ........................................................................................................................... 11
2.8.
2.9.
2.10.
2.10.1.
2.10.1.1.
2.10.1.2.
2.10.1.3.
2.10.1.4.
2.10.1.5.
2.10.1.6.
2.10.2.
2.10.2.1.
2.10.2.2.
2.10.2.4.
2.10.2.5.
2.10.2.6.
2.10.2.7.
Objetivos de la Auditoria.................................................................................................. 18
3.1.1.
3.1.2.
Objetivos Especficos................................................................................................ 18
3.2.
3.2.1.
Entrevista ................................................................................................................. 18
3.2.2.
Observacin ............................................................................................................. 18
3.3.
3.3.1.
3.3.2.
Cliente: ..................................................................................................................... 22
3.3.3.
3.3.4.
3.3.5.
3.3.6.
3.3.6.1.
3.3.6.2.
3.3.7.
ANEXOS ............................................................................................................................................ 29
ANEXO N1: ENTREVISTA ............................................................................................................. 30
ENTREVISTA CON LA DIRECCIN ...................................................................................................... 31
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LOS PLANES DE TI .................................. 32
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA GESTIN DE RIESGOS ....................... 33
ENTREVISTA CON EL DIRECTOR DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS...... 35
ANEXO 30: CARTA AL DIRECTOR .................................................................................................. 37
Carta al Director ............................................................................................................................... 38
[Escriba texto]
CAPTULO I:
DESCRIPCIN DE LA ORGANIZACIN
1.4. VISIN
Ser la red privada de salud lder en la regin centro del pas, satisfaciendo las
necesidades del usuario
y brindndoles personal
altamente capacitado,
Honestidad y lealtad
Comunicacin
Trabajo en equipo
Liderazgo
[Escriba texto]
CAPTULO II:
MARCO TERICO
22 de junio de 2013
Seguridad Fsica
Es muy importante ser consciente que por ms que la empresa sea la ms segura
desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.);
la seguridad de la misma ser nula si no se ha previsto como combatir un incendio
o cualquier otro tipo de desastre natural y no tener presente polticas claras de
recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un
sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar
en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup
de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial. Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
2.2.
22 de junio de 2013
Desastre
Interrupcin grave en el funcionamiento de una comunidad causando grandes prdidas a
nivel humano, material o ambiental, suficientes para que la comunidad afectada no
pueda salir adelante por sus propios medios, necesitando apoyo externo. Los desastres se
clasifican de acuerdo a su origen (natural o tecnolgico).
2.4.
Vulnerabilidad
Grado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la
ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y
otros.
22 de junio de 2013
2.5.
Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa.
22 de junio de 2013
2.6.
Mitigar
Reduccin de los efectos de un desastre, principalmente disminuyendo la vulnerabilidad.
Las medidas de prevencin que se toman a nivel de ingeniera, dictado de normas legales,
la planificacin y otros, estn orientadas a la proteccin de vidas humanas, de bienes
materiales y de produccin contra desastres de origen natural, biolgicos y tecnolgicos
10
22 de junio de 2013
Riesgo
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente
daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la
mayora de los casos, con el apoyo de la ciencia y tecnologa
2.8.
: 11
Objetivos de Control : 39
Controles
2.9.
: 133
Polticas de Seguridad
Proporcionar a la gerencia la direccin y soporte para la seguridad de
la informacin en concordancia con los requerimientos comerciales y
las leyes y regulaciones relevantes.
Gestin de Activos
Lograr y mantener una apropiada proteccin de los activos
organizacionales
11
22 de junio de 2013
Control de Acceso
Controlar el acceso a la informacin
Asegurar el acceso del usuario autorizado y evitar el acceso no
autorizado a los sistemas de informacin
12
22 de junio de 2013
13
22 de junio de 2013
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria,
reguladora o contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las polticas y
estndares de seguridad organizacional.
Maximizar la efectividad de recuraos informticos y minimizar la
interferencia desde/hacia el proceso de auditora del sistema de
informacin.
14
22 de junio de 2013
15
22 de junio de 2013
16
[Escriba texto]
CAPTULO III
DESCRIPCIN DE LA AUDITORIA
22 de junio de 2013
Objetivos de la Auditoria
3.1.1. Objetivo General
Verificar la Suficiencia y cumplimiento de todos los parmetros de
seguridad tanto fsica como ambiental segn ISO/IEC 27002:2005 con el
tem de Seguridad Fsica y Ambiental.
3.1.2. Objetivos Especficos
3.2.
18
22 de junio de 2013
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 1:
19
22 de junio de 2013
Cumple
No Cumple
Anexo N
No Cumple
Anexo N
tem a Evaluar
Cumple
Control 2
Control 3
tem a Evaluar
20
22 de junio de 2013
No Cumple
No Cumple
Anexo N
Cumple
tem a Evaluar
Cumple
Control 4
tem a Evaluar
Anexo N
Control 5
21
22 de junio de 2013
No Cumple
No Cumple
Anexo N
Cumple
tem a Evaluar
Cumple
Control 6
tem a Evaluar
Anexo N
Control 7
3.3.
Informe de la Auditora
3.3.1. Alcance de la Auditora
Todas las oficinas del ambiente de la ZZZ
3.3.2. Cliente:
Director..
22
22 de junio de 2013
Fecha
13/06/2013
13/06/2013
13/06/2013
13/06/2013
21/06/2013
23
22 de junio de 2013
Mediante la entrevista:
Como se observa en al Anexo N 1, existe una dejadez de parte
de la alta gerencia en poder implantar una mayor seguridad en
su institucin, teniendo como su mxima barrera la economa,
pero esto a la larga le generar una mayor perdida. Esto se
observa tambin cuando no existen documentos administrativos
como el Plan Operativo Institucional, Plan estratgico
Institucional, Plan de Contingencia, Plan de Continuidad de la
Organizacin, entre otros.
3.3.6.2.
Anexo N
No Cumple
tem a Evaluado
Cumple
Control 1:
6,
29
7,
10
24
22 de junio de 2013
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 2
11
13
12
Anexo N
14,
17
15,
16
tem a Evaluar
Cumple
No Cumple
Control 3
25
22 de junio de 2013
18
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 4
.
.
.
19
22
20,
21
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 5
.
.
19
24
25
23
26
22 de junio de 2013
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 6
26
.
.
.
.
Anexo N
No Cumple
tem a Evaluar
Cumple
Control 7
12
27
28
27
22 de junio de 2013
28
[Escriba texto]
ANEXOS
[Escriba texto]
Auditor
Cree que la tecnologa puede serle til para alcanzar sus objetivos?
S, por eso tenemos contratado un ingeniero de sistemas que se encargan
Director
Auditor
Director
Auditor
Director
Sntesis de la entrevista:
La direccin cree que la tecnologa les puede ser til, pero no quieren afrontar
ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del
ingeniero.
La direccin no da libertad al departamento de informtica para que compre lo
que crea necesario. Cualquier compra debe ser aprobada por la direccin y
presupuestada.
a tecnologas de la
Auditor
Director de
Informtica estamos contentos porque estamos obteniendo resultados positivos.
Tienen algn plan de tecnologa para el futuro?
Auditor
Auditor
Director de
Informtica
Auditor
Conocer
el
plan
de
continuidad de
la
empresa
respecto
los
servicios informticos.
Fragmentos de la entrevista:
Auditor
Administrad
or
Auditor
Administrad
or
Auditor
Administrad
or
Sntesis de la entrevista:
[Escriba texto]
[Escriba texto]
Carta al Director
21 de junio de 2013
Auditora externa
Direccin de lazzzzzzzz
Estimado Director,
Tras la realizacin de la auditora a su empresa nos dirigimos a Ud. con el fin de
comunicarles los principales problemas encontrados.
El primer problema encontrado ha sido que no tienen un plan estratgico definido y,
por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos,
dejando a la improvisacin las medidas que se adoptaran para solucionar una posible
situacin comprometida para la empresa. La inexistencia de este proceso puede
afectar seriamente a la continuidad del negocio.
Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un
incendio.
Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas
para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.
Esperamos que nuestro trabajo sea de utilidad para el futuro de la empresa.
Atentamente,
Los Auditores.