Está en la página 1de 67

UNIVERSIDAD

FACULTAD DE INGENIERÍA Y ARQUITECTURA

AUDITORIA DE SISTEMAS DE INFORMACION

TEMA: “AUDITORIA IMPLEMENTANDO LA NORMA ISO/IEC 27002”

1
Tabla de contenido
Resumen ............................................................................................................................ 4
Introducción ...................................................................................................................... 5

1. Presentación de proyecto de catedra....................................................... 6


Introducción ...................................................................................................................... 7
1.1. Planteamiento del problema ................................................................................... 7
1.1.1. Descripción del problema ................................................................................. 7
1.1.2. Formulación del problema................................................................................ 8
1.2. Justificación ............................................................................................................. 8
1.3. Objetivos ................................................................................................................. 9
1.3.1. Objetivo general ............................................................................................... 9
1.3.2. Objetivos específicos ........................................................................................ 9
1.4. Alcances .................................................................................................................. 9
1.5. Limites................................................................................................................... 10
1.6. Instrumentos de recolección de información......................................................... 10

2. Marco referencial ............................................................................................ 11


Introducción .................................................................................................................... 12
2.1. Marco conceptual ................................................................................................. 12
2.2. Marco teórico ........................................................................................................ 13
2.3. Marco contextual .................................................................................................. 16

3. Análisis de Riesgos Asociados a las TI en la empresa AVX


Industries El Salvador. ........................................................................................... 18
Introducción .................................................................................................................... 19
3.1. Identificación y clasificación de las computadoras ................................................. 19
3.2. Identificación de salvaguardas aplicadas a los activos............................................ 22
3.3. Determinación de vulnerabilidades y amenazas asociadas a los activos ................ 22
3.4. Determinación del riesgo ...................................................................................... 24

4. Evaluación de cumplimiento de los controles de la Norma


ISO/IEC 27002:2013. .............................................................................................. 30
Introducción .................................................................................................................... 31

2
4.1. Elaboración del checklist en base a la norma 27002:2013 ..................................... 31
4.2. Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 .... 31
4.3. Relación de Fichas de no Conformidad y recomendaciones. .................................. 37
4.4. Presentacion de resultados ................................................................................... 40

5. Recomendaciones a la Empresa AVX Industries El Salvador. ....... 42


Introducción .................................................................................................................... 43
5.1. Políticas de Seguridad de la Información ............................................................... 43
5.1.1. Gestión de activos .......................................................................................... 43
5.1.2. Seguridad física y ambiental ........................................................................... 43
6. Conclusiones ............................................................................................................. 44
7. Recomendaciones ..................................................................................................... 44
8. Cronograma de actividades ....................................................................................... 46

3
Resumen
Este proyecto con fines académicos efectuado en la empresa AVX Industries El Salvador.,
una empresa del sector tecnológico, tuvo como fin la realización de una auditoria en
seguridad de la información con la cual se pudo identificar los riesgos a los que se
encuentran expuestos las computadoras del área de Soldadura Láser, a causa de factores
humanos, ambientales, internos, externos, deliberados e involuntarios, entre otros.

Este proceso de identificación de riesgos se realizó mediante el método de observación y


herramientas de recolección de información como el checklist, para identificar los controles
o medidas existentes desplegados por la empresa para proteger la información, a partir de
estos métodos se pudo identificar los activos de información, sus vulnerabilidades y las
amenazas bajo las cuales se encontraban expuestos.

A través de la auditoria se pudo evaluar el grado de cumplimiento de la empresa en base a


los controles de la norma ISO/IEC 27002:2013, mediante la aplicación de un checklist en el
cual se abordaron algunos controles establecidos, específicamente los dominios: gestión de
activos, seguridad física y ambiental.

4
Introducción
En la actualidad, los sistemas de información apoyan en gran medida la actividad productiva
en las empresas; incluso, la propia información y el acceso a la misma. Por ello, la gestión
de la información no sigue siendo concebida como el resultado de un accionar para
preservar los otros activos de la empresa, sino que se ha transformado en un condicionante
estratégico para operar.

Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la
Seguridad de la Información y de las redes de datos en empresas y Organizaciones,
cualquiera que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen
estructuras empresariales que requieren que estos temas sean analizados con una
estrategia diferente, ya sea por la criticidad de la información que manejan, su dimensión o
su estructura empresarial.

Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos
de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y
confidencialidad de la información y evaluarlos periódicamente con el objeto de evidenciar
su nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria
de seguridad de la información con la cual, se podrá determinar las vulnerabilidades del
sistema y en base a estos resultados los encargados podrán tomar decisiones y establecer
las mejores medidas para dar solución a los inconvenientes de seguridad.

De esta manera, en el presente documento se dará a conocer el desarrollo de las distintas


actividades realizadas en la ejecución de la respectiva auditoria en seguridad de la
información en la empresa AVX Industries El Salvador. Este documento se encuentra
estructurado en cinco capítulos los cuales contienen los siguientes temas respectivamente:
la descripción del proyecto, un marco referencial donde se presenta una breve definición
de los diferentes términos utilizados, el análisis de riesgos asociados a los activos de
información en la empresa caso de estudio, la evaluación de cumplimiento de los controles
de la Norma ISO/IEC 27002:2013 y por ultimo las recomendaciones.

5
1. Presentación de proyecto de
catedra.

6
Introducción
En el presente capítulo se hablará acerca de las características principales del proyecto de
catedra, realizado en la empresa AVX Industries El Salvador, a través del Departamento de
Reparación y Mantenimiento, en el áreas de Soldadura Láser, que tuvo como objeto la
realización de una auditoria en seguridad de la información con el fin de identificar los
riesgos a los que se encuentra expuestos los activos de información del área antes descrita,
y posteriormente generar estrategias que permitieran mitigar en gran medida esos niveles
de riesgo.

1.1. Planteamiento del problema


1.1.1. Descripción del problema
La información es uno de los activos más valiosos que poseen las organizaciones y por ello
las tecnologías de la información y la comunicación se han convertido en una herramienta
imprescindible para realizar cualquier actividad económica, así como un factor clave para
mejorar su productividad. Como consecuencia de su uso, las organizaciones se enfrenten a
múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de
información y comunicación. A su vez, internamente, se viven situaciones que podrían
afectar la seguridad por descuidos internos, falta de procedimientos, un software mal
configurado o la falta de políticas de seguridad. A esto se le suma la posible inexperiencia,
falta de conocimiento o capacitación del administrador de los equipos, que en muchos
casos conlleva a realizar actividades no planeadas que pueden afectar la operación diaria
de los distintos sistemas.

Teniendo en cuenta la importancia que la información representa para las organizaciones,


es necesario administrar sus riesgos con procesos y tecnologías adecuadas que permitan
salvaguardarla y garantizar su respectiva disponibilidad, confidencialidad, integridad,
autenticidad y trazabilidad.

Como podemos ver el papel de la seguridad es importante y trascendente para garantizar


la operación diaria y para controlar los procesos de las organizaciones, las cuales, hoy en

7
día están optando por hacer uso de estándares de seguridad de la información, como lo es
la norma ISO 27002 una de las normas más utilizadas por las organizaciones.

Teniendo como referencia lo mencionado anteriormente y según visitas previas en donde


se evidenció que la organización caso de estudio no realiza periódicamente auditorias en TI
que le permita identificar los distintos riesgos a los que están expuestos continuamente sus
activos. Se pretende realizar una auditoria TI que permita identificar los activos con que
cuenta el área donde se realizara la auditoria, las amenazas a que están expuestos y
posteriormente, se harán las recomendaciones pertinentes que permitan salvaguardar la
información y la infraestructura de TI de la organización.

1.1.2. Formulación del problema


¿De qué forma el departamento de Reparación y Mantenimiento mejorara sus procesos
para salvaguardar la información y la infraestructura TI del área de Soldadura Laser
utilizando como herramienta la auditoria?

1.2. Justificación
Actualmente, la seguridad de la información se ha convertido en el mayor soporte para
todas las empresas y esto se ha generado como consecuencia de las constantes amenazas
como lo son los sucesos naturales, accidentales e intencionales a los que están expuestos
continuamente los activos de las organizaciones.

Por ello, es fundamental que las empresas realicen periódicamente un estudio de riesgos
basado en una metodología que permita identificar claramente los activos, las amenazas y
las salvaguardas que poseen, para posteriormente diseñar estrategias que permitan el buen
funcionamiento del negocio.

Es por eso, que en este proceso se realizará una auditoria en seguridad de la información e
infraestructura de TI basada en la norma ISO/IEC 27002:2013 en la empresa AVX Industries
El Salvador la cual tiene el propósito de identificar los puntos débiles y a partir de ellos
establecer medidas que mitiguen los riesgos a que está expuesta la información.

8
En base a lo anterior, la empresa siendo una entidad privada que produce dispositivos
electrónicos como son los capacitores de tecnología SMD, que cumplen con estándares
internacionales requeridos por clientes de la industria automotriz, telecomunicaciones y
aeroespacial.

El área de Soldadura Laser con un volumen de producción semanal de 80 millones de


unidades y eficiencia de producción del 97% es primordial que se realice un estudio de
seguridad en el cual se identifiquen los posibles riesgos derivados del uso de las Tecnologías
de La información y la Comunicación y de esta forma establecer medidas que permitan
proteger los activos, especialmente los involucrados en los procesos de producción con el
fin de no poner en peligro las metas de producción semanal de dicha área.

1.3. Objetivos
1.3.1. Objetivo general
Realizar una auditoría de Seguridad de la información basada en las normas ISO/IEC
27000:2013 al área de Soldadura Laser de la empresa AVX Industries El Salvador.

1.3.2. Objetivos específicos


- Planificar las distintas actividades que permitan realizar el proceso de auditoría.
- Desarrollar la auditoria apoyada en una herramienta de recolección de datos.
- Informar a los miembros encargados del área de los hallazgos obtenidos en el
proceso de la auditoria.
- Presentar mejoras al área en cuanto a la seguridad de la información teniendo en
cuenta los hallazgos obtenidos.

1.4. Alcances
La auditoría se realizará en el periodo del 21 de octubre al 24 de noviembre de 2018

- Se realizará una entrevista e inspección del área a auditar con el especialista


encargado.
Temas a abarcar:

9
1. Gestión de las computadoras en el área de Soldadura Laser.
2. Seguridad física y ambiental en el sistema de energía ininterrumpida y
computadoras.

1.5. Limites
- La presenta auditoria solo abarca un área en específico dentro de la organización
que es el área de Soldadura Laser.
- Las recomendaciones serán solo para el área de Soldadura Laser.

1.6. Instrumentos de recolección de información


Los instrumentos para recopilar la información son los siguientes:

El Checklist y el cuestionario, herramientas que permiten identificar los controles existentes


y su nivel de eficiencia, están compuestos por un conjunto sistemático de preguntas que
van dirigidas principalmente al personal encargado de reparación y mantenimiento
asignados al área de Soldadura Laser. Otro de los métodos a utilizar en este proceso
práctico son las entrevistas y la observación que tienen como objeto recopilar aquella
información que no es posible obtener a través de los cuestionarios y checklist.

10
2. Marco referencial

11
Introducción
En este capítulo se describen las distintas teorías y conceptos relacionados con la seguridad
de la Información y datos relevantes de la Empresa caso de estudio con el objeto de permitir
al lector familiarizarse con los temas tratados en los próximos capítulos y contextualizarse
en el ámbito de ejecución de este proyecto.

2.1. Marco conceptual


Auditoria se define como “un proceso de apoyo estratégico a la organización a través del
cual es posible medir, revisar y evaluar el nivel de cumplimiento y desempeño de eventos,
procedimientos, actividades u objetos que se aborden.”

Las auditorías se pueden realizar haciendo uso de la Norma ISO 27002 que contiene las
mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de
la Información (SGSI).Ésta normativa hace parte de la ISO 27000.Ésta última está compuesta
por una serie de estándares de seguridad publicados por la Organización Internacional para
la Estandarización (ISO), la cual, es reconocida por ser una entidad no gubernamental que
promueve el desarrollo de la estandarización y las actividades con ella relacionada en el
mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la
cooperación en la esfera de lo intelectual, científico, tecnológico y económico, y la Comisión
Electrotécnica Internacional (IEC), que se caracteriza por ser la organización líder a nivel
mundial encargada de preparar y publicar Normas Internacionales para todas las
tecnologías eléctricas, electrónicas y afines.

La seguridad de la información, según ISO 27001, consiste en la preservación de su


confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización.

12
2.2. Marco teórico
Activos.

Son los recursos que forman parte del sistema de la empresa como el hardware, software,
datos, infraestructura y personas.

Amenaza.

Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un


daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad
Informática, los Elementos de Información.

Backup.

Es un duplicado o copia que se le hace a la información contenida en discos duros, memorias


USB, bases de datos, etc., y que es de gran importancia para su propietario.

Controles.

Son todos aquellos mecanismos desplegados con el fin de garantizar que los distintos
procesos se realicen correctamente.

Disponibilidad.

Característica de los activos que implica el acceso a la información y los sistemas de


tratamiento de la misma por parte de los usuarios autorizados en el momento que lo
requieran.

Ficha de no conformidades.

Es un formato donde se establecen los aspectos que no cumplen con los criterios
establecidos en las normas.

Información.

Es el conjunto de datos, añadidos, procesados y relacionados, de manera que pueden dar


pauta a la correcta toma de decisiones según el fin previsto.

Integridad.

13
Cualidad de los activos de información donde se asegura que la información y sus métodos
de proceso se mantengan exactos y completos.

Mantenimiento correctivo.

Es el proceso mediante el cual se realizan las correcciones de las averías o fallas, de un


equipo de cómputo, cuando éstas se presentan.

Mantenimiento preventivo.

Es el conjunto de actividades que se desarrollan con el objeto de proteger los equipos de


posibles fallas, utilizando métodos de limpieza física y también métodos basados en el uso
de Software.

Riesgo.

Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad, la


cual puede estar prevista.

Salvaguarda.

Son todos aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.

Norma ISO/IEC 27000.

Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International


Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014).

A continuación, se incorpora una relación con la serie de normas ISO 27000 y una
descripción de las más significativas.

14
Tabla 1:

Normativa ISO/IEC 27000.

Norma
Descripción
ISO/IEC
Esta Norma Internacional proporciona una visión general de los sistemas de
gestión de seguridad de la información, y los términos y definiciones de uso
ISO
común en la familia de normas de SGSI. Esta norma es aplicable a todo tipo
27000
y tamaño de organización (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin ánimo de lucro
Especifica los requisitos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar los sistemas de gestión de seguridad de la
ISO información (SGSI) formalizado dentro del contexto de los riesgos globales
27001 de negocio de la organización. Especifica los requisitos para la aplicación de
los controles de seguridad de la información adaptados a las necesidades de
las organizaciones o partes de las mismas.
Proporciona una lista de objetivos de control comúnmente aceptados y las
ISO mejores prácticas para ser utilizadas como una guía de implementación en
27002 la selección y la aplicación de controles para lograr la seguridad de la
información
Proporciona una guía práctica de implementación y proporciona más
ISO
información para establecer, implementar, operar, monitorear, revisar,
27003
mantener y mejorar un SGSI según ISO / IEC 27001
Proporciona orientación y asesoramiento sobre el desarrollo y uso de las
ISO mediciones con el fin de evaluar la eficacia del SGSI, los objetivos de control
27004 y controles utilizados para implementar y administrar la seguridad de la
información, tal como se especifica en la norma ISO / IEC 27001.

15
Proporciona directrices para la gestión de riesgos de seguridad de la
ISO
información. El método descrito en esta norma es compatible con los
27005
conceptos generales especificados en la norma ISO / IEC 27001.
Especifica los requisitos y proporciona una guía para los organismos que
realizan la auditoría y la certificación del SGSI según ISO / IEC 27001. Ésta
ISO
norma está destinada principalmente para apoyar la acreditación de
27006
organismos de certificación que ofrecen certificación SGSI según ISO / IEC
27001
Proporciona orientación sobre la realización de auditorías de SGSI, así como
ISO
orientación sobre la competencia de los auditores de sistemas de gestión de
27007
seguridad de la información

2.3. Marco contextual


La empresa AVX Industries de El Salvador, se encuentra ubicada en el municipio de
Ilopango, zona franca de San Bartolo.

AVX es un fabricante y proveedor internacional líder de una amplia cartera de componentes


electrónicos avanzados, que incluyen: condensadores, inductores, filtros, resistencias,
acopladores, diodos y dispositivos de protección de circuitos, así como una amplia gama de
sensores innovadores, control, interconexión y soluciones de antena. Con 29 instalaciones
de investigación, diseño, fabricación e instalaciones de atención al cliente en 16 países de
todo el mundo, AVX ofrece importantes ventajas competitivas, que incluyen capacidades
de entrega y producción optimizadas para satisfacer los requisitos de inventario justo a
tiempo de cada cliente individual y equipos de ingeniería globales experimentados en
desarrollando soluciones de productos nuevas en el mercado especialmente diseñadas para
satisfacer los requisitos de aplicación únicos del cliente.

16
Misión

AVX será reconocido como el principal socio estratégico para componentes pasivos,
sensores, antenas, módulos de control y soluciones de interconexión en la industria
electrónica, proporcionando productos y tecnología que cumplan o superen las
expectativas de calidad y confiabilidad del cliente de manera oportuna, rentable y eficiente.
y de manera profesional.

Visión

AVX continuamente construirá una gran organización con enfoque en la mejora continua y
superando consistentemente las expectativas de los clientes. Fomentaremos una cultura de
calidad de "cero defectos" con el objetivo de desarrollar, fabricar y proporcionar productos
y servicios confiables y preferidos por nuestros clientes.

Continuamente nos desafiaremos a nosotros mismos para mejorar el sistema de gestión de


calidad para prevenir incidentes de calidad y eliminar defectos a través de la revisión de
objetivos y resultados de calidad. AVX alentará la participación, promoción y
responsabilidad de los objetivos de calidad entre todos los empleados y terceros a través
de estándares, educación, capacitación, entrenamiento, comunicación y brindando los
recursos necesarios para lograr el objetivo.

Trataremos a nuestros clientes con respeto, y nos haremos responsables de cumplir los
compromisos que les hacemos. Cumpliremos estos objetivos mientras se cumplan las leyes
y reglamentos pertinentes, así como los requisitos internos.

17
3. Análisis de Riesgos Asociados a las TI
en la empresa AVX Industries El
Salvador.

18
Introducción
En el presente capítulo se evidencia el desarrollo del proceso de gestión de las
computadoras realizado en el área de caso de estudio, utilizando los instrumentos de
recolección de información ya planteados. En esta sección no se muestra alguna de la
información relacionada con la empresa por motivos de mantener la confidencialidad de la
misma.

Para llevar a cabo el análisis de riesgos, inicialmente se hizo la respectiva identificación de


las computadoras del are en mención. Se determinaron la vulnerabilidades y amenazas a la
que están expuestas y las respectivas salvaguardas desplegadas.

3.1. Identificación y clasificación de las computadoras


La identificación de las computadoras se logró a través de entrevistas realizadas al personal
del área, los cuales carecían de un inventario de computadoras, igualmente, por el método
de observación a través de las respectivas visitas al área de estudio.

En la caracterización de las computadoras fue necesario determinar para cada uno de ellos
una serie de características del equipamiento informático, como código, nombre,
descripción, tipo, unidad responsable (se identifica la unidad que lo mantiene, es decir, la
encargada de que el activo funcione correctamente, y la unidad que lo explota, en otras
palabras, la que hace uso de este ), persona responsable (es necesario identificar la persona
responsable por la integridad del activo y aquella que se encarga de operarlo), ubicación y
cantidad. El formato para la caracterización de los activos se presenta en el anexo 1, pero
en este no se consigna la información de los activos de la empresa porque ésta sólo es de
interés de la misma.

Como resultado de esta actividad se obtuvo la siguiente clasificación:

19
Tabla 1:

Clasificación de los activos.

Tipo de activo Activo


Información contenida en programas de
control de maquinaria sobre
Datos y/o información
configuraciones para realizar los procesos
requeridos.
Sistemas operativos utilizados: Windows
NT 2000, MS-DOS.
Software utilizado:
- LassEdit.
Software Programa para configurar
generadores laser
- Aspic3.86
Programa para configurar equipo
de producción
10 Computadoras DEL GX620 con las
siguientes características:
- Procesador Intel Pentium D
- 1GB DDR2 533MHz
- Ocho puertos USB
- Gráficos integrados de Intel GMA
Equipamiento informático (Hardware)
950
- Sistema operativo Microsoft
Windows NT 2000
- Monitor de Pantalla Plana 15
- LAN Gigabit Ethernet Broadcom
5751 10/100/1000

20
- Unidad USB Floppy, CD-ROM,
CDRW
- Teclado y mouse USB
- Fuente de poder 305W
- Disco duro de 4GB
14 Computadoras Venturis 443 con las
siguientes características:
- Procesador Intel Pentium 120 MHz
- 16 MB EDO DRAM
- Video Matrox MGA 2 MB WRAM
- Sistema operativo MS-DOS
- Monitor de Pantalla Plana de 15
- Unidad Floppy
- Teclado y mouse USB PS2
- Fuente de poder 200W
- Disco duro de 540MB
- Modem Boca Research BRI4925
(8-bit ISA)

7 Intranet formada por un computador y


Redes de comunicaciones
generador laser.
Soportes de información Disco duro externo
Equipamiento auxiliar UPS
Miembros del área que Reparación y
Personal
Mantenimiento

21
3.2. Identificación de salvaguardas aplicadas a los activos
Las salvaguardas de los activos que se identificaron a través de entrevistas al personal del
área de estudio fueron los siguientes:

Mantenimiento Preventivo de Hardware.

No se tienen establecidos determinados periodos para realizar mantenimiento a los


distintos equipos del área de manera que se garantice su correcto funcionamiento.

Respaldo de la información.

Las respectivas copias de la información contenida en los discos duros, no hay periodos
establecidos.

3.3. Determinación de vulnerabilidades y amenazas asociadas a los


activos
En una de las entrevistas efectuadas al especialista del área caso de estudio, se le aplicó el
checklist de identificación del riesgo mediante el cual se pudo identificar las amenazas y
vulnerabilidades asociadas a los activos. Cada una de las preguntas descritas en este
checklist se encuentra relacionada a una amenaza y a una vulnerabilidad, las cuales están
definidas en el formato de identificación de amenazas y vulnerabilidades. La forma como se
estableció la relación fue a través de su respectiva numeración.

Los dos formatos utilizados para la identificación de vulnerabilidades y amenazas de los


activos de información del área caso de estudio se encuentran ubicados en el anexo 2 y 3
del presente documento:

22
Tabla 2:

Vulnerabilidades y Amenazas de los activos.

ACTIVO VULNERABILIDADES AMENAZAS


Humedad Generar un corto circuito
Electricidad estática Daños a los equipos
Disminución del rendimiento de
Polvo
los equipos
No se tiene establecido controles físicos Personal no autorizado puede
de accesos a los equipos. manipular los equipos
Inexistencia de un sistema que reduzca
Perdida de información y daño
el nivel de daño en caso de mojar las
irreparables del equipo
computadoras o UPS
Disminución del rendimiento de
Acumulación de partículas dañinas los equipos
Computadoras Generar un corto circuito
y UPS Mantenimiento del equipo inexistente Fallos en los equipos
No existe Inventario con la información
completa de algunos de los activos Perdida de los activos
informáticos de la empresa
No se minimiza la posibilidad
Inexistencia de un registro de fallas de de que los sucesos ocurridos
los equipos anteriormente se vuelvan a
generar
Robo de información
Fácil acceso a los sistemas de los Destrucción de la información
equipos Interrupción del
funcionamiento de los equipos

23
No se tiene establecidas las
Los activos están propensos a
responsabilidades del personal para la
sufrir daños
protección de los activos
No se contralan
No están actualizadas las políticas de adecuadamente los distintos
seguridad sucesos que afectan los equipos
y la información
No se hacen copia de los datos antes de
Perdida de la información
una reinstalación
Los activos son sacados fácilmente del
Robo del activo
área asignada
Los equipos no tienen Antivirus Intrusión de software malicioso
Computadoras No existe plan de respaldo de la
Perdida de la información
información

3.4. Determinación del riesgo


Para determinar el riesgo de los activos críticos de la empresa caso de estudio, se tomó
como guía la siguiente matriz de riesgo, en la cual se establece una escala de valoración de
1 a 4 para determinar la probabilidad de explotación de una vulnerabilidad y la probabilidad
de ocurrencia de una amenaza:

24
Tabla 3:

Matriz de riesgos:

La siguiente tabla se utilizó para establecer el nivel de probabilidad de explotación de las


vulnerabilidades y la probabilidad de ocurrencia de las amenazas y posteriormente para
determinar el nivel de riesgo al que están expuestos los activos. Esta actividad se desarrolló
mediante entrevista con el Especialista del área caso de estudio, designado para realizar el
acompañamiento durante el desarrollo de todas las actividades de este proyecto.

25
Tabla 4: Análisis de riesgos.

NIVEL DE
ACTIVO VULNERABILIDADES P.E. AMENAZAS P.O.
RIESGO
Humedad 4 Generar un corto circuito 1 4
Electricidad estática 3 Daños a los equipos 2 6
Polvo 3 Disminución del rendimiento de los equipos 2 6
No se tiene establecido
Personal no autorizado puede manipular los
controles físicos de accesos a los 3 2 8
equipos
equipos.
Inexistencia de un sistema que
Computadoras reduzca el nivel de daño en caso Perdida de información y daño irreparables del
4 1 8
y UPS de mojar las computadoras o equipo
UPS
Acumulación de partículas 3 Disminución del rendimiento de los equipos 2 6
dañinas 3 Generar un corto circuito 2 6
Mantenimiento del equipo
4 Fallos en los equipos 3 12
inexistente
No existe Inventario con la
3 Perdida de los activos 2 6
información completa de

26
algunos de los activos
informáticos de la empresa
No se minimiza la posibilidad
Inexistencia de un registro de
3 de que los sucesos ocurridos 2 6
fallas de los equipos
anteriormente se vuelvan a generar
2 Robo de información 3 6
Fácil acceso a los sistemas de los
3 Destrucción de la información 3 9
equipos
3 Interrupción del funcionamiento de los equipos 3 9
No se tiene establecidas las
responsabilidades del personal 2 Los activos están propensos a sufrir daños 2 4
para la protección de los activos
No están actualizadas las No se contralan adecuadamente los distintos
3 3 6
políticas de seguridad sucesos que afectan los equipos y la información
No se hacen copia de los datos
4 Perdida de la información 2 8
antes de una reinstalación
Los activos son sacados
4 Robo del activo 2 8
fácilmente del área asignada
Los equipos no tienen Antivirus
Computadoras 3 Intrusión de software malicioso 3 6
actualizados

27
No existe plan de respaldo de la
4 Perdida de la información 3 12
información

28
Para la representación se hizo mediante un gráfico, el porcentaje por cada uno de los niveles
de riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel
de riesgo se encontraban los activos del área en ese momento.

Grafica 1:

Porcentaje de riesgo de los activos.

PORCENTAJE DE RIESGO DE LOS ACTIVOS DE


INFORMACION DE L.W.
Alto riesgo Medio riesgo Bajo riesgo

10%

32%
58%

29
4. Evaluación de cumplimiento de los
controles de la Norma ISO/IEC
27002:2013.

30
Introducción
En el presente capítulo se evidencia todo el proceso que se llevó a cabo para evaluar el
estado en materia de seguridad de la información del área caso de estudio en base a los
controles seleccionados de la Norma ISO/IEC 27002:2013.

4.1. Elaboración del checklist en base a la norma 27002:2013


Antes de iniciar la elaboración del instrumento de recolección es necesario seleccionar los
controles de la Norma ISO/IEC 27002:2013, con los cuales, se evaluó la seguridad de la
información en la empresa. De los 114 controles establecidos en la norma anteriormente
mencionada, se seleccionaron 25 porque son los más acordes con la funcionalidad del área
desde el ámbito de las Tecnologías de la información. Estos se evidencian en el formato del
checklist (ver anexo 4) que se aplicó mediante entrevista al Especialista encargado con el
objetivo de evaluar el nivel de cumplimiento del área en cuanto a gestión de activos,
seguridad física y ambiental.

4.2. Evaluación de cumplimiento de los controles de la norma


ISO/IEC 27002:2013
La evaluación de cumplimiento de cada uno de los 25 controles seleccionados de la norma
ISO/IEC 27002:2013, se realizó de acuerdo a las respuestas obtenidas mediante la aplicación
del checklist y en base a las cuales se determinó el nivel de madurez de los controles,
siguiendo el modelo de madurez de procesos establecidos. Además, se estableció una
valoración de bajo, medio, alto para cada uno de los dominios, objetivos de control y
controles para evidenciar cuales de los controles evaluados en el área de estudio son los
más críticos o que no se han gestionado de manera adecuada.

Con el objeto de facilitar la comprensión del proceso realizado, se hace una breve, pero
concisa descripción de los términos usados en el desarrollo de esta actividad, la cual está
plasmada en la tabla evaluación de controles.

31
Tabla 5:

Nivel de madurez.

NIVEL DE MADUREZ
ISO/IEC 21827:2008
Criterio Porcentaje Descripción
No hay controles de seguridad de la información
No realizado 0%
establecidos.
Existen procedimientos para llevar a cabo ciertas acciones
Realizado en determinado momento. Estas prácticas no se adoptaron
20%
informalmente formalmente y/o no se les hizo seguimiento y/o no se
informaron adecuadamente.
Los controles de seguridad de la información establecidos
Planificado 40%
son planificados, implementados y repetibles.
Los controles de seguridad de la información además de
Bien definido 60% planificados son documentados, aprobados e
implementados en toda la organización
Cuantitativamente Los controles de seguridad de la información están sujetos a
80%
controlado verificación para establecer su nivel de efectividad.
Los controles de seguridad de la información definidos son
Mejora continua 100% periódicamente revisados y actualizados. Estos reflejan una
mejora al momento de evaluar el impacto.

En la tabla anterior se modificó el tipo de valor para establecer el grado de cumplimiento


de los controles. En la norma se maneja una escala de 0 a 5 respectivamente para cada
criterio y en la realización de esta actividad se maneja un porcentaje de 0% a 100%.

32
Tabla 6:

Valoración de los controles:

VALORACION DE CONTROLES
Porcentaje Escala Representación
0% - 30% Bajo
31% - 74% Medio
75% - 100% Alto

La valoración de los controles se estableció de la siguiente manera, un porcentaje del 0-


30% para los controles con más bajo nivel de cumplimiento y por ende son más críticos. Del
31-74% para aquellos controles que se han desarrollado pero que en ocasiones no se
documentan. Por último, un porcentaje del 75-100% para identificar los controles que
además de haber sido planificados y documentados.

A continuación, se muestra el porcentaje de cumplimiento para los controles del dominio


Gestión de Activos, Seguridad física y Ambiental.

33
Tabla 7:

Evaluación de controles.

EVALUACION DE CONTROLES
Norma Sección Puntos a Evaluar Cumplimiento
8 GESTION DE ACTIVOS 10%
8.1 Responsabilidad sobre los activos 25%
Todos los activos deberían estar claramente
No
8.1.1 Inventario de activos identificados, confeccionando y manteniendo 0%
realizado
un inventario con los más importantes.
Toda la información y activos del inventario
Propiedad de los asociados a los recursos para el tratamiento de No
8.1.2 0%
activos la información deberían pertenecer a una realizado
parte designada de la Organización.
Se deberían identificar, documentar e
Uso aceptable de los implantar regulaciones para el uso adecuado No
8.1.3 0%
activos de la información y los activos asociados a realizado
recursos de tratamiento de la información.
Todos los empleados y usuarios de terceras
partes deberían devolver todos los activos de
la organización que estén en su
Devolución de Mejora
8.1.4 posesión/responsabilidad una vez finalizado el 100%
activos continua
acuerdo, contrato de prestación de servicios o
actividades relacionadas con su contrato de
empleo.

8.2 Clasificación de la información 0%


La información debería clasificarse en relación
Directrices de
8.2.1 a su valor, requisitos legales, sensibilidad y N/A
clasificación
criticidad para la Organización.
Etiquetado y Se debería desarrollar e implantar un conjunto
No
8.2.2 manipulado de la apropiado de procedimientos para el 0%
realizado
información etiquetado y tratamiento de la información, de

34
acuerdo con el esquema de clasificación
adoptado por la organización.
Se deberían desarrollar e implantar
procedimientos para la manipulación de los
Manipulación de No
8.2.3 activos acordes con el esquema de clasificación 0%
activos realizado
de la información adoptado por la
organización.

8.3 Manejo de los soportes de almacenamiento 0%


Se deberían establecer procedimientos para la
Gestión de soportes gestión de los medios informáticos removibles No
8.3.1 0%
extraíbles acordes con el esquema de clasificación realizado
adoptado por la organización.
Se deberían eliminar los medios de forma
Eliminación de segura y sin riesgo cuando ya no sean No
8.3.2 0%
soportes requeridos, utilizando procedimientos realizado
formales.
Se deberían proteger los medios que contienen
Soportes físicos en información contra acceso no autorizado, mal No
8.3.3 0%
tránsito uso o corrupción durante el transporte fuera realizado
de los límites físicos de la organización.

EVALUACION DE CONTROLES
Norma Sección Puntos a Evaluar Cumplimiento
11 SEGURIDAD FISICA Y AMBIENTAL 19%
11.1 Áreas seguras 22%
Se deberían definir y utilizar perímetros de
seguridad para la protección de las áreas
Perímetro de
11.1.1 que contienen información y las N/A
seguridad física
instalaciones de procesamiento de
información sensible o crítica.
Controles físicos de Las áreas seguras deberían estar protegidas
11.1.2 N/A
entrada mediante controles de entrada adecuados

35
para garantizar que solo el personal
autorizado dispone de permiso de acceso.
Seguridad de Se debería diseñar y aplicar un sistema de
11.1.3 oficinas, despachos y seguridad física a las oficinas, salas e N/A
recursos instalaciones de la organización.
Protección contra
Se debería diseñar y aplicar una protección
las amenazas No
11.1.4 física contra desastres naturales, ataques 0%
externas y realizado
maliciosos o accidentes.
ambientales
Se deberían diseñar y aplicar
El trabajo en áreas No
11.1.5 procedimientos para el desarrollo de 0%
seguras realizado
trabajos y actividades en áreas seguras.
Se deberían controlar puntos de acceso a la
organización como las áreas de entrega y
Áreas de acceso carga/descarga (entre otros) para evitar el
Bien
11.1.6 público, carga y ingreso de personas no autorizadas a las 66%
definido
descarga dependencias aislando estos puntos, en la
medida de lo posible, de las instalaciones de
procesamiento de información.

11.2 Seguridad de los equipos 24%


Los equipos se deberían emplazar y
Emplazamiento y
proteger para reducir los riesgos de las No
11.2.1 protección de 0%
amenazas y peligros ambientales y de realizado
equipos
oportunidades de acceso no autorizado.
Los equipos deberían estar protegidos
Instalaciones de contra cortes de luz y otras interrupciones Mejora
11.2.2 100%
suministro provocadas por fallas en los suministros continua
básicos de apoyo.
Los cables eléctricos y de
telecomunicaciones que transportan datos
Seguridad del
11.2.3 o apoyan a los servicios de información se Planificado 50%
cableado
deberían proteger contra la intercepción,
interferencia o posibles daños.

36
Los equipos deberían mantenerse
Mantenimiento de No
11.2.4 adecuadamente con el objeto de garantizar 0%
los equipos realizado
su disponibilidad e integridad continuas.
Salida de activos
Los equipos, la información o el software no
fuera de las Bien
11.2.5 se deberían retirar del sitio sin previa 66%
dependencias de la definido
autorización.
empresa
Seguridad de los Se debería aplicar la seguridad a los activos
equipos y activos requeridos para actividades fuera de las
11.2.6 N/A
fuera de las dependencias de la organización y en
instalaciones consideración de los distintos riesgos.
Se deberían verificar todos los equipos que
contengan medios de almacenamiento para
Reutilización o
garantizar que cualquier tipo de datos
retirada segura de No
11.2.7 sensibles y software con licencia se hayan 0%
dispositivos de realizado
extraído o se hayan sobrescrito de manera
almacenamiento
segura antes de su eliminación o
reutilización.

Equipo informático Los usuarios se deberían asegurar de que los


No
11.2.8 de usuario equipos no supervisados cuentan con la 0%
realizado
desatendido protección adecuada.
Se debería adoptar una política de puesto

Política de puesto de trabajo despejado para documentación


de trabajo en papel y para medios de almacenamiento No
11.2.9 0%
despejado y extraíbles y una política de monitores sin realizado
bloqueo de pantalla información para las instalaciones de
procesamiento de información.

4.3. Relación de Fichas de no Conformidad y recomendaciones.


En este apartado se relacionan los controles de la Norma ISO/IEC 27002:2013 que presentan
un porcentaje de cumplimiento menor o igual al 60%.

37
Tabla 8:

Fichas de No Conformidad: Gestion de Activos.

GESTION DE ACTIVOS
Descripcion de las No Conformidades.
8.1.1 No existe un inventario de los activos asociados a el area de estudio.
8.1.2 Los activos en uso no tienen usuarios definidos.
8.1.3 Se identifioco la inexitencia de una politica de uso aceptable de los dispositivos.
8.2.2 Los equipos no estan identificados.
8.2.3 No existe procedimientos para la manipulacion de los equipos.
8.3.1 Inexistencia de politicas, procesos o comunicado que informe el uso adecuado de
los soportes de almacenamiento.
8.3.2 No existe procedimiento para eliminar los soportes de almacenamiento.
8.3.3 No existe proceso para proteger los medios que continen informacion contra acceso
no autorizado, mal uso o corrupción durante el transporte fuera de los limites físicos de
area.

ACCION CORRECTIVAS PROPUESTAS


Formular políticas de gestion de activos en base a los 10 controles aplicados en esta
evaluación.
Establecer periodos para la revisión de las políticas de gestion de activos, lo recomendado
sería una vez al año o cuando se implementen nuevas tecnologías.

38
Tabla 9:

Fichas de No Conformidad: Gestion de Activos.

SEGURIDAD FISICA Y AMBIENTAL


Descripcion de las No Conformidades.
11.1.4 No existen medidas de proteccion para prevenir desastres naturales, ataques
mailciosos o accidentes.
11.2.1 Los equipos estan expuestos a peligros ambientales no identificados y acceso no
autorizado.
11.2.3 La ubicación de los cables de energia y telecomunicaciones estan instalados en
ubicaciones no seguras y de manera desordenada, que pudieran causara interferencias o
daños.
11.2.4 Inexixtencia de un plan de mantenimiento de los equipos.
11.2.7 No existe proceso para la eliminacion de informacion de medios de
almacenamiento para su reutilizacion o eliminacion.
11.2.8 No existe politicas y en torno a equipos desatendidos.
11.2.9 No existe politica de puesto de trabajo despejado y bloqueo de pantalla.

ACCION CORRECTIVAS PROPUESTAS


Formular políticas de gestion de activos en base a los 15 controles aplicados en esta
evaluación.
Establecer periodos para la revisión de las políticas de gestion de activos, lo recomendado
sería una vez al año o cuando se implementen nuevas tecnologías.

39
4.4. Presentacion de resultados
Luego de evaluados los diferentes controles se presenta gráficamente los resultados
obtenidos tras la evaluación de los 25 controles que componen los dominios Gestion de
Activos y Control de Seguridad Fisica y Ambiental de la Norma ISO/IEC 27002:2013 en la
empresa AVX Industries. Estos se presentan de la siguiente manera: inicialmente se hace
una descripción del porcentaje de cumplimiento de los controles evaluados
categorizándolos por objetivos de control, luego se muestra una gráfica con el porcentaje
de cumplimiento de cada uno de los dominios y por último, se presenta una gráfica con el
porcentaje de cumplimiento de cada uno de los niveles de madurez de los distintos
controles evaluados.

Grafica 1:

Nivel de cumplimiento por objetivo de control.

40
Grafica 2:

Nivel de cumplimiento por dominio

Grafica 3:

Nivel de madurez de los controles.

41
5. Recomendaciones a la Empresa AVX
Industries El Salvador.

42
Introducción
En este capítulo se presenta una breve descripción de las políticas de seguridad de la
información que se desarrollaron para proteger los activos de información de la Empresa
AVX Industries de El Salvador, es por ello que en esta sección sólo se explicarán los puntos
más relevantes de las políticas que son los dos dominios que se evaluaron de la norma
ISO/IEC 27002:2013, los cuales se mencionan a continuación: Políticas de Gestión de
activos, Seguridad física y Ambiental.

5.1. Políticas de Seguridad de la Información


5.1.1. Gestión de activos
Ésta política conlleva a la empresa a identificar y clasificar sus activos de información, definir
las respectivas responsabilidades para su adecuada protección, además regula las prácticas
para su uso adecuado y la devolución por parte del personal al finalizar su contrato laboral.
Igualmente, reglamente la gestión de los soportes de almacenamiento estableciendo una
serie de indicaciones para evitar el hurto, modificación y eliminación de la información.

5.1.2. Seguridad física y ambiental


Regula el acceso al edificio, las instalaciones de procesamiento de información y a las
oficinas, establece medidas para la protección de los activos de información tales como: el
uso de extintores, sistemas de alarma contra incendios, cámaras de seguridad, el registro
de ingreso y salida de los visitantes de la empresa y del acceso del personal autorizado a las
instalaciones donde reside el archivo, la constante revisión de los soportes eléctricos y
ambientales para garantizar el óptimo funcionamiento de los equipos de cómputo
ubicados, la instalación adecuada del cableado para evitar posibles interferencias en la
transmisión de la información, el mantenimiento preventivo y correctivo de los dispositivos
informáticos.

43
6. Conclusiones
Luego de realizada la auditoria en seguridad de la información se evidenciaron una serie de
factores que ponen en riesgo los activos de información de la empresa, los bajos niveles de
cumplimiento de los dominios evaluados, aumenta la probabilidad de perdida, deterioro e
indisponibilidad de la información y los equipos de cómputo.

Además, otros factores son la inadecuada gestión de los activos de información debida a la
falta de prácticas para su uso adecuado, no tener definidas las responsabilidades del
personal sobre ellos, ni tener establecidos controles que garanticen su devolución al
finalizar el contrato aboral de los empleados. Igualmente, la infraestructura tecnológica de
la empresa no apega a lo requerido en la Norma ISO/IEC 27002:2013. Otro de los factores
que aumentan significativamente los niveles de riesgo de los activos de información es el
desconocimiento o la falta de conciencia por parte del personal para evitar aquellas
situaciones que pueden afectar la disponibilidad e integridad de la información.

7. Recomendaciones
Concientizar al personal sobre los distintos riesgos a los que está expuesta la información
de la empresa y enfatizar sobre la importancia que esta representa para la empresa.

Por otra parte, dar a conocer las políticas de seguridad de la información al personal de la
empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella y de
esta manera brindar mayor protección a los activos de información de la empresa.
Posteriormente, hacerles un seguimiento a esos controles, evaluar su nivel de efectividad y
hacerle las respectivas mejoras ya sea anualmente o cuando surjan determinados factores
que así lo ameriten.

Además, elaborar formatos para: registrar toda la información relacionada con los equipos
de cómputo y de comunicación de propiedad de la empresa a través del levantamiento de
su respectiva hoja de vida, garantizar que los equipos de cómputo sean devueltos luego de
la terminación del contrato de los empleados y de esta manera se pueda evidenciar el

44
estado en que se entregan, determinar los diferentes aspectos vinculados a la realización
de pruebas de funcionamiento del software.

Asimismo, crear procedimientos que permitan realizar de forma segura la eliminación de


los soportes de almacenamiento, restrinjan y controlen el uso de programas no autorizados
en los equipos de la empresa, establezcan los pasos a seguir para el transporte seguro de
los soportes de almacenamiento, y proteger los activos de información de amenazas
externas y ambientales.

También, es necesario crear una infraestructura que minimice los riesgos de daños a los
equipos e interferencias a la información y a las operaciones de la empresa. Tales como el
establecimiento de instalaciones de suministro y cableado adecuado. Además, es necesario
la creación de medidas que garanticen la seguridad de los equipos dentro de las
instalaciones, todo lo anterior permitirá garantizar el correcto funcionamiento de los
equipos de cómputo y minimizar las interrupciones de los servicios que estos prestan.

45
8. Cronograma de actividades

Ítem Actividades Mes

SEGURIDAD DE LA INFORMACION 1 2 3 4

Planificar las distintas


actividades que permitan
1
realizar el proceso de
auditoría
Identificación de los
activos, las amenazas a que
2
estos están expuestos y las
respectivas salvaguardas
Analizar y valorar los
3
riesgos
Aplicar el instrumento de
4 recolección de la
información
Analizar la información
5 recopilada en la actividad
anterior
Elaborar un informe con
6
los resultados obtenidos

46
Anexos

47
Anexo 1: Formato caracterización de los activos de información.

Tabla 10:

Caracterización de los activos

CARACTERIZACION DE LOS ACTIVOS


IDENTIFICACION DE LOS ACTIVOS

Empresa:
Empleado:
Cargo: Fecha:
Unidad
Persona responsable
Ítem Activo Código Descripción Tipo responsable Ubicación Cantidad
Mantiene Explota Responsable Operador

1
2
3
4

48
Anexo 2: Checklist identificación del riesgo de los activos de información.

Tabla 11:

Identificación de amenazas y vulnerabilidades.

CARACTERIZACION DE LOS ACTIVOS, AMENAZAS Y SALVAGUARDAS


IDENTIFICACION DE VULNERABILIDAES Y AMENAZAS
Checklist
Empresa:
Empleado:
Cargo: Fecha:

N° Preguntas Si No NA Observaciones
INSTALACIONES
¿Están las instalaciones de las computadoras protegidas de acceso no
1
autorizado?
¿Cuáles de las siguientes medidas contra incendios tienen
2
implementadas?

a) Alarmas

b) Extintores

c) Sistemas contra incendios

d) Otro (especifique en la casilla de observaciones)

49
¿Las instalaciones dónde están ubicadas las computadoras cuenta con
3
condiciones físicas adecuadas a la norma?

4 ¿Tiene documentado el diseño de la red?

¿Tiene establecido controles para llevar a cabo el mantenimiento


5
preventivo y correctivo de los equipos del área?
¿Tiene establecido controles para llevar a cabo el mantenimiento de las
6
instalaciones donde se encuentran ubicados los equipos ?

RED
¿Se tiene determinado quienes comparten los datos a través de la red y
7
como los utilizan?

8 ¿Son documentadas las fallas y/o problemas que ocurren en la red?

9 ¿Existen controles definidos de acceso a la red interna?

¿Cuenta con un dispositivo firewall para protección y aseguramiento de


10
la red?

SOFTWARE
11 ¿Los equipos de cómputo cuentan con Antivirus actualizados?

¿Las aplicaciones instaladas en las computadoras están debidamente


12
actualizadas?
¿Son guardados de manera segura los datos importantes del equipo
13
antes de una reinstalación?

14 ¿Los datos que viajan por intranet están cifrados?

ORGANIZACION

50
¿Existe una estructura orgánica para dicha área con sus
15
correspondientes funciones?
¿Existe personal dedicado solo al mantenimiento de los equipos
16
informáticos?

17 ¿Existen políticas de seguridad actualizadas?

¿Para ser movidos los equipos, software o información fuera del área
18
requiere de una autorización?
¿Están claramente definidas las responsabilidades del recurso humano
19 para proteger los activos, así como la ejecución del proceso de
seguridad?

51
Anexo 3: Formato de identificación de amenazas y vulnerabilidades.

Tabla 12:

Formato de identificación de amenazas y vulnerabilidades.

CARACTERIZACION DE ACTIVOS, AMENAZAS Y SALVAGUARDAS

IDENTIFICACION DE VULNERABILIDAES Y AMENAZAS


Empresa:
Empleado:
Cargo: Fecha:
ITEM VULNERABILIDADES AMENAZAS
Humedad Generar un corto circuito
Electricidad estática Daños a los equipos
1
Disminución del rendimiento de
Polvo
los equipos
No se tiene establecido controles físicos Personal no autorizado puede
2
de accesos a los equipos. manipular los equipos
Inexistencia de un sistema que reduzca
Perdida de información y daño
3 el nivel de daño en caso de mojar las
irreparables del equipo
computadoras o UPS
Disminución del rendimiento de
4 Acumulación de partículas dañinas los equipos
Generar un corto circuito
5 Mantenimiento del equipo inexistente Fallos en los equipos
No existe Inventario con la información
6 completa de algunos de los activos Perdida de los activos
informáticos de la empresa
Inexistencia de un registro de fallas de No se minimiza la posibilidad
7
los equipos de que los sucesos ocurridos

52
anteriormente se vuelvan a
generar
Robo de información
Fácil acceso a los sistemas de los Destrucción de la información
8
equipos Interrupción del
funcionamiento de los equipos
Los equipos no tienen Antivirus
9 Intrusión de software malicioso
actualizados
No se hacen copia de los datos antes de
10 Perdida de la información
una reinstalación
No se tiene establecidas las
Los activos están propensos a
11 responsabilidades del personal para la
sufrir daños
protección de los activos
No se contralan
adecuadamente
No están actualizadas las políticas de
12 los distintos sucesos que
seguridad
afectan los equipos y la
información
Los activos son sacados fácilmente del
13 Robo del activo
área asignada
No existe plan de respaldo de la
14 Perdida de la información
información

53
Anexo 4: Herramienta de evaluación en base a la Norma ISO/IEC 27002:2013.

Tabla 13:

Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

AUDITORIA EN SEGURIDAD DE LA INFORMACION


Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013

Empresa: ________________________________________________________________
Empleado: ________________________________________________________________
Cargo: ________________________________________________________________ Fecha:___________________

Norma Sección Puntos a evaluar Si No N/A Observaciones


8 GESTION DE ACTIVOS
8.1 Responsabilidad sobre los activos
1.¿Existe un inventario de todos
los activos asociados a las
8.1.1 Inventario de activos
instalaciones de procesamiento
de información?

54
2.¿El inventario de activos de
información contiene
información precisa y
actualizada?

¿Tienen los activos de la


Propiedad de los información un responsable
8.1.2
activos. definido que sea consciente de
sus responsabilidades?
1.¿Existe una política de uso
aceptable para cada clase o tipo
Uso aceptable de los de activos de información?
8.1.3
activos. 2.¿Están los usuarios
conscientes de esta política
antes de su uso?
1.¿Existe algún proceso para
asegurar que los empleados y
8.1.4 Devolución de activos. los contratistas hagan
devolución de los activos de

55
información de propiedad de la
empresa a la terminación de su
contrato laboral?

8.2 Clasificación de la información


1. ¿Existe una política que rige la
clasificación de la información?
Directrices de 2. ¿Existe un proceso por el cual
8.2.1
clasificación. toda la información se pueda
clasificar de manera adecuada?

1.¿Existe un proceso o
Etiquetado y procedimiento que garantice el
8.2.2 manipulado de la etiquetado y la correcta
información. manipulación de los activos de
información?
Manipulación de 1. ¿Existe un procedimiento
8.2.3
activos. para el manejo de cada

56
clasificación de los activos de
información?

2. ¿Están los usuarios de los


activos de información al tanto
de este procedimiento?
8.3 Manejo de los soportes de almacenamiento
1. ¿Existe alguna política que
rige el uso de los soportes de
almacenamiento?
2. ¿Existe algún proceso que
diga cómo utilizar
Gestión de soportes adecuadamente los soportes de
8.3.1
extraíbles. almacenamiento?
3. ¿Existen políticas de procesos
o comunicados a los empleados
que informe el uso adecuado de
los soportes de
almacenamiento?

57
1. ¿Existe algún procedimiento
formal que rija como se debe
8.3.2 Eliminación de soportes
eliminar los soportes de
almacenamiento?
1.¿Existe alguna política
documentada y detallada que
defina la forma cómo se debe
transportar los soportes físicos
Soportes físicos en de almacenamiento?
8.3.3
tránsito 2. ¿Están protegidos los
soportes de comunicación
contra el acceso no autorizado,
mal uso o perdida durante su
transporte?
11 SEGURIDAD FISICA Y AMBIENTAL
11.1 Áreas seguras
Perímetro de seguridad 1.¿existe un perímetro de
11.1.1
física. seguridad designado?

58
2.¿Las áreas de información
sensible o críticas se encuentran
separadas y controladas
adecuadamente?
1.¿Las áreas seguras tienen
Controles físicos de sistemas de control de acceso
11.1.2
entrada. adecuado para que sólo
personal autorizado ingrese?
1.¿Tienen las oficinas,
despachos e instalaciones
seguridad perimetral?
2.¿Realiza procesos de
Seguridad de oficinas,
11.1.3 concientización con los
despachos y recursos.
empleados por mantener la
seguridad en puertas,
escritorios, archivadores, etc.,
de las oficinas?

59
1. ¿Tiene diseños o medidas de
Protección contra las protección física para prevenir
11.1.4 amenazas externas y desastres naturales, ataque
ambientales. maliciosos o accidentes de la
empresa?
1. ¿Existen áreas seguras?
2. ¿Dónde existen, las áreas
El trabajo en áreas seguras cuentan con políticas y
11.1.5
seguras. procesos adecuados?
3. ¿Estas políticas y procesos
son aplicadas y supervisadas?
1 ¿Las áreas de acceso público
están separadas de las áreas de

Áreas de acceso carga y descarga?

11.1.6 público, carga y 2 ¿El acceso a estas áreas están

descarga controladas?
3 ¿Esta el acceso a las áreas de
carga aislado de las

60
instalaciones de los procesos de
información?

11.2 Seguridad de los Equipos


1 ¿Están los peligros
ambientales identificados y
considerados cuando se
selecciona la ubicación de los
Emplazamiento y
11.2.1 equipos?
protección de equipos.
2 ¿Son los riesgos de acceso no
autorizado o transeúntes
considerados al emplazamiento
de equipos?
1. ¿Existe un sistema de UPS o
Instalaciones de generador de respaldo?
11.2.2
suministro. 2.¿Han sido probados en
simulacros?
1.¿Se han realizado
11.2.3 Seguridad del cableado. evaluaciones de riesgos sobre la

61
ubicación de los cables de
energía y telecomunicaciones?

2. ¿Están ubicadas para evitar


interferencias, interceptación o
daños?
Mantenimiento de los 1. ¿Existe una programación de
11.2.4
equipos. mantenimiento de equipos?
1 ¿Existe un proceso de control
Salida de activos fuera
de la salida de activos fuera de
de las
11.2.5 empresa?
dependencias de la
2 ¿Se aplica este proceso?
empresa.
3 ¿se realizan controles en sitio?
1 ¿Existe una política de
Seguridad de los
seguridad de activos fuera de la
equipos y activos
11.2.6 empresa?
fuera de las
2 ¿Estas políticas son del
instalaciones.
conocimiento de todos?

62
1. ¿Existe una política que
mencione que los activos de
información pueden ser
reutilizados o retirados en
Reutilización o retirada forma segura?
11.2.7 segura de dispositivos 2 ¿Cuándo datos o información
de almacenamiento. es borrada de dispositivos de
almacenamiento es
debidamente comprobado
antes de su reutilización o
eliminación?
1. ¿La empresa tiene una
política en torno a cómo el
equipo desatendido se debe
Equipo informático de proteger?
11.2.8
usuario desatendido. 2. ¿Existen controles técnicos
para garantizar que un equipo
se ha dejado inadvertidamente
desatendido?

63
Política de puesto de 1. ¿Existe una política de puesto
11.2.9 trabajo despejado y de trabajo despejado y bloqueo
bloqueo de pantalla de pantalla?

64
Anexo 5: Evidencia

Área de computadora en desorden.

Polvo en UPS.

65
Basura en computadoras.

Computadora con conector de alimentación 220V en mal estado.

66
Líneas de alimentación y comunicación desordenadas y área con polvo.

67