1

ISO / IEC 27000 de 2015

AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

1. DESCRIPCION DE LA ORGANIZACIÓN
1.1 NOMBRE DE LA EMPRESA

1.2 NATURALEZA DE LA EMPRESA

Orienta sus esfuerzos al fortalecimiento del sector productivo y social regional,
brindando apoyo a agrocadenas con la asistencia técnica y financiera de actores
como COLCIENCIAS, el Programa Colombia de la Universidad de Georgetown,
Programa ADAM, MIDAS, de la USAID, la Fundación Colombia para la Educación y la
Oportunidad, el Centro Internacional de Agricultura Tropical - CIAT, Ministerio de
Agricultura, Ministerio de Comercio, Industria y Turismo, Corporación Colombia
Internacional, DANSOCIAL, ANDI, Asociación de Municipios del Norte del Cauca,
INNpulsa, entre otros.

1.3 MISION
El Centro Regional de Productividad e Innovación del Cauca, CREPIC,
mejora la competitividad de las organizaciones regionales, a través de la
articulación y desarrollo de las capacidades de innovación y productividad
de sus actores con el propósito de elevar su calidad de vida

1.4 VISION

El Centro Regional de Productividad e Innovación del Cauca es reconocido por su

capacidad de integrar estratégicamente los actores regionales de la competitividad
y apropiar modelos de gestión de conocimiento, para incrementar la
productividad, propiciar la innovación organizacional y proyectar al Cauca como
una región competitiva

1.5 VALORES

 Autonomía con interdependencia

 Trabajo en equipo.
 Transparencia en objetivos y gestión.
 Responsabilidad Social.
 Organización que aprende y comparte conocimiento.

3.1. Objetivos de la Auditoria

3.1.1. Objetivo General

Verificar el cumplimiento de todos los parámetros de
 2
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

seguridad tanto física y del entorno según ISO/IEC

27000:2013 con el ítem respective.

3.1.2. Objetivos Específicos

 Realizar una visita a la empresa para revisar su infraestructura.
 Revisión mediante la observación directa del auditor.
 Evaluar la infraestructura en pro de la seguridad empresarial.
 Aplicación de listas de verificación con el fin de evaluar
el desempeño de la empresa en seguridad de la
información.
 Realizar las recomendaciones necesarias para realizar
el mejoramiento de la seguridad de la compañía.

3.2. Técnicas para reunir Evidencias de la Auditoría

3.2.1. Entrevista
3.2.2. Observación
Para ello el auditor maneja una lista de Verificación con las características con la que
debería contar la institución para poder cumplir la ISO/IEC

3 DESCRIPCION DEL DOMINIO 11 Y SUS OBJETIVOS

3.1 Seguridad Física y del Entorno o Ambiente

 Áreas Seguras
Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales de la organización.

A.11.1.1 Perímetro de Seguridad Física

Control 1: Se deben utilizar perímetros de seguridad (barreras tales como
paredes, rejas de entrada controladas por tarjetas o recepcionistas) para
proteger las áreas que contienen información y medios de procesamiento de
información.

Control 1:
No Cumple
Anexo Nº
Cumple

Ítem a Evaluar
 3
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

Perímetros de seguridad debieran estar claramente X

definidos (de acuerdo a los riesgos que los activos
tengan)
Las paredes externas del local son una construcción X
sólida y todas las puertas externas están
adecuadamente protegidas contra accesos no
autorizados mediante mecanismos de control
Las puertas y ventanas quedan aseguradas cuando X
están desatendidas y se debiera considerar una
protección externa para las ventas, particularmente en el
primer piso
Cuentan con un área de recepción con un(a) X
recepcionista u otros medios para controlar el acceso
físico al local o edificio; el acceso a los locales y edificios
están restringidos solamente al personal autorizado
Se elaboran las barreras físicas para prevenir el acceso x
físico no autorizado y la contaminación ambiental

Todas las puertas de emergencia en un perímetro de X

seguridad cuentan con alarma

Existen sistemas de detección de intrusos según x

estándares y son probados regularmente para abarcar
todas las puertas externas y ventanas accesibles; las
áreas no ocupadas cuentan con alarma en todo
momento; por ejemplo el cuarto de cómputo o cuarto de
comunicaciones

Los medios de procesamiento de información manejados X

por la organización están físicamente separados de
aquellas manejadas por terceros

A.11.1.2 Controles de Ingreso Físico

Control 2: Las áreas seguras son protegidas mediante controles de ingreso
apropiados para asegurar que sólo se le permita el acceso al personal
autorizado.

Control 2
 4
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

No Cumple
Anexo Nº
Cumple
Ítem a Evaluar

Llevar un registro de la fecha y la hora de entrada y salida x

de los visitantes, y todos los visitantes debieran ser
supervisados a no ser que su acceso haya sido previamente
aprobado
El acceso a áreas donde se procesa o almacena x
información sensible se controla y restringe sólo a
personas autorizadas; utilizando controles de
autenticación
Los derechos de acceso a áreas seguras son revisados y x
actualizados regularmente, y revocados cuando sea
necesario
Al personal de servicio de apoyo de terceros se le otorga x
acceso restringido a las áreas seguras o los medios de
procesamiento de información confidencial, solo cuando
sea necesario; este acceso es autorizado y monitoreado

A.11.1.3 Seguridad de oficinas, recintos e instalaciones:

Control 3: Se diseña y aplica la seguridad física para las oficinas, habitaciones
y medios.

Control 3
No Cumple
Anexo Nº
Cumple

Ítem a Evaluar

Se tiene en cuenta los estándares y regulaciones de

sanidad y seguridad relevantes

Se debieran localizar los medios claves para evitar el

acceso del público

Los directorios y teléfonos internos que identifiquen la

ubicación de los medios de procesamiento de la
información no están accesibles al público
 5
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

A.11.1.4 Protección contra Amenazas Externas y ambientales

Control 4: Se asigna y aplica protección física contra daño por fuego,
inundación, terremoto, explosión, revuelta civil y otras formas de desastres
naturales o causados por el hombre.

Control 4

No Cumple
Anexo Nº
Cumple
Ítem a Evaluar

Sólo el personal de mantenimiento autorizado llevara a

cabo las reparaciones y dar servicio al equipo
Mantienen registros de todas las fallas sospechadas y
reales, y todo mantenimiento preventivo y correctivo
Implementan los controles apropiados cuando se
programa el equipo para mantenimiento, tomando en
cuenta si su mantenimiento es realizado por el personal
en el local o fuera de la organización; cuando sea
necesario, se revisa la información confidencial del
equipo, o se verifica al personal de mantenimiento
Cumple con todos los requerimientos impuestos por las
pólizas de seguros

A.11.1.5 Trabajo en Áreas Seguras

Control 5: Se diseña y aplica la protección física y los lineamientos para
 6
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA

trabajar en áreas aseguradas.

Control 5

No Cumple

Anexo Nº
Ítem a Evaluar

Cumple
El equipo y medios sacados del local nunca son dejados
desatendidos en lugares públicos
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo,
protección contra la exposición a fuertes campos
electromagnéticos
Se determinan controles para el trabajo en casa a través
de una evaluación del riesgo y los controles apropiados
conforme sea apropiado
Se cuenta con un seguro adecuado para proteger el
equipo fuera del local

A.11.1.6 Áreas de despacho y descarga

Control 6: Se controlar los puntos de acceso como las áreas de entrega y carga
y otros puntos por donde personas no-autorizadas puedan ingresar al local y,
se aísla de los medios de procesamiento de información para evitar el acceso
no autorizado.

Control 6
No Cumple
Anexo Nº
Cumple

Ítem a Evaluar

Los dispositivos que contienen información confidencial

son físicamente destruidos o se destruye, borra o sobre-
escribe la información utilizando técnicas que hagan
imposible recuperar la información original, en lugar de
simplemente utilizar la función estándar de borrar o
formatear
 7
ISO / IEC 27000 de 2015
AUDITORIA DE SEGURIDAD FISICA Y DEL ENTORNO

CORPORACION UNIVERSITARIA DE POPAYAN

INGENIERIA DE SISTEMAS – ANDRES FELIPE NAVIA