2- Visibilidad de la Sala de Servidores.

Se determinó que la visibilidad con la que cuenta el centro de cómputo, se puede ubicar
fácilmente el mismo ya que está en el pasillo principal y la cual tiene una gran ventana de vidrio.

Según: Norma ISO 17799 .7 SEGURIDAD FÍSICA Y AMBIENTAL

7.1.3 Protección de oficinas, recintos e instalaciones

b) Los edificios deben ser discretos y sin signos obvios, exteriores o interiores, que
identifiquen la presencia de actividades de procesamiento de información.

Según el estudio efectuado, la causa por la que se presentó es que cuando se construyó la sala de
servidores fue el lugar designado ya que la infraestructura del edificio no es amplia.

La ausencia de un lugar más discreto, que no permita que las personas puedan observar con
facilidad los equipos con los que cuenta la sala de servidores y determinar quiénes son los
encargados de esta área, además de poder observar el equipo utilizado y su estructura.

Recomendación

2- Se recomienda polarizar el vidrio que da visibilidad completa del cuarto de servidores esto con
el fin de que no se pueda observar nada hacia adentro del recinto.
3- Rotulación de la Sala de Servidores.

Se determinó que el centro de servidores cuenta con la rotulación que hace ubicar fácilmente el
mismo ya que está en el pasillo principal.

Según: Norma ISO 17799 .7 SEGURIDAD FÍSICA Y AMBIENTAL

7.1.3 Protección de oficinas, recintos e instalaciones

b) Los edificios deben ser discretos y sin signos obvios, exteriores o interiores, que
identifiquen la presencia de actividades de procesamiento de información.

Se incumple con este requerimiento debido a que la gerencia de TI tiene desconocimiento acerca
de la rotulación del cuarto de cómputo.

Al contar con una rotulación de la sala de cómputo se podría acceder más fácil a este recinto, por
lo que podría estar expuesta a la extracción de información y a daños premeditados.

Recomendación

3- Se recomienda eliminar la rotulación que identifica la puerta de acceso a la sala de servidores,

con esto controlaríamos más el acceso a este y no quedaría fácilmente ubicable.
 4-Monitero remoto.

Se cuenta con equipo de monitoreo para vigilancia para la entrada pero no tiene para la sala de
servidores y no cuenta con rotulación y no existe una rotulación que indique que se está siendo
monitoreado.

Según: La norma ISO 17799 7.2 Seguridad del equipamiento

El equipamiento debe ser ubicado o protegido de tal manera que se reduzcan los riesgos
ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Se
deben tener en cuenta los siguientes puntos:

Se deben adoptar controles para minimizar el riesgo de amenazas potenciales, por ej.
1) robo
2) incendio
3) explosivos
4) humo;
5) agua (o falta de suministro)
6) polvo
7) vibraciones
8) efectos químicos
9) interferencia en el suministro de energía eléctrica.
10) radiación electromagnética.
Estos deben de estar rotulados indicando el tipo de aseguramiento con el que se cuenta.

Se incumple con este requerimiento debido a que la gerencia de TI tiene desconocimiento acerca
de monitoreo de la sala de servidores y la rotulación que se tiene que colocar para informar que se
está siendo grabado y monitoreado.

Se podría tener problemas de que si alguna persona observa a los encargado o el equipo se
maneja se den problemas de confidencialidad y de privacidad de acuerdo a la información.

Recomendaciones

4- Colocar un rotulo que indique que se cuenta con equipo de vigilancia continua, cámaras de
vigilancia 24/7 y colocar un tipo monitoreo a la sala de servidores.
 5- Estructura de Sala de Servidores

Se determinó la presencia de una ventana de vidrio lo que estructuralmente no es conveniente ya que si

por accidente o desastre natural el vidrio se llegará a quebrar el vidrio, se tendría acceso a la sala de
servidores.

Según: Norma ISO 17799 .7 SEGURIDAD FÍSICA Y AMBIENTAL

7.1.3 Protección de oficinas, recintos e instalaciones

b) Los edificios deben ser discretos y sin signos obvios, exteriores o interiores, que identifiquen la
presencia de actividades de procesamiento de información.

Según el estudio efectuado, la causa por la que se presentó es que cuando se construyó la sala de
servidores fue el lugar designado ya que la infraestructura del edificio no es amplia.

Si este vidrio llegará a sufrir una quebradura no habría una forma rápida de reparar el daño ya que debido
a las dimensiones del mismo no es fácil de conseguir dejando así al descubierto la sala de cómputo.

Recomendaciones

5-Los Responsables de la Sala de Servidores en conjunto con el encargado de TI deben gestionar la

creación de un polarizado de seguridad para los vidrios para que no sea visible y brindar seguridad o
la creación de una pared que permita la discreción de los equipos e información que se maneja en esta
área.

15 Bitácora de acceso al cuarto de servidores

Se determinó la ausencia de una bitácora que lleve el control de las personas que pueden ingresar al
cuarto de servidores.

La norma ISO 17799,

7.1.2 Controles de acceso físico

“Los visitantes de áreas protegidas deben ser supervisados o inspeccionados y la fecha y horario de su
ingreso y egreso deben ser registrados.

Falta de existencia de política interna que indique que se debe llevar este control

Recomendaciones:

Se debería llevar una bitácora en la cual se registre la hora, el nombre e identificación de las personas
que desean ingresar al cuarto de servidores.

16 Controles de acceso

Se determinó la ausencia de controles que eviten que los usuarios tengan acceso a aéreas restringidas

La norma ISO 17799,

7.1.2 Controles de acceso físico,

c) “Se debe requerir que todo el personal exhiba alguna forma de identificación visible y se lo debe
alentar a cuestionar la presencia de desconocidos no escoltados y a cualquier persona que no
exhiba una identificación visible.

Falta de existencia de política interna que indique que se debe llevar este control

Recomendaciones:

Se debe de poner un control de que cada usuario tenga su identificación y se determine a cuales aéreas
pueden ingresar y cuales aéreas no tienen acceso de ingresar con el fin de poder mejorar el control de
acceso aquellas aéreas que son más delicadas ,

17 Reglamento del usuario

No se cuenta con reglamento que que especifique que los usuarios solo pueden tener acceso a su área
de trabajo

La norma ISO 17799,

7.1.2 Controles de acceso físico,

b) El acceso a la información sensible, y a las instalaciones de procesamiento de información, debe

ser controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles
de autenticación, por ej. tarjeta y número de identificación personal (PIN), para autorizar y
validar todos los accesos. Debe mantenerse una pista protegida que permita auditar todos los
accesos.

Recomendaciones:

Se debe tener un reglamento en el cual todos los usuarios tienen que tener conocimiento de le para
menor operación de la empresa .

18 Publicación del reglamento

No se tiene ningún reglamento en el cual los usuarios se puedan basar para cumplir con las normas de
la empresa.

La norma ISO 17799,

7.1.2 Controles de acceso físico

b) El acceso a la información sensible, y a las instalaciones de procesamiento de información, debe

ser controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles
de autenticación, por ej. tarjeta y número de identificación personal (PIN), para autorizar y
validar todos los accesos. Debe mantenerse una pista protegida que permita auditar todos los
accesos.

Falta de existencia de un reglamento en el cual los usuarios deben de seguir

Recomendaciones:

El reglamento debería estar a visibilidad de todos los usuarios de la compañía

19 Bitácora de acceso al cuarto de cómputo

No se tiene ningún reglamento en el cual los usuarios se puedan basar para cumplir con las normas de
la empresa.

La norma ISO 17799,

7.1.2 Controles de acceso físico

a) Los visitantes de áreas protegidas deben ser supervisados o inspeccionados y la fecha y horario de su
ingreso y egreso deben ser registrados.

Falta de existencia de política interna que indique que se debe llevar este control

Recomendaciones:

Se debería llevar una bitácora en la cual se registre la hora, el nombre e identificación de las personas
que desean ingresar al cuarto de computo.

Falta de existencia de un reglamento en el cual los usuarios deben de seguir

Recomendaciones:

Se debería llevar una bitácora en la cual se registre la hora, el nombre e identificación de las personas
que desean ingresar al cuarto de computo

20 Procedimientos de reporte y resolución de incidentes

Inexistencia de procedimientos de reportes o resolución de incidentes donde se pueda llevar el control de

los accidentes que han ocurrido y como han sido solucionados.

Según: El COBIT, en el proceso DS12, Gestión del Entorno Físico, declara en el punto 12.2 lo siguiente:
“Definir e implementar medidas de seguridad físicas alineadas con los requerimientos del negocio. Las
medidas deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las zonas de
seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En particular, mantenga un
perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades
sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.”

No se han implementado técnicas para que se den reportes diarios de lo que sucede en las instalaciones
para así poder evitar algún tipo de incidente.

Como resultado de no contar con estos reportes puede suceder que se den muchos errores e incidentes que
sigan afectando y ocurriendo en la sala.

21 Seguridad del cableado eléctrico de la sala de servidores.

Se necesita de un control que proteja y evite la desconexión de los cables en la sala de servidores

La norma ISO 17799,

7.2.3 Seguridad del cableado

b) El cableado de red debe estar protegido contra interceptación no autorizada o daño, por
ejemplo mediante el uso de conductos o evitando trayectos que atraviesen áreas públicas.

La razón por la cual no se tiene un control que proteja y evite la desconexión de los cables se debe que
ellos están en el suelo y no lo tienen el los rack

Como resultado de no contar con un control para la protección del cableado eléctrico, aumenta el peligro
de que el cableado sea interceptado o cortado y se pierda la alimentación eléctrica del centro de cómputo.

Recomendación:

Se debería mantener un orden en el cableado para evitar que los equipos se desconecten y reorganizarlos
en el rack