Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anexo A - Libro de trabajo para el Gap Analisis (evaluación de los controles del SGSI)
A.11.1.3 ¿Ha sido definida y aplicada la seguridad física para las oficinas, salas e instalaciones? X
A.11.1.4 ¿Ha sido definida y aplicada la protección física contra daño causado por fuego, inundaciones, terremoto, explosión,
X
inquietud civil y otras desastres naturales o causados por el hombre?
A.11.1.5 ¿Han sido definidos y aplicados la protección física y los lineamientos de trabajo dentro de las áreas seguras? X
A.11.1.6 ¿Son controlados, y de ser posible, segregados, de las facilidades/instalaciones para el procesamiento de información,
los puntos de acceso como ser las áreas de entrega y carga y otros puntos donde personas no autorizadas puedan entrar en las X
premisas que sean controladas de manera de evitar el acceso no autorizado?
A.9.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
Requerimiento de control
A.11.2.1 ¿Está el equipamiento situado o protegido de tal manera de reducir los riesgos y peligros del entorno, como así también
X
las oportunidades de acceso no autorizado?
A.11.2.2 ¿Está el equipamiento protegido contra pérdida de energía u otras interrupciones causadas por pérdida de otros
X
suministros?
DataSec Página 1 de
A.11.2.3 ¿El cable de energía y el cable para transferencia de datos o los servicios para el respaldo de la información, están
X
protegidos contra la intercepción o contra daños?
A.11.2.4 ¿Está el equipamiento correctamente mantenido para asegurar su disponibilidad e integridad continua? X
DataSec Página 2 de
A.11.2.5 ¿Se requiere autorización antes de sacar equipamiento, información o software de las instalaciones de la organización? X
A.11.2.6 ¿Se aplica la seguridad al equipamiento para el trabajo fuera de la oficina, tomando en consideración los diferentes
riesgos de trabajar fuera de las instalaciones de la organización?
A.11.2.7 ¿Es chequeado todo el equipamiento conteniendo medios de almacenamiento para asegurar que cualquier información
X
sensible y software con licencia ha sido removido o sobre-escrito antes de su eliminación?
A.11.2.8 ¿Se ha requerido a los usuarios que se aseguren que todo el equipamiento desatendido tenga la protección apropiada? X
DataSec Página 3 de
A.11.2.9 ¿Ha adoptado la organización una clara política de escritorios que contemple la documentación en papel y los medios
X
removibles, como también una clara política de protección de pantallas para las instalaciones de procesamiento de la información?
INTEGRANTES
Sergio Garcia
Diosnel Fioravanti
Diego Bittar
Amanda Vargas
DataSec Página 4 de
Relevamiento (Noviembre 2020)
Un guardia de una empresa de seguridad privada es el encargado de recibir a los visitantes y tiene a su
cargo ejercer las medidas de control para visitantes y/o terceros, se encarga también de la guardia
nocturna
El perímetro de seguridad en el datacenter es más estricto que en otras áreas del edificio. Actualmente
para restringir el acceso a dicha zona, se cuenta con dos lectores biométricos, tanto para el pasillo que
conduce al Data Center como para el acceso al propio Data Center. El sistema de Circuito Cerrado de TV
(CCTV) cuenta con cámaras dañadas y no se puede visualizar en su totalidad, este sistema de CCTV no
está sincronizado con el NTP (Network Time Protocol) de la empresa.
La casa matriz en lo que respecta a protección contra amenazas externas y de origen ambiental,
tiene instalado en el Data Center un sistema automático de detección y extinción de incendios, sin
embargo, para el resto de las áreas del edificio no se cuenta con un sistema de detección automático de
humo y calor, solamente se cuenta con el sistema de extinción manual de incendio (extintores) que
están distribuidos en distintas áreas del edificio.
No se encuentra
No existe ningún procedimiento para la entrada y salida de equipos de la institución, así como no existe
control a las pertenencias de los funcionarios y/o terceros.
Se cuenta con generadores y UPS’s para proteger los equipos contra fallos de energía u otras anomalías
eléctricas
DataSec Página 5 de
Los cables de red que estan distribuidos en el edificio van por ductos de PVC, cielorraso y piso falso, las
rosetas son externas y no se encuentran codificadas.
Los medios de respaldo de información (cintas de backup) se encuentran resguardados fuera del edificio, se cuenta con
generadores y UPS’s para proteger los equipos contra fallos de energía u otras anomalías eléctricas, el Datacenter cuenta con
equipos de refrigeración del tipo Split que están en mantenimiento permanente. La casa matriz en lo que respecta a protección
contra amenazas externas y de origen ambiental, tiene instalado en el Data Center un sistema automático de detección y
extinción de incendios, sin embargo, para el resto de las áreas del edificio no se cuenta con un sistema de detección automático
de humo y calor, solamente se cuenta con el sistema de extinción manual de incendio (extintores) que están distribuidos en
distintas áreas del edificio.
DataSec Página 6 de
No existe ningún procedimiento para la entrada y salida de equipos de la institución, así como no existe control a las pertenencias
de los funcionarios y/o terceros.
Cada usuario es responsable de la realización del backup de sus datos, el departamento de TI en coordinación con el área
correspondiente, se encarga de inhabilitar los permisos que le fueron asignados al usuario. Para el uso de un nuevo equipo, se
realiza la migración de datos desde la antigua PC (incluyendo la cuenta de correo) correspondiente al usuario.
En lo que respecta a la oficina desatendida en la empresa no se cuenta con un procedimiento formal para proteger papeles o
medios magnéticos que contengan información crítica al momento de estar ausente en el puesto de trabajo, el resguardo de estos
documentos en lugares seguros como las cajas con llaves se realiza como buena práctica de seguridad.
DataSec Página 7 de
El Departamento de Seguridad de TI no suele realizar controle criptográficos por falta de una política de uso de medidas
criptográficas.
DataSec Página 8 de
Recomendaciones
DataSec Página 9 de
Se deberían considerar las siguientes pautas para la seguridad del cableado:
a) los cables de electricidad y telecomunicaciones hacia las instalaciones de
procesamiento de información
deberían ser subterráneos, donde sea posible o estar sujetos a protección
alternativa adecuada;
b) los cables de electricidad deberían estar apartados de los cables de
comunicación para evitar
interferencias;
c) para los sistemas sensibles o críticos, se deberían considerar más controles
que incluyen:
1) la instalación de conductos armados y salas o cajas cerradas con llave en los
puntos de inspección y
terminación;
2) el uso de blindaje electromagnético para proteger los cables;
3) el inicio de barridas técnicas e inspecciones físicas en busca de dispositivos
no autorizados
conectados a los cables;
4) el acceso controlado a los paneles de parches y a las salas de cables.
DataSec Página 10 de
Se deberían considerar las siguientes pautas:
a) se debería identificar a los empleados y partes externas que tienen la
autoridad para permitir el retiro
fuera del sitio de los activos;
b) se deberían establecer límites de tiempo para el retiro de activos y los
retornos se deberían verificar para
comprobar su cumplimiento;
c) donde sea necesario y corresponda, se deberían registrar a los activos que se
retiran del sitio y también
cuando se regresan;
d) la identidad, el rol y la afiliación de cualquier persona que maneje o utilice
activos se debería documentar
y, esta documentación se debería regresar con el equipo, la información o el
software.
DataSec Página 11 de
La política de escritorio despejado y pantalla despejada debería considerar las
clasificaciones de información
(ver 8.2), los requisitos legales y contractuales (ver 18.1) y los riesgos y
aspectos culturales correspondientes
de la organización. Se deberían considerar las siguientes pautas:
a) la información sensible o crítica para el negocio, es decir, en medios de
almacenamiento electrónico o
papel, se debería mantener guardada bajo llave (idealmente en una caja fuerte
o gabinete u otras formas
de muebles de seguridad) cuando no se necesite, especialmente cuando la
oficina esté desocupada.
b) se deberían mantener desconectados a los computadores y terminales o
protegidos con un mecanismo
de bloqueo de pantalla y teclado mediante una contraseña, token o mecanismo
de autenticación de
usuario similar cuando se deja sin supervisar y se debería proteger con bloqueos
de tecla, contraseñas u
otros controles cuando no está en uso;
c) se debería evitar el uso no autorizado de fotocopiadoras u otro tipo de
tecnologías de reproducción (es
decir, escáneres, cámaras digitales);
d) los medios que contienen información sensible o clasificada se deberían
extraer de las impresoras
inmediatamente.
DataSec Página 12 de