Si Parcial No

Anexo A - Libro de trabajo para el Gap Analisis (evaluación de los controles del SGSI)

A.11 Seguridad física y del ambiente

A.11.1 Áreas seguras
Objetivo: Prevenir el acceso físico no autorizado, cualquier daño o interferencia con las premisas e información de la
organización.
Requerimiento de control
A.11.1.1 ¿Se usan perímetros de seguridad (barreras como paredes, puertas de acceso controladas con tarjetas, o mesa de
entrada provista con personal) para proteger las áreas que contienen información o las facilidades/instalaciones para el X
procesamiento de información?
A.11.1.2 ¿Están las áreas seguras protegidas con los controles de acceso apropiados para asegurar que sólo el personal
X
autorizado tiene acceso?

A.11.1.3 ¿Ha sido definida y aplicada la seguridad física para las oficinas, salas e instalaciones? X

A.11.1.4 ¿Ha sido definida y aplicada la protección física contra daño causado por fuego, inundaciones, terremoto, explosión,
X
inquietud civil y otras desastres naturales o causados por el hombre?

A.11.1.5 ¿Han sido definidos y aplicados la protección física y los lineamientos de trabajo dentro de las áreas seguras? X

A.11.1.6 ¿Son controlados, y de ser posible, segregados, de las facilidades/instalaciones para el procesamiento de información,
los puntos de acceso como ser las áreas de entrega y carga y otros puntos donde personas no autorizadas puedan entrar en las X
premisas que sean controladas de manera de evitar el acceso no autorizado?

A.9.2 Equipos
Objetivo: Prevenir la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
Requerimiento de control

A.11.2.1 ¿Está el equipamiento situado o protegido de tal manera de reducir los riesgos y peligros del entorno, como así también
X
las oportunidades de acceso no autorizado?

A.11.2.2 ¿Está el equipamiento protegido contra pérdida de energía u otras interrupciones causadas por pérdida de otros
X
suministros?

DataSec Página 1 de
 A.11.2.3 ¿El cable de energía y el cable para transferencia de datos o los servicios para el respaldo de la información, están
X
protegidos contra la intercepción o contra daños?

A.11.2.4 ¿Está el equipamiento correctamente mantenido para asegurar su disponibilidad e integridad continua? X

DataSec Página 2 de
 A.11.2.5 ¿Se requiere autorización antes de sacar equipamiento, información o software de las instalaciones de la organización? X

A.11.2.6 ¿Se aplica la seguridad al equipamiento para el trabajo fuera de la oficina, tomando en consideración los diferentes
riesgos de trabajar fuera de las instalaciones de la organización?

A.11.2.7 ¿Es chequeado todo el equipamiento conteniendo medios de almacenamiento para asegurar que cualquier información
X
sensible y software con licencia ha sido removido o sobre-escrito antes de su eliminación?

A.11.2.8 ¿Se ha requerido a los usuarios que se aseguren que todo el equipamiento desatendido tenga la protección apropiada? X

DataSec Página 3 de
 A.11.2.9 ¿Ha adoptado la organización una clara política de escritorios que contemple la documentación en papel y los medios
X
removibles, como también una clara política de protección de pantallas para las instalaciones de procesamiento de la información?

INTEGRANTES
Sergio Garcia
Diosnel Fioravanti
Diego Bittar
Amanda Vargas

DataSec Página 4 de
 Relevamiento (Noviembre 2020)

Un guardia de una empresa de seguridad privada es el encargado de recibir a los visitantes y tiene a su
cargo ejercer las medidas de control para visitantes y/o terceros, se encarga también de la guardia
nocturna
El perímetro de seguridad en el datacenter es más estricto que en otras áreas del edificio. Actualmente
para restringir el acceso a dicha zona, se cuenta con dos lectores biométricos, tanto para el pasillo que
conduce al Data Center como para el acceso al propio Data Center. El sistema de Circuito Cerrado de TV
(CCTV) cuenta con cámaras dañadas y no se puede visualizar en su totalidad, este sistema de CCTV no
está sincronizado con el NTP (Network Time Protocol) de la empresa.

La casa matriz en lo que respecta a protección contra amenazas externas y de origen ambiental,
tiene instalado en el Data Center un sistema automático de detección y extinción de incendios, sin
embargo, para el resto de las áreas del edificio no se cuenta con un sistema de detección automático de
humo y calor, solamente se cuenta con el sistema de extinción manual de incendio (extintores) que
están distribuidos en distintas áreas del edificio.

No se encuentra

El sistema de detención de intrusos está obsoleto y no funciona; el departamento de seguridad comento

que no posee normativa de acceso al edificio y al Data Center. Tanto para la entrega de llaves de las
oficinas como para las copias, no se utiliza ningún procedimiento; no se cuenta con un tablero de llaves,
tampoco se cuenta con un inventario que facilite su control y con un responsable permanente las 24 hs,
incluso fines de semana.

No existe ningún procedimiento para la entrada y salida de equipos de la institución, así como no existe
control a las pertenencias de los funcionarios y/o terceros.
Se cuenta con generadores y UPS’s para proteger los equipos contra fallos de energía u otras anomalías
eléctricas

DataSec Página 5 de
Los cables de red que estan distribuidos en el edificio van por ductos de PVC, cielorraso y piso falso, las
rosetas son externas y no se encuentran codificadas.

Los medios de respaldo de información (cintas de backup) se encuentran resguardados fuera del edificio, se cuenta con
generadores y UPS’s para proteger los equipos contra fallos de energía u otras anomalías eléctricas, el Datacenter cuenta con
equipos de refrigeración del tipo Split que están en mantenimiento permanente. La casa matriz en lo que respecta a protección
contra amenazas externas y de origen ambiental, tiene instalado en el Data Center un sistema automático de detección y
extinción de incendios, sin embargo, para el resto de las áreas del edificio no se cuenta con un sistema de detección automático
de humo y calor, solamente se cuenta con el sistema de extinción manual de incendio (extintores) que están distribuidos en
distintas áreas del edificio.

DataSec Página 6 de
No existe ningún procedimiento para la entrada y salida de equipos de la institución, así como no existe control a las pertenencias
de los funcionarios y/o terceros.

Cada usuario es responsable de la realización del backup de sus datos, el departamento de TI en coordinación con el área
correspondiente, se encarga de inhabilitar los permisos que le fueron asignados al usuario. Para el uso de un nuevo equipo, se
realiza la migración de datos desde la antigua PC (incluyendo la cuenta de correo) correspondiente al usuario.

En lo que respecta a la oficina desatendida en la empresa no se cuenta con un procedimiento formal para proteger papeles o
medios magnéticos que contengan información crítica al momento de estar ausente en el puesto de trabajo, el resguardo de estos
documentos en lugares seguros como las cajas con llaves se realiza como buena práctica de seguridad.

DataSec Página 7 de
El Departamento de Seguridad de TI no suele realizar controle criptográficos por falta de una política de uso de medidas
criptográficas.

DataSec Página 8 de
 Recomendaciones

Se deben reparar las camaras dañadas para posibles

verificaciones de accesos del personal y/o incidentes que puedan
ocurrir.

Los sistemas de deteccion automatica deben contemplar a todo

el edificio

Se deberían diseñar y aplicar procedimientos para trabajar en

áreas seguras.
Se deberían controlar los puntos de acceso como las áreas de
entrega y carga y otros puntos donde pudieran ingresar
personas no autorizadas a las dependencias y, de ser posible, se
deberían aislar de las instalaciones de procesamiento de
información para evitar el acceso.

Los equipos se deberían emplazar y proteger para reducir los

riesgos de las amenazas y peligros ambientales y las
oportunidades de acceso no autorizado.

DataSec Página 9 de
Se deberían considerar las siguientes pautas para la seguridad del cableado:
a) los cables de electricidad y telecomunicaciones hacia las instalaciones de
procesamiento de información
deberían ser subterráneos, donde sea posible o estar sujetos a protección
alternativa adecuada;
b) los cables de electricidad deberían estar apartados de los cables de
comunicación para evitar
interferencias;
c) para los sistemas sensibles o críticos, se deberían considerar más controles
que incluyen:
1) la instalación de conductos armados y salas o cajas cerradas con llave en los
puntos de inspección y
terminación;
2) el uso de blindaje electromagnético para proteger los cables;
3) el inicio de barridas técnicas e inspecciones físicas en busca de dispositivos
no autorizados
conectados a los cables;
4) el acceso controlado a los paneles de parches y a las salas de cables.

Se deberían considerar las siguientes pautas para el mantenimiento de equipos:

a) los equipos se deberían mantener de acuerdo a los intervalos y
especificaciones de servicio
recomendados por el proveedor;
b) solo el personal de mantenimiento autorizado debería realizar reparaciones y
labores de mantenimiento y
servicio a los equipos;
c) se deberían mantener registros de todas las fallas sospechosas o reales y de
todo el mantenimiento
preventivo y correctivo;
d) se deberían implementar controles adecuados cuando se programa el
mantenimiento de equipos
considerando si este mantenimiento lo realizará el personal en terreno o externo
a la organización; donde
sea necesario se debería eliminar la información confidencial del equipo o bien lo
debería realizar el
personal de mantenimiento;
e) se debería cumplir con todos los requisitos de mantenimiento impuestos por
las políticas de seguros;
f) luego de volver a poner al equipo en funcionamiento después de su
mantenimiento, se debería
inspeccionar para garantizar que no ha sido adulterado y que funciona
adecuadamente.

DataSec Página 10 de
Se deberían considerar las siguientes pautas:
a) se debería identificar a los empleados y partes externas que tienen la
autoridad para permitir el retiro
fuera del sitio de los activos;
b) se deberían establecer límites de tiempo para el retiro de activos y los
retornos se deberían verificar para
comprobar su cumplimiento;
c) donde sea necesario y corresponda, se deberían registrar a los activos que se
retiran del sitio y también
cuando se regresan;
d) la identidad, el rol y la afiliación de cualquier persona que maneje o utilice
activos se debería documentar
y, esta documentación se debería regresar con el equipo, la información o el
software.

Se deberían verificar todos los equipos que contengan medios de

almacenamiento para garantizar que
cualquier tipo de datos sensibles y software con licencia se hayan extraído o se
hayan sobrescrito de manera
segura antes de su eliminación o reutilización.

Todos los usuarios deberían conocer los requisitos y procedimientos de

seguridad para proteger a los
equipos sin supervisión, así como también sus responsabilidades para
implementar dicha protección. Se les
debería indicar lo siguiente a los usuarios:
a) que finalicen las sesiones activas cuando terminen, a menos que se puedan
proteger con un mecanismo
de bloqueo adecuado, es decir, un protector de pantalla protegido con
contraseña;
b) cerrar sesión en las aplicaciones o servicios de redes cuando ya no se
necesiten;
c) proteger a los computadores o dispositivos móviles del uso no autorizado
mediante un candado con llave
o un control equivalente, es decir, acceso con contraseña, cuando no se utilice.

DataSec Página 11 de
La política de escritorio despejado y pantalla despejada debería considerar las
clasificaciones de información
(ver 8.2), los requisitos legales y contractuales (ver 18.1) y los riesgos y
aspectos culturales correspondientes
de la organización. Se deberían considerar las siguientes pautas:
a) la información sensible o crítica para el negocio, es decir, en medios de
almacenamiento electrónico o
papel, se debería mantener guardada bajo llave (idealmente en una caja fuerte
o gabinete u otras formas
de muebles de seguridad) cuando no se necesite, especialmente cuando la
oficina esté desocupada.
b) se deberían mantener desconectados a los computadores y terminales o
protegidos con un mecanismo
de bloqueo de pantalla y teclado mediante una contraseña, token o mecanismo
de autenticación de
usuario similar cuando se deja sin supervisar y se debería proteger con bloqueos
de tecla, contraseñas u
otros controles cuando no está en uso;
c) se debería evitar el uso no autorizado de fotocopiadoras u otro tipo de
tecnologías de reproducción (es
decir, escáneres, cámaras digitales);
d) los medios que contienen información sensible o clasificada se deberían
extraer de las impresoras
inmediatamente.

DataSec Página 12 de