Semana 5

AUDITORIAS DE SEGURIDAD
TALLER “Auditando Seguridad Física, según ISO 27001”

Tecnológico Nacional Iplacex

 Semana 5
INSTRUCCIONES GENERALES
Una vez realizada la lectura comprensiva de la unidad I y II del material de
estudio, es fundamental la realización de este taller, que tiene por objetivo medir la
correcta internalización y aplicación de los conceptos abordados en las
mencionadas unidades.

Instrucciones específicas

Usted a sido contactado como Asesor de Seguridad, por la empresa

Dime tu pago, con el objeto de que levante una auditoría interna basada en ISO
27001, en relación a los controles que establece el Anexo A, para el punto 11)
Seguridad Física y del Entorno, que encontrará en el siguiente link:

ISO27k_ISMS_and_controls_status_with_SoA_and_gaps

Además, para la realización de su trabajo, se recomienda consultar la síntesis de

ISO-27001, que se encuentra en el siguiente link

Síntesis ISO-27001-sistema-gestion-seguridad-informacion

La Empresa:

Dime tu pago, es una Sociedad de Apoyo al Giro Bancario, su función

es procesar los medios de pago (Tarjetas de Pago), siendo sus principales clientes
Mastercard La Polar, Visa Abcdin, Visa Loungue, Mastercard Databand. Sus
oficinas se encuentran ubicadas en Edificio Larembarth, Avenida Andrés Bello 1772,
Comuna de Providencia, edificio de 6 pisos ocupado sólo por personal de la
empresa.

Tecnológico Nacional Iplacex

 Semana 5

El edificio cuenta con seis pisos habilitados para cada uno de los
Departamentos. Es administrado por una comunidad inmobiliaria contando con
control de acceso desde el nivel -1 al piso 6. En la recepción cuenta con una
secretaria y tres guardias, al ingresar al edificio se les solicita la cédula de identidad
y se les imprime un sticker de visita con su foto, diariamente se recibe un flujo
promedio de 200 personas entre visitas, entrevistas y proveedores.

Dentro del edificio trabajan las siguientes áreas:

PISO COLABORADORES EXTERNOS
P1 Gerencia RRHH y administración 30 18
P 2Gerencia de Riesgo y Seguridad 17 12
P 3 Gerencia de Finanzas 11 2
P 4 Gerencia de Operaciones 267 138
P 5 Gerencia Comercial 68 4
P 6 Gerencia General y Contraloría 10 1
TOTAL 403 175

Como procesadora de medios de pagos, la empresa mantiene una base

de datos con los números de tarjetas de créditos, (CID/CAV2/CVC2/CVV2) de sus
clientes, por ser validadora de operaciones telefónicas y de transacciones vía web,
generando diariamente un canal de más de 250.000 transacciones de pago a nivel
nacional.
Control de acceso: Posee un sistema basado en la Plataforma
HIKCentral, de HIKVISION, con la configuración de perfiles y privilegios de accesos
a los pisos, con horarios específicos. Durante la noche, hay un turno dependiente
de la Gerencia de Operaciones para monitorear acciones de fraude.

Procedimientos existentes:

• Procedimiento de Ingreso y salida de las instalaciones.

• Procedimiento de entrega de credenciales y registro en Control de
Acceso.
• Procedimientos de Emergencias y Evacuación.
• Procedimiento de Administración de Contrato.
• Reglamento Interno de Orden, Higiene y Seguridad.

Tecnológico Nacional Iplacex

 Semana 5

Alarmas: Posee monitoreo 24/7 por piso, a través de empresa externa,

quien además monitorea 145 cámaras en el interior del edificio.

Elementos contra Incendios: Posee red húmeda y red seca, además de

detectores de humo y temperatura, los cuales están ubicados en la Oficina de los
Guardias, donde además se opera el sistema de CCTV.

Sistemas de respaldo de energía: El edificio tiene un grupo electrógeno

que abastece pasillos y sólo al piso 4, como está ubicado en Providencia, nunca se
ha utilizado ya que nunca se corta la luz en ese sector.

Se solicita:
Elaborar un informe de auditoría con la siguiente información:

1) Construir una matriz para la auditoría de seguridad física, de conformidad a

la plantilla ISO/IEC 27001:2013 ISMS Status, Statement of Applicability (SoA)
and Control Status (gap analysis) workbook (sólo controles de Seguridad
Física) del Anexo A.

Tecnológico Nacional Iplacex

 Semana 5
La matriz deberá tener las siguientes columnas:

Sección Controles de Seguridad de la Información Estado Recurso Preguntas Comentarios

2) En la columna comentarios de la matriz, deberá incorporar cuatro

sugerencias por rubro, con el objeto de mejorar los procedimientos actuales
e incorporar una cláusula de confidencialidad para el control de acceso.

3) Presente una gráfica con las métricas obtenidas de la auditoría.

Estado de Controles
?
Desconocido
Inexistente

Inicial

Repetible

Definido

4) Redacte una conclusión con las oportunidades de mejoras, mínimo 300

palabras.

Tecnológico Nacional Iplacex

 Semana 5


Esta actividad será evaluada por el profesor de la asignatura, por lo
que se sugiere, para su realización, considerar los Criterios de
Evaluación detallados al final de este documento.

El puntaje total de este taller es de 100 puntos, y el puntaje mínimo

de aprobación es de 60 puntos.


Criterios de Evaluación Puntaje
Texto cumple con cantidad de palabras 10 %
Construye la matriz para auditoría de seguridad física 25 %
Incorpora para cada ítem, 4 sugerencias para mejorar el nivel de seguridad 25 %
Elabora un texto con oportunidades de mejoras 25 %
Construye el gráfico con las métricas de seguridad 15 %
Total puntaje 100

FORMALIDADES DE ENTREGA

• Tipo de letra: Arial 12

• Interlineado: 1,15
• Formato: Entrega del taller en archivo Word o Excel, que tenga como
nombre: SuNombre_SuApellido
• Subir el archivo a la plataforma

Tecnológico Nacional Iplacex

 Semana 5
1. INFORME AUDITORIA DE SEGURIDAD

2. COLUMNA COMENTARIOS

Sección Control Etapa Recursos Preguntas comentarios

Seguridad
de
información
A-11 1.1 Ámbito de Inexistente Los ¿Mejora la ▪ Es Esencial que una
seguridad necesarios seguridad del local mantenga un
física establecimiento cierre perimetral
la ejecución de apropiado para el
un sistema de desarrollo de sus
cierre funciones.
perimetral ▪ Hay que perfeccionar
adecuado? el control de los
eventos que puedan
¿Qué nivel perturbar el entorno
delictual existe de la instalación.
en el ▪ En esta área de
perímetro? seguridad, la
instalación de una
¿La Seguridad barrera artificial,
de la compañía entorpece el actual
cuenta con delictual.
protocolos ▪ Se establece un
(evacuación conveniente control
ante de entrada y salida
emergencias de personas, móviles
naturales, particulares y de
catástrofes) carga al
establecimiento,
A-11 1.2 Control Definido Plataforma ¿Es adecuado ▪ Debe potenciar el
físico de HIKCentral y suficiente el control físico a
entrada Tecnológica sistema de quienes ingresen al
A Recurso control? recinto
Humanos ▪ Perfeccionar el
¿Qué sucede si control de individuos,
un individuo además de sus
extraño al vestimentas y
establecimiento equipajes

Tecnológico Nacional Iplacex

 Semana 5
instalación, ▪ Descubrir al
comete en momento de entrada
algún delito en algún elemento no
el acceso? permitido y que
pueda ser usado
¿Cómo se para cometer delitos
detecta un ▪ advertir sustracción
hecho que de especies desde el
afecte la salud interior de la
de una persona empresa
en el frotis de la
tienda?
A-11 1.3 Seguridad Repetible Los ¿Es ▪ Precisar que
de Oficinas necesarios recomendable dependencias están
despachos y establecer determinadas como
recursos restricciones de áreas sensibles
acceso a ▪ Determinar y
distintos establecer la
departamentos? responsabilidad de
¿El personal autorizar el acceso a
que efectúa sus las señaladas
funciones dependencias
laborales, es el ▪ Realizar horarios de
adecuado? trabajo en las
oficinas, para lograr
detectar personas
ajenas
▪ Efectuar medidas de
seguridad concretas
para acceder y
mantener un
adecuado control de
las personas.
A-11 1.4 Protección Inexistente Los ¿El recinto ha ▪ En este país, nos
contra las necesarios sido punto de identifica por tener un
amenazas agresión o ha alto nivel de grandes
externas y sido expuesto a catástrofes
ambientales hechos o naturales, por esta
acontecimientos razón que cada
de desastres de empleado debe

Tecnológico Nacional Iplacex

 Semana 5
o naturaleza conocer, saber y
hostil? aplicar los protocolos
existentes en los
distintos sucesos.
▪ Cada área de trabajo
tiene que contar con
personal instruido
con misiones para
actuar en las
emergencias.
▪ Se debe efectuar
simulacros para
conocer el tiempo de
respuesta de los
equipos de
emergencia.
▪ Hay que estar
constantemente
observado los
conflictos sociales,
para verificar de qué
forma afectan al
establecimiento.
A-11 1.5 El trabajo en Inicial Humano ¿Sera suficiente ▪ Al contar con una
áreas tres personas red húmeda y seca,
seguras destinadas a de igual forma con
guardias y una detectores de humo,
secretaria? debiendo estos ser
¿Tiene estos últimos
conocimientos emplazados al
en materias de interior de la oficina
medidas de de los guardias.
seguridad en el ¿Verificar quien más
trabajo? está suficientemente
¿Quién fomenta capacitado y
las medidas de adjudicarse esta
prevención de responsabilidad?
accidentes ▪ Es trascendental
laborales? habilitar a los
trabajadores en

Tecnológico Nacional Iplacex

 Semana 5
relación a la forma
Interna del Orden,
Higiene y Seguridad
de la Empresa.
▪ Hay que habilitar
una superficie de
descanso con las
comodidades
adecuadas y
condiciones seguras
para los
trabajadores.
▪ Se debe desplegar
políticas y normas
que protejan la
integridad del
personal.
A-11 1.6 Áreas de Inexistente No ¿De acuerdo a ▪ En caso de existir,
carga y aplicable sus es significativo
descarga características y considerar que sería
sección de la un área sensible,
empresa, en debiendo ser
esta materia no seguida
se observa un constantemente a
sitio destinado través de cámaras
para esta faena? de vigilancia,
manipuladas por
recurso humano.
▪ Asimismo, debe
contar con personal,
capacitado para la
labor de recibir o
entregas materiales.

Tecnológico Nacional Iplacex

 Semana 5
▪ Suministrar de
medios y elementos
de mitigación de
acontecimientos.
▪ Medios de
comunicación
adecuados, para el
personal de
seguridad, para
actuar ante alguna
eventualidad de
requerir
cooperación en el
actuar.

Cláusula de En recurso Humado de Seguridad, deberá confeccionar una

confidencialidad lista con los datos (nombre) de cada empleado por sección o
para el control de departamento, designado en forma personal una tarjeta
acceso. exclusiva de acceso a su área de trabajo, en el caso que otro
trabajador necesite ingreso a otra dependencia o piso,
cumplirá con los protocolos de aviso y requerir autorización al
encargado de seguridad quedando registro de ello. Además
de lo anterior, si una persona ajena a la empresa deberá
identificarse mediante los documentos personales (cédula de
identidad), especificando sus motivos de concurrencia y al ser
permitido su ingreso, se otorgará una credencial de visita que
especifica al lugar y piso que concurre.

Tecnológico Nacional Iplacex

 Semana 5
3. GRAFICA CON MÉTRICAS OBTENIDAS DE LA AUDITORIA

Estado de Controles A11

1.1 INEXISTENTE
A11 DEFINIDO
definido 1.2
17% A11
repetible 1.3 REPETIBLE
Inexistente
17% A11
50%
1.4 INEXISTENTE
incial A11 INICIAL
16% 1.5
A11
1.6 INEXISTENTE

4. CONCLUSIÓN OPORTUNIDADES DE MEJORAS.

Después de obtener los resultados en la auditoria, en lo que concierne a áreas de

seguridad de la Empresa comercial “DIME TU PAGO”, en lo que refiere a
actividades y contando con un alto número de ciudadanos que ingresan a las
distintas áreas de instalación, se recomienda que patrocinen nuevas acciones
concretas, en medidas de seguridad, en razón de esta auditoría, se denota varias
vulnerabilidades, al observar escases de recursos humanos calificado y autorizado
por el Departamento de Seguridad Privada, OS10 de Carabineros de Chile. Lo
anterior, se logra contando con un número fijo de guardias de seguridad, que
ejecutan labores específicas de vigilancia, control, recorrido, y supervisiones
periódicas del recinto, en las distintas áreas, oficinas y pisos del establecimiento,
dependencias más sensibles o vulnerables, por ello, se debe tener en cuenta en el
programa de seguridad, la implementación de turnos de vigilancia, durante 24 horas,
lo que contempla de mejor manera el control de acceso y salida efectivo de las
instalaciones, ya sea de personas, carga y móviles particulares, entre otros, control
en sala monitoreo de cámaras de tele vigilancia, teniendo apoyo permanente en la
labor de registro de hechos ocurridos en las instalaciones.
Siguiendo con las ideas, al implementar un sistema de seguridad, se debe requerir
una alta gerencia, administradores de niveles y/o departamentos, donde los
empleados toman comprensión del rol fundamental de cada área asignada en
materia de seguridad. Para esto, se implementan mejores recursos tecnológicos

Tecnológico Nacional Iplacex

 Semana 5
(claves digitales, detectores, sensores movimiento, cámaras de alta resolución día
y noche, instaladas en áreas estratégicas externas e internas, sistemas de
almacenamiento de datos, grupos electrógenos con encendido automáticos ante
algún eventual corte de energía, sistemas de incendios), todo para prevenir la
ocurrencia de algún hecho delictual.
Por otra parte, el recurso humano debe estar constantemente efectuando
intercambios de información con las demás áreas de la empresa, con el fin de crear
y mantener un mejor clima laboral, análisis de situaciones de conflicto y aplicación
de protocolos ante emergencia.

Tecnológico Nacional Iplacex