TRABAJO FINAL

EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN

ENTIDAD: GRUPO TRANMER S.R.L FECHA DE CORTE:

Milena Añez Velásquez

Aplicado por: Ana María Rivero Bruno Fecha 28/06/2023
Alexandra Rojas Fernández
Revisado por: Fecha

ENTREGA Y SOPORTE

DS 12 Administración de las instalaciones

Criterios de información involucrados en el objetivo:

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
P P

Recursos de TI a considerar:

Personal Aplicaciones Infraestructura Datos

b

Objetivo General La protección del equipo de cómputo y del personal, requiere de instalaciones bien
diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los
requerimientos físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño de
procesos efectivos para monitorear factores ambientales y administrar el acceso físico. La administración
efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de cómputo
y al personal.

Objetivos específicos de control a verificar:

Nivel
Apl. N° Objetivo de Control Conclusión de
Riesgo

La empresa cuenta con los equipos de protección necesaria, Bajo

1 Seguridad Física tanto para el personal como para los equipos de sistemas de
información. REf.-1

Página 1 de 21
 TRABAJO FINAL

EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN

Nivel
Apl. N° Objetivo de Control Conclusión de
Riesgo
La empresa Grupo Tranmer S.R.L se dedica a la distribución de
productos de la marca Coca- Cola por lo tanto en lo que viene a
ser sistemas tecnológicos esta empresa cuenta con sistemas
Bajo Perfil de las Bajo
que permiten ingresar de productos a diferentes clientes al
2 Instalaciones de Tecnología
sistema a través del teléfono móvil y enviarlos a la oficina
de Información
central desde cualquier ubicación que se encuentre el pre
vendedor, para su facturación y entrega evitando la perdida de
datos. REF.-2

El ingreso de personas ajenas a la empresa son atendidas y

dotadas de los equipos de seguridad para poder ingresar, son
3 Escolta de Visitantes Bajo
registradas en un libro de visitas externas para luego ser
atendidas por el encargado de la empresa.

SALUD
En personal cuenta con un seguro unipersonal para el personal
aparte del seguro de salud en la caja nacional. Bajo
Salud y Seguridad del
4 SEGURIDAD PERSONAL
Personal
El personal cuenta con todos los equipos de protección para
realizar los trabajos dentro y fuera de la empresa.

Protección contra Factores La empresa cuenta con todas las medidas de protección contra
5 Bajo
Ambientales factores ambientales, tanto como para la empresa y el personal.

La empresa no cuenta con un suministro interrumpido de Alto

Suministro Ininterrumpido de
6 energía de emergencia o una carga cuando falla la fuente de
Energía
alimentación de entrada o la alimentación de red.

RIESGO GLOBAL DETERMINADO BAJO

Página 2 de 21
 TRABAJO FINAL

EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN

Página 3 de 21
 PROGRAMA DE TRABAJO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de instalaciones
Ref
N° Descripción de la tarea Resultado
PT
1. Revisar si la localización de las La localización de las instalaciones no está en un
instalaciones no es obviamente área accesible se mantiene la seguridad y el REF.-3
externa, se encuentra en el área u acceso de personas externas
organización menos accesible, y si el
acceso es limitado al menor número
de personas

2. Revisar si los procedimientos de En el aspecto físico en la empresa hay un

acceso lógico y físico son suficientes,
incluyendo perfiles de seguridad de
acceso para empleados, proveedores,
equipo y personal de mantenimiento
de las instalaciones
encargado que primero comunica en oficina si el REF.-4
visitante puede ingresar dependiendo del motivo al
que viene a la empresa.
Y en el aspecto de acceso lógico solo tienen
autorización para utilizar los equipos y sistemas los
encargados de administración

3. Revisar si los procedimientos y

prácticas de administración de llave No cuentan con lectora de tarjetas card reader
("Key" ) y lectora de tarjetas ("card Las llaves key solo las utiliza el personal autorizado
reader") son adecuados, incluyendo la REF.-5
actualización y revisión continuas
tomando como base una “menor
necesidad de acceso”

4. Revisar si las políticas de acceso y Si en el tema de vigilancia y seguridad tienen las

autorización de entrada/salida, escolta, herramientas adecuadas.
registro, pases temporales requeridos, REF.-6
cámaras de vigilancia son apropiadas
para todas las áreas y especialmente
para las áreas más sensibles

Página 4 de 21
 PROGRAMA DE TRABAJO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de instalaciones
Ref
N° Descripción de la tarea Resultado
PT
5.

Revisar si se llevan a cabo revisiones

periódicas de los perfiles de acceso, No realizan revisiones periódicas
incluyendo revisiones administrativas

6.

Revisar si existen y se llevan a cabo

los procesos de revocación, respuesta No ha existido hasta el momento violaciones a la
y escalamiento en caso de violaciones seguridad de la empresa
a la seguridad

7.

Revisar si existe el proceso de

“signage” con respecto a la no
identificación de áreas sensibles, y si
es consistente con los requerimientos La empresa no cuenta con procesos “signage”
de seguro, código de construcción
local y regulatorios

8.

Revisar si las medidas de control de Si todo dispositivo que contenga información de la

seguridad y acceso incluyen a los empresa cuenta con accesos de seguridad
dispositivos de información portátiles Ref. 2
utilizados fuera del sitio

Página 5 de 21
 PROGRAMA DE TRABAJO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de instalaciones
Ref
N° Descripción de la tarea Resultado
PT
9.

Revisar si se lleva a cabo una revisión

de los registros de visitantes,
asignación de pases, escolta, persona
responsable del visitante, bitácora
para asegurar tanto los registros de Si se realizan revisiones Ref.7
entradas como de salidas y el
conocimiento de la recepcionista con
respecto a los procedimientos de
seguridad

10. Revisar si se lleva a cabo una revisión

de los procedimientos de aviso contra
incendio, cambios de clima, problemas
eléctricos y procedimientos de alarma,
así como las respuestas esperadas en Si se los realiza, pero directamente de manera
los distintos escenarios para los verbal al administrador, no existe documentación.
diferentes niveles de emergencias
ambientales

11. Revisar si se lleva a cabo una revisión

de los procedimientos de control de
aire acondicionado, ventilación,
humedad y las res-puestas esperadas
en los distintos escenarios de pérdida
o extremos no anticipados
Si se realiza el mantenimiento de eólicos y de los
aires, pero la empresa no cuenta con la
documentación de respaldo.

12. Revisar si existe una revisión del

proceso de alarma al ocurrir una
violación a la seguridad, que incluya:
 definición de la prioridad de la
alarma (por ejemplo, apertura de la
puerta por parte de una persona Si se realiza la revisión, la última verificación que
armada que ha entrado en las realizaron fue la alarma de incendio por motivo de
instalaciones) quema de basura en un domicilio cercano a la
 escenarios de respuesta para cada empresa ya que el humo ingreso al almacén y
alarma de prioridad provoco que esta se activara.
 responsabilidades del personal
interno versus personal de
seguridad local o proveedores
 interacción con las autoridades
locales
 revisión del simulacro de alarma
más reciente

Página 6 de 21
 PROGRAMA DE TRABAJO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de instalaciones
Ref
N° Descripción de la tarea Resultado
PT
13. Revisar si la organización es
responsable del acceso físico dentro
de la función de servicios de
información, incluyendo:
 desarrollo, mantenimiento y
revisiones continuas de políticas y
procedimientos de seguridad
 establecimiento de relaciones con
proveedores relacionados con la
seguridad El encargado de cada área es responsable de cualquier
 contacto con la administración de falla que exista dentro de la empresa, y es el encargado
las instalaciones en cuanto a de notificar al superior para su revisión posterior
problemas de tecnología
relacionados con seguridad
 coordinación del entrenamiento y
conciencia sobre seguridad para la
organización
 coordinación de actividades que
afecten en control de acceso
lógico vía aplicaciones
centralizadas y software de
sistema operativo
 proporcionar entrenamiento y crear
conciencia de seguridad no sólo
dentro de la función de servicios
de in-formación, sino para los
servicios de usuarios

14. Revisar si se llevan a cabo prácticas

de distribuidores automáticos y
servicios de conserjería para
investigación del personal en las No cuentan con distribuidores automáticos
instalaciones de la organización

Página 7 de 21
 PROGRAMA DE TRABAJO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de instalaciones
Ref
N° Descripción de la tarea Resultado
PT
15.

Se llevan a cabo la actualización y

negociación del contenido de los No tienen esta modalidad de trabajo
contratos de servicio

16.

Revisar si los procedimientos de

pruebas de penetración y los
resultados
 coordinan los escenarios de No realizan pruebas de penetración
prueba de penetración física
 coordinan la prueba de penetración
física con proveedores y
autoridades locales

17. Revisar si se cumple con las

regulaciones de salud, seguridad y
ambiente No tienen un sistema de protección

18. Revisar si la seguridad física es

tomada en cuenta en el plan de
recuperación/contingencia en caso de
desastre y abarca una seguridad física No tienen un sistema de protección para amenazas
similar en las instalaciones cibernéticas
aprovisionadas

19. Revisar si existen elementos de

infraestructura específicos alternativos
necesarios para implementar
seguridad: No cuentan con sistemas de alimentación
 fuente de poder ininterrumpida ininterrumpida
(UPS) El acceso de telecomunicación es internet por fibra
 alternativas o reruteo de líneas de óptica
telecomunicación No tienen recursos alternativos
 recursos alternativos de agua, gas,
aire acondicionado y humedad

Página 8 de 21
 CUESTIONARIO DE CONTROL INTERNO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de Instalaciones
Respuesta
Tarea N°. Descripción Comentario o Ref. P/T
SI NO N/A
1. Si las charlas que se les da una vez a la
El personal tiene conciencia y semana les ayuda a tomar conciencia.
comprende la necesidad de X
seguridad y controles

2. Los armarios cableados están si cuentan con la protección, las

físicamente protegidos con el
acceso posible autorizado y el
cableado se encuentra bajo tierra
o conductos protegidos tanto
como sea posible.
3.
El proceso de “signage” identifica
rutas de emergencia y qué hacer
en caso de una emergencia o
violación a la seguridad
4.
Los directorios de teléfono en otra
partes de la instalación no
identifican localidades sensibles
instalaciones están correctamente
X implementadas de manera que no se
registren daños ni accidentes tanto a la
empresa como al personal.
Deben implementar.
No tienen formatos publicitarios digitales
X propios ya que de eso se encarga la
empresa central que es EMBOL.
X Solo se cuenta con celulares móviles propios

5. Si se registra al personal externo que ingresa

La bitácora de visitantes sigue a las instalaciones de la empresa con las
apropiadamente los X respectivas medidas de seguridad.
procedimientos de seguridad

6.
Existen los procedimientos de
identificación requeridos para X Si por parte del administrador
cualquier acceso dentro o fuera
vía observación
7.
Las puertas, ventanas,
elevadores, ventilas y ductos o X Si cuentan con señalizaciones
cualquier otro modo de acceso
están identificados
8. El site computacional está
separado, cerrado y asegurado y Si todo está en la parte alta de la empresa en
es accesado únicamente por X administración .
personal de operaciones y gente
de mantenimiento tomando como
base un “acceso necesario”

Página 9 de 21
 CUESTIONARIO DE CONTROL INTERNO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de Instalaciones
Respuesta
Tarea N°. Descripción Comentario o Ref. P/T
SI NO N/A
9.
El personal de las instalaciones
rota turnos y toma vacaciones y X Si el personal cuenta con los beneficios
descansos apropiados establecidos por la ley.

10.
Existen los procedimientos de Se registra el ingreso y salida, el personal se
mantenimiento y registro para un X reporta en un grupo para tener información
desempeño de trabajo oportuno de ellos durante toda la jornada laboral.

11.
Las variaciones de las políticas y Si al cambio de turno se realiza este
procedimientos en las X procedimiento pero de manera verbal.
operaciones de los turnos
segundo y tercero son reportadas
12.
Los planes físicos son
actualizados a medida que X No se realizan estos procedimientos
cambian la configuración, el
ambiente y las instalaciones
13.
Los registros y el equipo de
monitoreo ambiental y de X No realizan este procedimiento
seguridad --debajo, en, sobre, y
alrededor son mantenidos
14.
No ya que la empresa se dedica a la
No se almacenan útiles X distribución de productos gaseosos.
peligrosos

15.
Existe el seguimiento de auditoria No tienen un seguimiento en el tema de
de control de acceso sobre X sistemas de información, solo en tema de
software de seguridad o reportes ventas e inventarios.
clave de administración
16.
Se ha dado seguimiento a toda
emergencia ocurrida en el pasado X Solo por el dueño de la empresa.
o a su documentación

17.
El personal con acceso son X Si se encuentran en la planilla
empleados reales

Página 10 de 21
 CUESTIONARIO DE CONTROL INTERNO

RUBRO
ENTREGA Y SOPORTE
DS 12 Administración de Instalaciones
Respuesta
Tarea N°. Descripción Comentario o Ref. P/T
SI NO N/A
18.
Se llevan a cabo verificaciones de
suficiencia de administración X Cada encargado de área maneja sus propias
clave de acceso claves de seguridad.

19.
Se otorga una educación en El personal tiene charlas de seguridad cada
seguridad física y conciencia de X inicio de semana.
seguridad

20. Existe una cobertura y

experiencia de seguros para los
gastos asociados con algún No cuentan con un seguro.
evento de seguridad, pérdida del X
negocio y gastos para recuperar
la instalación
21. El proceso para la No se realiza frecuentemente este tipo de
implementación de acceso a cambio el personal autorizado y responsable
cambios de llaves y controles de X es antiguo.
procesos lógicos es continuo y
conocido
22.
El ambiente cumple con los
requerimientos regulatorios X Es una empresa pequeña que si tiene los
establecidos requerimientos necesarios.

23.
Las bitácoras de mantenimiento Solo el personal autorizado tiene acceso
de alarmas no pueden ser X
modificadas inapropiadamente

24. La frecuencia de cambios a los Generalmente no cambian códigos de

códigos de acceso y revisiones accesos
de perfil involucramiento de X
usuario e instalaciones es
documentada

Aplicado a: ANGEL JUSTINIANO DURAN

Puesto: ADMINISTRADOR
FIRMA

Página 11 de 21
 CUESTIONARIO DE CONTROL INTERNO

INFORME FINAL DE LA AUDITORIA:

INFORME FINAL DE AUDITORIA INTERNA

EMPRESA GRUPO TRANMER S.R.L.
OBJETIVO DE LA AUDITORIA: Verificar el cumplimento de la Norma ISO 45001 de Sistema de
gestión en seguridad y salud en el trabajo.

ALCANCE DE LA AUDITORIA: Evaluar la planificación, desarrollo y aplicación del Sistema de

gestión de la seguridad y salud en el trabajo ( SG -SST), en la Empresa TRANMER S.R.L.
CRITERIOS DE AUDITORIA

Norma ISO 45001

Manual de Sistema de gestión de Seguridad y Salud en el trabajo
Plan de trabajo anual
Plan de capacitación
Matriz de peligros y riesgos
Plan de preparación y atención a emergencias
Procedimientos de tareas especificas

EQUIPO AUDITOR:
Auditor Líder: Ana María Rivero Bruno
Auditor 1: Milena Añez Velasquez
Autor 2: Alexandra Rojas Fernández
FECHA DE LA AUDITORIA: Del 04 al 13 de abril de 2020
RESULTADOS DE LA AUDITORIA
TIPO DE
REQUISITO HALLAZGO
HALLAZGO
Fortaleza Se evidencia que la empresa se cuenta con una base
de datos que recolecta todos los requerimientos en
temas de seguridad y salud ocupacional,
Comprensión de las provenientes del Comité Mixto de Seguridad.
necesidades y expectativas de los
trabajadores y de otras partes. Se cuenta además con toda la correspondencia e
informes emitidos por el Ministerio de trabajo, de las
inspecciones realizadas por esta instancia en los dos
últimos años.

El responsable del Sistema de Gestión de seguridad

Determinación del en la reunión inicial de auditoria ha señalado que el
alcance del sistema de gestión de la No sistema se ha implementado a todos los procesos y
empresa. conformidad áreas de la empresa.

El manual de sistemas de gestión de seguridad de la

Página 12 de 21
 CUESTIONARIO DE CONTROL INTERNO

empresa GRUPO TRANMER SRL., no describe en

ningún capitulo el alcance de la implementación del

Se evidencia que la empresa cuenta con un manual

Implementación del sistema de gestión
Fortaleza
de seguridad y salud en el trabajo
del sistema de gestión de seguridad y salud en el
trabajo, además de otros documentos como el Plan
de trabajo anual, Plan de capacitación, Matriz de
peligros y riesgos, Plan de preparación y atención a
emergencias. Procedimientos de tareas específicas.
Documentos que respaldan la implementación del SG

Se ha fortalecido el área responsable de la

Liderazgo y Compromiso implementación del SG, la cual cuenta con
Fortaleza
presupuesto propio, personal organizado bajo un
organigrama y manual de funciones.

No se evidencia en este periodo revisiones de los

Liderazgo y Compromiso No diferentes documentos generados con el objeto de
conformidad promover la mejora continua y la implementación del
sistema de gestión de seguridad.

El único método de participación de los trabajadores

Liderazgo y Compromiso es el Comité mixto de seguridad, se ha evidenciado
No en la visita de campo, que diferentes trabajadores
conformidad han sugerido en diferentes oportunidades la
habilitación de libros de quejas, reclamos o
sugerencias, los cuales a la fecha todavía han siendo
implementadas.

Política de la La alta dirección ha aprobado la política y objetivos

SST de seguridad, la cual se encuentra firmada y
publicada en varias oficinas de la empresa.

Página 13 de 21
 CUESTIONARIO DE CONTROL INTERNO

La política incluye los objetivos de seguridad

Fortaleza

La política no hace referencia al cumplimiento de

Política de la No requisitos legales, siendo que por la naturaleza de la
SST conformidad empresa esta debe cumplir las normas NS emitidas
por el Ministerio de trabajo.

Página 14 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF.- 1

EQUIPOS DE SEGURIDAD

REF.-2
SISTE
M A DE

INFORMACION

Página 15 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF.- 3
LOCALIZACION DE LAS INSTALACIONES

REF.-4
PROCEDIMIENTOS DE ACCESOS

Página 16 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF.-5
REVISION DE PROCEDIMIENTOS DE LLAVES Y TARJETAS

REF.-6
REGISTROS DE ENTRADA Y SALIDA, CAMARAS DE SEGURIDAD

Página 17 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF.7 REGISTRO DE PERSONAL A LA EMPRESA.

Página 18 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF. SEÑALIZACIONES DE LAS INSTALACIONES DE LA EMPRESA

Página 19 de 21
CUESTIONARIO DE CONTROL INTERNO

Página 20 de 21
 CUESTIONARIO DE CONTROL INTERNO

REF. POLITICAS DE SEGURIDAD DE LA EMPRESA

Página 21 de 21