Unidad 1

SEGURIDAD INFORMÁTICA

Tarea virtual No-2

 Tarea virtual No-2

Tema:
Evaluación de riesgos en una empresa.

Objetivo
• Evaluar los riesgos en la seguridad física y ambiental.

Actividades para el logro del objetivo

El estudiante debe leer la bibliografía recomendada y enfatizar en la página 16 Seguridad
física y ambiental.

Seguridad
A1 física y del
1 entorno
A11.1 Áreas seguras
¿Las instalaciones se encuentran en una zona de Al momento en mi oficina, tenemos un edificio
riesgo? con más de 25 años, ha sido modernizado con
¿Se definen los perímetros de seguridad (edificios, un sistema de cámaras de circuito cerrado y
oficinas, redes informáticas, habitaciones, armarios acceso por cámaras biométricas marca
de red, archivos, salas de máquinas, etc.)? hikvision, adicional personal de seguridad
¿El techo exterior, las paredes y el suelo son de monitorea las cámaras para accionar ante
construcción sólida? cualquier peligro, el edificio es antisísmico y
A11.1. Perímetro de seguridad
¿Están todos los puntos de acceso externos tiene un excelente sistema de drenaje para
1 física
adecuadamente protegidos contra el acceso no lluvia, necesario al encontrarse en URDESA
autorizado? (zona nivel del mar y cercana a la ría). Los
¿Las puertas y ventanas son fuertes y con accesos son indicados por el área de talento
cerradura? humano y monitoreadas por seguridad; hace
¿Se monitorea los puntos de acceso con cámaras? poco mejoraron la puerta principal para
¿Existe un sistema de detección de intrusos y se prevenir posibles incidentes luego de los
prueba periódicamente? disturbios del nueve de enero.
¿Se utilizan sistemas de control de acceso
adecuados (ej. Tarjetas de proximidad, biométrico,
cerraduras de seguridad, monitorización CCTV,
detección de intrusos)?
El sistema biométrico hikvision, registra varios
¿Hay procedimientos que cubran las siguientes
factores importantes, adicional el personal de
áreas?
seguridad monitorea 24/7 las cámaras y
• Cambio regular código de acceso
accesos, para entrar a los racks se requiere de
• Inspecciones de las guardias de seguridad
llave física adicional al acceso biométrico al
A11.1. • Visitantes siempre acompañados y registrados en
Controles físicos de entrada igual que las zonas críticas. Recepción en cada
2 el libro de visitantes
edificio debe registrar personal de la empresa,
• Registro de movimiento de material
personal contratado y visitas. La bitácora de
• Entrada a áreas definidas del edificio según roles
visitas es enviada a una bodega periódicamente
y responsabilidades (acceso a CPD, salas de
para tener el historial de al menos cinco años
comunicación y otras áreas críticas)
hacia atrás de horas de visita y personas.
¿Se utiliza autenticación multi-factor de
autenticación (ej. Biométrico más el código PIN)?
¿Se requiere para las áreas críticas?
¿Existe un registro de todas las entradas y salidas?

Online ITB
2
Recurso de aprendizaje
 ¿Están los accesos (entrada y salida) de las
instalaciones físicamente controlas (ej. Detectores
de proximidad, CCTV)?
¿Son proporcionados los controles de seguridad
A11.1. Seguridad de oficinas,
utilizados para salvaguardar las oficinas, salas e
3 despachos y recursos
instalaciones con respecto a los riesgos?
¿Se tiene en cuenta los activos de información
almacenados, procesados o utilizados en dichas
ubicaciones?
¿Qué tipo de protecciones existen contra el fuego,
el humo, inundaciones, rayos, intrusos, vándalos,
Protección contra las
A11.1. etc.?
amenazas externas y
4 ¿Existe un procedimiento de recuperación de
ambientales
desastres?
¿Se contemplan sitios remotos?
¿Se verifican al final del día las oficinas, las salas de
informática y otros lugares de trabajo?
¿Se hace un análisis para evaluar que los controles del edificio administrativo (urdesa) y lejos del
adecuados están implementados?
Controles de acceso físico
Alarmas de intrusión
A11.1. Monitoreo de CCTV (verificar la retención y
El trabajo en áreas seguras
5 frecuencia de revisión)
Se prohíbe el uso de equipos fotográficos, video, base a permisos ya otorgados
audio u otro tipo de grabación
Políticas, procedimientos y pautas
¿Cómo se asegura que la información de carácter tiene equipo redundante para evitar caídas
sensible permanece confidencial a personal
autorizado?
¿Las entregas se hacen en un área segura con
control de acceso y limitado a personal autorizado? carga y descarga, se debe usar adicional a la
¿Se verifica que el material recibido coincide con credencial, chaleco reflectivo y casco de
A11.1.
Áreas de carga y descargaun número de pedido autorizado?
6
¿Se registran los detalles de la recepción de
material según las políticas y procedimientos de
adquisición, gestión de activos y seguridad?
Seguridad de los
A11.2 equipos
¿Las TIC y el equipo relacionado se encuentran en
áreas adecuadamente protegidas?
¿Las pantallas de los equipos de trabajo, las
impresoras y los teclados están ubicados o
protegidos para evitar la visualización no
autorizada?
¿Existen controles para minimizar los siguientes
A11.2. Emplazamiento yriesgos de amenazas físicas y medioambientales?
1 protección de equipos • Agua / inundación
• Fuego y humo
• Temperatura, humedad y suministro eléctrico
• Polvo
• Rayos, electricidad estática y seguridad del
personal
¿Se prueban estos controles periódicamente y
después de cambios importantes?
El circuito de cámaras es extenso solo evitando
el interior de los baños (las puertas están
controladas), personal de la empresa debe
estar siempre con la credencial visible y el
personal de visita tiene un gafete indicando
visita y edificio al cual acceder. El personal de
seguridad tiene claras las personas de TI que
pueden acceder a racks y lugares sensibles de la
empresa.
El comité de seguridad de cada edificio (formado por
personal de seguridad industrial y personal del
edificio) hace reuniones periódicas para informar
novedades, y también se hacen simulacros de
desastres naturales y humanos. Esta claramente
indicado el sistema contra incendios y los racks
tienen polvo químico especial con el sistema debido.
El edificio de bodega (Ceibos) está ubicado lejos
edificio técnico (Urdenor) por lo cual el acceso
es independiente. Dentro del edificio técnico
hay restricciones de uso de celulares y cámaras
en ciertas zonas, el departamento de seguridad
se encarga de admitir o denegar accesos en
administrativamente. El sistema de circuito
cerrado tiene varios nodos y en el principal
completas.
En el edificio de bodega, se delimita el área de
seguridad industrial, esté edificio con garita
elevada y un portón bastante pesado adicional
a una rampa donde se puede detener un
vehículo no autorizado.
Los racks tienen sistema termo detector y usan
polvo químico para mejor control de cualquier
emergencia, estos sistemas se prueban cada
nueve meses; todos los edificios cuentan con
para rayos, ups, generadores eléctricos y
sistema trifásico de energía para tener
operatividad 24/7 al ser una empresa
proveedora de servicios de comunicación y
entretenimiento nos vemos obligados a dar
servicio continuo.
Online ITB
3
Recurso de aprendizaje
 ¿El sistema UPS proporciona una potencia
adecuada, confiable y de alta calidad?
¿Hay una capacidad de UPS adecuada para abarcar
todos los equipos esenciales durante un período de
tiempo suficiente?
¿Hay un plan de mantenimiento pare los UPS y
generadores en acuerdo con las especificaciones Cada seis meses revisan los UPS y generadores
del fabricante? eléctricos, aumentando cada cierto tiempo los
¿Son probados con regularidad? equipos conforme va creciendo la demanda
¿Hay una red de suministro eléctrico redundante? según los usuarios instalados en cada
A11.2.
Instalaciones de suministro ¿Se realizan pruebas de cambio? departamento; los cuartos de rack principales
2
¿Se ven afectados los sistemas y servicios? tienen aire acondicionado de precisión y Split
¿Hay sistemas de aire acondicionado para normales si falla el AC de precisión, estos
controlar entornos con equipos críticos? equipos se revisan cada seis meses y
¿Están ubicados apropiadamente? registran/solventa cualquier novedad.
¿Hay una capacidad adecuada de A / C para
soportar la carga de calor?
¿Hay unidades redundantes, de repuesto o
portátiles disponibles?
¿Hay detectores de temperatura con alarmas de
temperatura?
¿Hay protección física adecuada para cables
externos, cajas de conexiones? Todos los cables externos son de dicho tipo y se
¿Se separa el cableado de suministro eléctrico del encuentran protegidos por tubería
cableado de comunicaciones para evitar especializada, el control a los racks es a través
A11.2.
Seguridad del cableadointerferencias? de biométrico y llave física con responsable por
3
¿Se controla el acceso a los paneles de conexión y cada edificio, el cableado eléctrico está
las salas de cableado? separado del de comunicación para evitar
¿Existen procedimientos adecuados para todo inducción o interferencia.
ello?
¿Se asigna personal cualificado para realizar el
mantenimiento de los equipos (infraestructura y
dispositivos de red, equipos de trabaja, portátiles, Cada año se da un mantenimiento completo a
equipos de seguridad y servicios tales como los racks y los equipos; el comité de cada
A11.2. Mantenimiento de los
detectores de humo, dispositivos de extinción de edificio notifica cualquier novedad con
4 equipos
incendios, HVAC, control de acceso, CCTV, etc.)? sensores de humo y temperatura en cada
¿Hay programas de mantenimiento y registros / edificio.
informes actualizados?
¿Se aseguran los equipos?
¿Existen procedimiento relativos al traslado de
activos de información?
Los usuarios tienen bloqueo por antivirus,
¿Hay aprobaciones o autorizaciones
política del directorio activo y BIOS del uso de
documentadas en los niveles apropiados?
A11.2. Retirada de materiales memorias extraíbles de cualquier tipo; la
¿Existe un control para limitar el traslado de
5 propiedad de la empresa información a compartirse entre usuarios se
activos de información mediante el uso de
hace a través de servidores nas con doble
unidades de almacenamiento externo?
factor de seguridad (usuario AD y MAC Adress).
¿Existe un procedimiento para rastrear
movimientos de activos de alto valor o alto riesgo?
¿Existe una “política de uso aceptable” que cubra
los requisitos de seguridad y “obligaciones” con
En el 2022 se difundió un manual de seguridad
respecto al uso de dispositivos móviles o portátiles
informática y cada nuevo empleado es inducido
que se utilizan desde casa o en ubicaciones
sobre dicha información, esté manual tiene una
remotas?
hoja al final dónde la persona a la que se lo da
A11.2. Seguridad de los equipos ¿Contempla el almacenamiento seguro de los
debe firmar, responsabilizándose de cualquier
6 fuera de las instalacionesdispositivos, uso cifrado y uso de conexiones
mal uso de los dispositivos so pena de haber un
seguras?
litigio en caso de mal uso, estas hojas las tiene
¿Existen controles para asegura todo esto?
guardadas el departamento de talento
¿Cómo se les informa a los trabajadores sobre sus
humano.
obligaciones?
¿Se les da suficiente apoyo para alcanzar un nivel

Online ITB
4
Recurso de aprendizaje
 aceptable de seguridad?

¿Cómo evita la organización que se revele la

A11.2. Reutilización o eliminación ¿Se utiliza cifrado fuerte o borrado seguro?
7 segura de equipos ¿Se mantienen registros adecuados de todos los
A11.2. Equipo de usuario
8 desatendido
Política de puesto de
A11.2.
trabajo despejado y
9 empleados usan cuando se alejan de sus
pantalla limpia
información almacenada en equipos tras su
reasignación o eliminación?
medios que se eliminan?
¿La política y el proceso cubren todos los
dispositivos y medios de TIC?
¿Se suspenden / finalizan las sesiones a
aplicaciones para evitar la pérdida de datos o la
corrupción?
¿Se define un tiempo de inactividad adecuado los
riesgos de acceso físico no autorizado?
¿Se protegen los bloqueos de pantalla con
contraseña?
¿Se aplica a todos los servidores, equipos de
trabajo, portátiles, teléfonos y otros dispositivos
TIC?
¿Cómo se verifica el cumplimiento?
¿Existen políticas, normas, procedimientos y
directrices para mantener las zonas de trabajo
limpias y despejadas?
¿Funciona en la práctica?
¿Todos los dispositivos informáticos tienen un
salvapantallas o bloqueo con contraseña que los
dispositivos?
¿Se activa automáticamente tras de un tiempo
inactivo definido?
¿Se mantienen las impresoras, fotocopiadoras,
escáneres despejados?
Los equipos con información sensible se tienen
con bitlocker y las claves son resguardadas por
el departamento de TI, con lo que cualquier
robo se verá complicado en acceder a la
información. Los puertos USB se bloquean de
tres formas para evitar el uso de memorias
extraíbles.
Todos los equipos del directorio activo tienen
activación de bloqueo de pantalla luego de 10
minutos de inactividad (algunos usuarios se
quejaron de esto). Las contraseñas se caducan
cada tres meses y deben tener una complejidad
de ocho caracteres de longitud, número, letras,
letras mayúsculas y un carácter especial.
Las impresoras manejan códigos independientes de
cuatro dígitos por usuario, el sistema de lexmark
permite monitorear impresiones, digitalizaciones y
copias de cada usuario con historial, cuando se
implementó el gasto de impresión bajo en un 80%. El
escritorio de cada persona es responsabilidad de la
misma y está en el manual de operación que debe
estar limpio, ordenado y sin figuras de ningún
tipo.Todos los equipos del directorio activo tienen
actiavación de bloqueo de pantalla luego de 10
minutios de inactividad (algunos usuarios se
quejaron de esto).

En el anexo A página 16, se detallan los puntos de control sobre Seguridad física y
ambiental. El alumno debe observar su entorno (área de trabajo, negocios visitados,
domicilio, etc.) y analizar el porcentaje de cumplimiento de cada ítem. Se debe explicar el
porqué de su calificación.

Orientaciones metodológicas generales

• Requiere la revisión del material detallado en la bibliografía.
• El trabajo puede ser realizado en grupo (máximo 2 integrantes), cada integrante
debe subir el mismo archivo.
• Se debe adjuntar un informe con lo solicitado en formato PDF.
• El documento debe incluir los nombres de los integrantes de grupo y la
contestación de las preguntas planteadas.

Online ITB
5
Recurso de aprendizaje
Bibliografía
Cuervo Álvarez. Implementación ISO 27000 Recuperador de:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/64827/8/scuervoTFM0617memori
a.pdf

Online ITB
6
Recurso de aprendizaje
ISOTools Excellence. (24 de enero 2014). Webinar. Aspectos clave sobre SGSI en la
nueva ISO 27001:2013 I. Recuperador de:
https://www.youtube.com/watch?v=EqTgSPNm7dY

Online ITB
7
Recurso de aprendizaje