2014

Auditoria Fsica
Auditoria de Sistemas
Semana 14

DOCENTE: Ms. Luis Ramrez Milla

INTEGRANTES: Rosa Licet Briones Vsquez Julio Rafael Olivos puente Heyller Oswaldo Reyes Aranda

Ingeniera de sistemas e informtica 01/01/2014

CAPTULO I DESCRIPCIN DE LA ORGANIZACIN

1.1.

NOMBRE DE LA EMPRESA COMUNICACIONES CABLE FUTURO S.R.L

1.2.

NATURALEZA DE LA EMPRESA La empresa COMUNICACIONES CABLE FUTURO se dedica a llevar seal de televisin por cable, con una programacin variada de canales nacionales e internacionales de acuerdo a las exigencias del pblico televidente, comprometido en lograr la satisfaccin total del cliente a travs de personal profesionalmente capacitado para que brinde confianza y excelencia en el servicio. Nos encontramos presente en Chimbote, Nuevo Chimbote, Casma, Coishco, Lambayeque, Cajamarca y seguimos creciendo para llevarles cultura y entretenimiento a travs de nuestra grilla de televisin por cable.

1.3.

UBICACIN GEOGRFICA La empresa Comunicaciones Cable Futuro S.R.L se encuentra ubicado: Departamento Provincia Distrito Direccin Telfonos Ruc : : : : : : Ancash Santa Nuevo Chimbote Urb. Bellamar Mz. I Lote. 8. (043)310894 20445694933

1.4.

VISIN Alcanzar el liderazgo en televisin por Cable a nivel Nacional con capital 100% peruano y mantener una relacin con el cliente cercano y resolutivo, ofreciendo las soluciones ms innovadoras a los precios ms accesibles y competitivos del mercado".

1.5.

MISIN Ser lder en servicios de televisin a suscripcin y comunicacin para el mercado residencial del interior del pas, a travs de alta tecnologa y personal calificado comprometido con la satisfaccin de nuestros usuarios.

1.6.

VALORES Honestidad y lealtad Comunicacin Excelencia enfocada en el cliente Trabajo en equipo Liderazgo

1.7.

FINALIDAD Son fines de la empresa COMUNICACIONES CABLE FUTURO, las siguientes: Brindar servicio de cable con canales de entretenimiento. Promover el acceso a la informacin, cultura y entretenimiento.

1.8.

OBJETIVOS Ofrecer nuevos canales para entretener a los usuarios. Disminuirlos costos de servicios. Mantener e incrementar la cartera de clientes existentes. Brindar un servicio eficiente y eficaz. Aumentar la cobertura global de la empresa.

1.9.

FUNCIONES GENERALES Planificar integralmente el desarrollo local y el ordenamiento territorial, en el nivel provincial. Articular permanentemente los planes integrales de desarrollo distrital y los presupuestos participativos. Promover, apoyar y ejecutar proyectos de inversin y servicios pblicos municipales que presenten, objetivamente, externalidades o economas de escala de mbito provincial. Emitir las normas tcnicas generales, en materia de organizacin del espacio fsico y uso del suelo as como sobre proteccin y conservacin del ambiente.

1.10.

ORGANIGRAMA DE LA EMPRESA ACCIONISTAS GERENCIA GENERAL

ADMINISTRACION Y FINANZAS

LEGALES

DEPARTAMENTO INFORMATICO

RECURSOS HUMANOS

CAPTULO II MARCO TERICO

2.1.

AUDITORA FSICA Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento del Centro de Procesamiento de Datos. La Auditoria Fsica, se encarga de comprobar la existencia de los medios fsicos as como su funcionalidad, racionalidad y seguridad. La Seguridad Fsica, garantiza la integridad de los activos humanos, logsticos y materiales de un CPD. No estn claras los lmites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lgica, seguridad fsica y seguridad de las comunicaciones. Se deben tener medidas para atender los riesgos de fallos, local o general.

2.2.

REAS DE LA SEGURIDAD FSICA a) Instalaciones, edificacin: Dada la poca experticia del auditor Informtico en este campo se deber incluir un perito que realice la evaluacin correspondiente a la infraestructura fsica del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tpicos. A tener en cuenta estn: Ubicacin del edificio Ubicacin del CPD dentro del edificio Elementos de construccin Potencia elctrica Sistemas contra incendios. Inundaciones

El auditor informtico debe interesarse de manera personal en: b) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgnicas, funcionales y jerrquicas; los diferentes cargos, separacin de funciones y rotacin del personal; da la primera visin de conjunto del Centro de Proceso.

c) Auditora Interna: Debern solicitarse los documentos de las auditoras anteriores, normas, procedimientos y planes que sobre seguridad fsica se tengan al departamento de auditora o en su defecto al encargado de calidad. d) Administracin de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes: Director o responsable de la seguridad integral. Responsable de la seguridad informtica. Administradores de redes. Administradores de bases de datos. Responsables de la seguridad activa y pasiva del entorno fsico Normas, procedimientos y planes existentes

e) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe realizar su funcin. Las instalaciones son elementos, accesorios que deben ayudar a la realizacin de la funcin informtica y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras: Sala de Hosts Sala de impresoras Oficinas Almacenes Sala de acondicionamiento elctrico Aire Acondicionado reas de descanso, etc.

f) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Se debe inspeccionar su ubicacin dentro del CPD y el control de acceso a los elementos restringidos.

g) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los BACK-UPS, as como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los mtodos y mecanismos de bloqueo al acceso de informacin no autorizada, inspeccionando o verificando dichos accesos. h) Seguridad fsica del personal: Accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios y sistemas de bloqueo de puertas y ventanas, normas y polticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal, zonas de descanso y servicios, etc. 2.3. FUENTES BSICAS DE LA AUDITORA FSICA El siguiente listado indica las fuentes que deben estar accesibles en todo CPD. Polticas, normas y procedimientos. Auditoras anteriores. (Generales y parciales referentes a la seguridad Fsica) Contratos de seguros, proveedores y de mantenimiento. Entrevistas con el personal de seguridad, personal informtico, personal de limpieza, etc. Actas e informes tcnicos de peritos que diagnostiquen el estado fsico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc. Informes de accesos y visitas. Polticas de personal: Revisin de antecedentes personales y laborales, procedimientos de cancelacin de contratos, rotacin en el trabajo, contratos fijos, y temporales. Inventario de archivos: fsicos y magnticos: back-up, procedimiento de archivo, control de salida y recuperacin de soportes, control de copias, etc.

2.4.

TCNICAS Y HERRAMIENTAS DEL AUDITOR TCNICAS Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. (tanto de espectador como actor) Revisin analtica de: Documentacin sobre construccin y preinstalaciones Documentacin sobre seguridad fsica Polticas y normas de actividad de sala Normas y procedimientos sobre seguridad fsica de los datos Contratos de seguros y de mantenimiento

Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio) Consultas a tcnicos y peritos que formen parte de la plantilla o independientes

HERRAMIENTAS Cuaderno y/o grabadora de audio. Cmara fotogrfica y/o grabadora de video (Su uso debe ser discreto y con autorizacin)

2.5.

FASES DE LA AUDITORIA FISICA Considerando la metodologa de ISACA (Asociacin de Auditora y Control de Sistemas de Informacin): Fase 1: Alcance de la Auditoria El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se completa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. Fase 2: Adquisicin de informacin General Esta fase se asienta el estudio preliminar a la empresa y la determinacin de la problemtica que inviste la entidad. En esta fase se enmarca la accin de realizar una verificacin de los procedimientos, polticas, suministro, materiales y programas y otros requerimientos que son importantes para el examen. Fase 3: Administracin y Planeacin Una planificacin adecuada es el primer paso necesario para realizar auditoras Informtica eficaces a la Seguridad. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado. Fase 4: Plan de Auditoria El Plan de Auditora es la elaboracin de una serie de pasos a seguir elaborados conforme a la necesidad del auditor, requerimiento del examen y la distribucin de actividades.

Fase 5: Resultados de las Pruebas Luego de la aplicacin de los planes de auditora se determinara el resultado de la aplicacin de Mtodos y Tcnica que lanzaran resultados que posibilitara el anlisis y la interpretacin de la informacin. Este resultado tendr un sustento en los hallazgos.

Fase 6: Conclusiones y Comentarios En base a los resultados obtenidos en la aplicacin de Mtodos de Investigacin posibilitara en determinar una conclusin coherente en base a los hallazgos y la verificacin realizada.

Fase 7: Borrador del Informe Es el documento emitido por el Auditor como resultado final de su examen, incluye informacin suficiente sobre Observaciones, Conclusiones de hechos significativos, as como Recomendaciones constructivos para superar las debilidades en cuanto a polticas, procedimientos, cumplimiento de actividades y otras.

Fase 8: Discusin con los Responsables de Area Con el personal responsable se determinara la ocurrencia del hecho que causa errores en el cumplimiento de las actividades diarias. En esta fase se determina el cumplimiento de las funciones de cada funcionario la se encuentra, adems los avances que cada uno de ellos han tenido.

Fase 9: Informe Final Constituye la etapa final del proceso de Auditoria, en el mismo se recogen todos los hallazgos detectados y el sustentculo documental para sustentar el dictamen emitido.

Fase 10: Seguimiento de las Modificaciones acordadas

2.6.

ESTRUCTURA GENERAL ISO/IEC 27002:2005: ISO / IEC 27002:2005 establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestin de seguridad de la informacin en una organizacin. Los objetivos descritos proporcionan una gua general sobre los objetivos comnmente aceptados de gestin de seguridad de informacin. ISO / IEC 27002:2005 contiene las mejores prcticas de los objetivos de control y controles en las siguientes reas de gestin de seguridad de la informacin: la poltica de seguridad; organizacin de la seguridad de la informacin; gestin de activos; la seguridad de los recursos humanos; fsica y la seguridad del medio ambiente; las comunicaciones y la gestin de las operaciones; control de acceso; adquisicin de sistemas de informacin, desarrollo y mantenimiento; gestin de incidentes de seguridad de la informacin; gestin de la continuidad del negocio; cumplimiento.

Los objetivos de control y controles de la norma ISO / IEC 27002:2005 estn destinados a ser implementado para cumplir con los requisitos identificados por una evaluacin de riesgos. ISO / IEC 27002:2005 pretende ser una base comn y gua prctica para el desarrollo de los estndares de seguridad de la organizacin y prcticas eficaces de gestin de la seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales. 2.7. DESCRIPCIN DE LOS DOMINIOS Y SUS OBJETIVOS Polticas de Seguridad Proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Aspectos Organizativos de la Seguridad de la Informacin Manejar la seguridad de la informacin dentro de la organizacin. Gestin de Activos Lograr y mantener una apropiada proteccin de los activos organizacionales.

Seguridad Ligada a los Recursos Humanos Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Asegurar que los usuarios empleados, contratistas y terceras personas estn al tanto de las amenazas e inquietudes de la seguridad de la informacin, sus responsabilidades y obligaciones, y estn equipadas para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano. Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organizacin o cambien de empleo de una manera ordenada.

Seguridad Fsica y del Entorno o Ambiente Evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin.

Gestin de Comunicaciones y Operaciones Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. Implementar y mantener el nivel apropiado de seguridad de la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicios de terceros. Minimizar el riesgo de fallas en el sistema. Proteger la integridad del software y la integracin Mantener la integridad y disponibilidad de la informacin y los medios de procesamiento de informacin Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte. Evitar la divulgacin no-autorizada; modificacin, eliminacin o destruccin de activos; y la interrupcin de las actividades comerciales Mantener la seguridad en el intercambio de informacin y software dentro de la organizacin y con cualquier otra entidad externa Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro. Detectar las actividades de procesamiento de informacin no autorizadas.

Control de Acceso Controlar el acceso a la informacin Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de informacin. Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la informacin y evitar el robo de informacin y los medios de procesamiento de la informacin. Evitar el acceso no autorizado a los servicios de la red Evitar el acceso no autorizado a los sistemas operativos. Asegurar la seguridad de la informacin cuando se utiliza medios de computacin y tele-trabajo mviles

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin Garantizar que la seguridad sea una parte integral de los sistemas de informacin. Prevenir errores, prdida, modificacin no autorizada o mal uso de la informacin en las aplicaciones Proteger la confidencialidad, autenticidad o integridad a travs de medios criptogrficos Garantizar la seguridad de los archivos del sistema Mantener la seguridad del software y la informacin del sistema de aplicacin Reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas

Gestin de Incidentes en la Seguridad de la Informacin Asegurar que los eventos y debilidades de la seguridad de la informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva oportuna. Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la informacin

Gestin de la Continuidad del Negocio Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna.

Cumplimiento Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad organizacional. Maximizar la efectividad de recuraos informticos y minimizar la interferencia desde/hacia el proceso de auditora del sistema de informacin.

2.8.

SEGURIDAD FSICA Y DEL ENTORNO O AMBIENTE 2.8.1. REAS SEGURAS Evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin. 2.8.1.1. Permetro de Seguridad Fsica Control 1: Se deben utilizar permetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las reas que contienen informacin y medios de procesamiento de informacin. 2.8.1.2. Controles de Ingreso Fsico Control 2: Las reas seguras son protegidas mediante controles de ingreso apropiados para asegurar que slo se le permita el acceso al personal autorizado. 2.8.1.3. Asegurar las Oficinas, Habitaciones y Medios Control 3: Se disea y aplica la seguridad fsica para las oficinas, habitaciones y medios. 2.8.1.4. Proteccin contra Amenazas Externas e Internas Control 4: Se asigna y aplica proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre. 2.8.1.5. Trabajo en reas Aseguradas Control 5: Se disea y aplica la proteccin fsica y los lineamientos para trabajar en reas aseguradas.

2.8.1.6.

reas de Acceso Pblico, Entrega y Carga Control 6: Se controlar los puntos de acceso como las reas de entrega y carga y otros puntos por donde personas noautorizadas puedan ingresar al local y, se asla de los medios de procesamiento de informacin para evitar el acceso no autorizado.

2.8.2. EQUIPO DE SEGURIDAD Se evita prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la organizacin. 2.8.2.1. Ubicacin y Proteccin del equipo Control 7: Se ubica o protege el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no autorizado. 2.8.2.2. Servicios Pblicos de Soporte Control 8: Se protege el equipo de fallas de energa y otras interrupciones causadas por fallas en los servicios pblicos de soporte. Las opciones para lograr la continuidad de los suministros de energa incluyen mltiples alimentaciones para evitar que una falla en el suministro de energa 2.8.2.3. Seguridad del Cableado Control 9: El cableado de la energa y las telecomunicaciones que llevan la data o dan soporte a los servicios de informacin debieran protegerse contra la intercepcin o dao. 2.8.2.4. Mantenimiento de Equipo Control 10: Se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

2.8.2.5.

Seguridad del Equipo fuera del Local Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacin. El equipo de almacenamiento y procesamiento de la informacin incluye todas las formas de computadoras personales, organizadores, telfonos mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar desde casa o se transporte fuera de local normal de trabajo.

2.8.2.6.

Seguridad de la Eliminacin o Re uso del Equipo Control 12: Se debieran chequear los tems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminacin. Los dispositivos que contienen data confidencial pueden requerir una evaluacin del riesgo para determinar si los tems debieran ser fsicamente destruidos en lugar de enviarlos a reparar o descartar.

2.8.2.7.

Retiro de Propiedad Control 13: El equipo, informacin o software no debiera retirarse sin autorizacin previa. Tambin se pueden realizar chequeos inesperados para detectar el retiro de propiedad, dispositivos de grabacin no-autorizados, armas, etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser llevados a cabo en concordancia con la legislacin y regulaciones relevantes. Las personas debieran saber que se llevan a cabo chequeos inesperados, y los chequeos se debieran realizar con la debida autorizacin de los requerimientos legales y reguladores.

CAPTULO III DESCRIPCIN DE LA AUDITORIA

3.1.

Objetivos de la Auditoria 3.1.1. Objetivo General Verificar la Suficiencia y cumplimiento de todos los parmetros de seguridad tanto fsica segn ISO/IEC 27002:2005 con el tem de Seguridad Fsica. 3.1.2. Objetivos Especficos Realizar una entrevista con la mayor autoridad para solicitar la autorizacin del desarrollo de la Auditoria. Realizar una visita a la empresa para revisar su infraestructura. Revisin mediante la observacin directa del auditor. Evaluar la infraestructura en pro de la seguridad empresarial. Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin. Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la empresa.

3.2.

Tcnicas para reunir Evidencias de la Auditora 3.2.1. Entrevista Se realizaron las siguientes entrevistas: Entrevista con la Gerencia. Entrevista con el Jefe de Informtica: o Sobre los planes de TI. o Sobre la gestin de riesgos. o Sobre la administracin de sistemas.

ENTREVISTA CON LA GERENCIA Objetivo: Conocer el plan estratgico de la organizacin y el grado de compromiso de la gerencia con la utilizacin de nuevas tecnologas. Fragmentos de la entrevista: Auditor 1. Cree que la tecnologa puede serle til para alcanzar sus objetivos? Gerente S, por eso tenemos contratado un ingeniero de sistemas que se encargan de que la tecnologa est siempre a punto. El ingeniero quiere que encarguemos el desarrollo de una pgina Web y de un sistema que automatice todos nuestros procesos, pero eso supone una inversin que por el momento no tenemos previsto afrontar porque estamos obteniendo resultados positivos pero nose descarta la posibilidad en un futuro. La oficina de informtica antes de hacer cualquier compra lo comunican a la gerencia para que demos el visto bueno y el presupuesto. Si nosotros vemos que necesitamos algo que tenga que ver con la informtica.

2.

Tienen prevista alguna inversin en tecnologa para mejorar sus procesos o la calidad de los servicios que ofrecen?

3.

Dan libertad al departamento de informtica para comprar el software o el hardware que crean conveniente?

Sntesis de la entrevista: La gerencia cree que la tecnologa les puede ser til, pero no quieren afrontar ningn proyecto de gran envergadura. Para ella es suficiente con el trabajo del ingeniero. La gerencia no da libertad al departamento de informtica para que compre lo que crea necesario. Cualquier compra debe ser aprobada por la gerencia y presupuestada.

ENTREVISTA CON EL JEFE DE INFORMTICA SOBRE LOS PLANES DE TI Objetivo: Conocer los planes a corto y largo plazo en cuanto a tecnologas de la informacin y los planes de infraestructura tecnolgica. Fragmentos de la entrevista: Jefe de Informtica Todos nuestros sistemas no son muy 1. Cmo valora sus sistemas de potentes. Pero, con ellos estamos contentos informacin actuales?, est contento porque estamos obteniendo resultados con ellos? positivos. Nuestro objetivo es que todo se haga automticamente, desde que un cliente solicita el servicio hasta que este realice sus 2. Tienen algn plan de tecnologa para el pagos mensuales oportunamente, desde la futuro? comodidad de su hogar. Tambin creemos necesario una pgina Web que tenga un diseo agradable para nuestros clientes y trabajadores. La gerencia est contenta porque las cosas estn funcionando bien, as que por el momento no quieren invertir en sistemas de 3. Qu opina la gerencia de esa futura informacin pero no descartan la posibilidad. inversin? Pero yo creo que esa inversin va a ser necesaria a futuro si queremos seguir en el mercado. Sntesis de la entrevista: A pesar de no tener redactado un plan de sistemas de informacin, el entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar sus sistemas de informacin para seguir siendo competitivos y alcanzar una cuota de mercado mayor. La idea del jefe de informtica es: Tener una pgina Web que tenga un diseo agradable y que cumpla con los estndares de usabilidad. Disponer de unos sistemas de informacin que automaticen todos sus procesos. Auditor

El entrevistado ha expresado que el desarrollo de los nuevos sistemas de informacin a cargo de una empresa externa supone una inversin importante y que la gerencia no quiere asumir el costo de dicha inversin a corto pero que no descarta que se tome en cuenta a mediano plazo.

ENTREVISTA CON EL JEFE DE INFORMTICA SOBRE LA GESTIN DE RIESGOS Objetivo: Conocer las polticas y procedimientos relacionados con la evaluacin de riesgos. Conocer los seguros que cubren los riesgos. Fragmentos de la entrevista: Auditor 1. Tienen un documento de gestin de riesgos o algn proceso establecido para gestionarlos? Jefe de Informtica Los riesgos no estn especificados en ningn sitio, pero este plan de riesgos se est elaborando para evitar futuras perdidas de informacin. Intentaramos valorar el alcance de la situacin y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendramos que requerir de una persona externa para solucionar el problema claro est que dicha persona tendra que ser especialista en riesgos informticos. No contamos con ningn seguro pero se ve que sera necesario ya que contamos con sistemas especiales que estn valorizados en un presupuesto alto as que no es una opcin perderlos sea cual sea la situacin.

2. Qu ocurrira si ahora mismo si se diera alguno de los riesgos? Cmo reaccionara?

3. Han contratado algn seguro para proteger los sistemas ante posibles prdidas causadas por robos o desastres naturales? Sntesis de la entrevista:

No hay ningn documento sobre gestin de riesgos, pero el jefe del departamento de informtica tiene claros cules son los principales riesgos a los que estn expuestos. El principal riesgo identificado es la cada del servidor. Si el servidor falla, se podra perder informacin valiosa. Para intentar disminuir la probabilidad del riesgo, cuenta con copias de seguridad alojadas en un disco duro. Otro riesgo identificado es la prdida de los datos del servidor. Los datos del servidor se pueden perder debido a que algn empleado de la empresa o alguien ajeno a la misma los borre o debido a que se estropee el soporte en el que se almacenan. Para evitarlo, el administrador hace copias de seguridad de los datos a menudo. Dichas copias se almacenan en un disco duro externo. Otra cuestin que preocupa al entrevistado es el robo del servidor. Piensa que si alguien logra el acceso a la habitacin del servidor y roba el servidor, la empresa quedara un tiempo sin funcionar hasta que se comprase un equipo nuevo. La habitacin del servidor no es 100% segura No hay ninguna pliza de seguros contratada que cubra prdidas en cuanto a sistemas de informacin. El entrevistado lo considera necesario.

ENTREVISTA CON EL JEFE DE INFORMTICA SOBRE LA ADMINISTRACION DE SISTEMAS Objetivo: Conocer el plan de continuidad de la empresa respecto a los servicios informticos. Fragmentos de la entrevista: Auditor Jefe de Informtica Sera un problema grande ya que en la empresa solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habra perdida de informacin pero no sera tan abrumador. Si, se realizan copias de seguridad, almacenando la informacin que tiene el sistema en un disco duro externo. Efectivamente, el departamento de informtica est formado por un ingeniero y dos tcnicos capacitados para ello.

1. Qu ocurrira si en un momento determinado se cayera o deteriorara el servidor?

2. Respecto al almacenamiento de datos, Existe algn salvado de los datos que tiene la empresa? 3. En caso de ocurrir algn problema en el servicio tcnico, Se resolvera con facilidad? Sntesis de la entrevista:

De la entrevista realizada al administrador de sistemas se puede concluir que no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad debido a que la empresa necesita continuidad en los servicios informticos, puesto que en ellos se basa la productividad y la obtencin de beneficios. Un riesgo importante que podra acechar a la continuidad del servicio es la cada o deterioro del servidor. La continuidad tambin podra daarse si se sufriera un borrado de datos de la empresa. Como alternativa a este suceso, la administracin de sistemas confa en la recuperacin de datos con ayuda de un disco duro externo. Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el desarrollo del mercado, el administrador de sistemas justifica que cualquier hecho que afecte a la continuidad del servicio ser resuelto por el ingeniero o uno de los tcnicos que componen dicho departamento. Adems, en la entrevista se deduce que no existe un documento que enumere los riesgos ocurridos con el fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.

3.2.2. Observacin Para ello el equipo de trabajo manejo una lista de Verificacin con las caractersticas con la que debera contar la institucin para poder cumplir la ISO/IEC 27002:2005. Control 1: Permetro de Seguridad Fsica No Cumple * * * * Cumple * * * * *

tem a Evaluar

Permetros de seguridad debieran estar claramente definidos (de acuerdo a los riesgos que los activos tengan) Las paredes externas del local son una construccin slida y todas las puertas externas estn adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control Las puertas y ventanas quedan aseguradas cuando estn desatendidas y se debiera considerar una proteccin externa para las ventas, particularmente en el primer piso Cuentan con un rea de recepcin con un(a) recepcionista u otros medios para controlar el acceso fsico al local o edificio; el acceso a los locales y edificios estn restringidos solamente al personal autorizado Cuando sea aplicable, se elaboran las barreras fsicas para prevenir el acceso fsico no autorizado Todas las puertas de emergencia en un permetro de seguridad cuentan con alarma en concordancia con los adecuados estndares regionales, nacionales e internacionales Operar en concordancia con el cdigo contra-incendios local de una manera totalmente segura Existen sistemas de deteccin de intrusos segn estndares y son probados regularmente para abarcar todas las puertas externas y ventanas accesibles; las reas no ocupadas cuentan con alarma en todo momento; por ejemplo el cuarto de cmputo o cuarto de comunicaciones Los medios de procesamiento de informacin manejados por la organizacin estn fsicamente separados de aquellas manejadas por terceros

Control 2: Controles de Ingreso Fsico No Cumple * No Cumple * * Cumple * * * Cumple *

tem a Evaluar

Llevar un registro de la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran ser supervisados a no ser que su acceso haya sido previamente aprobado El acceso a reas donde se procesa o almacena informacin sensible se controla y restringe slo a personas autorizadas; utilizando controles de autenticacin Los derechos de acceso a reas seguras son revisados y actualizados regularmente, y revocados cuando sea necesario Al personal de servicio de apoyo de terceros se le otorga acceso restringido a las reas seguras o los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso es autorizado y monitoreado

Control 3: Asegurar las Oficinas, Habitaciones y Medios

tem a Evaluar

Se tiene en cuenta los estndares y regulaciones de sanidad y seguridad relevantes Se debieran localizar los medios claves para evitar el acceso del pblico Los directorios y telfonos internos que identifiquen la ubicacin de los medios de procesamiento de la informacin no estn accesibles al pblico

Control 4: Proteccin contra Amenazas Externas e Internas No Cumple * * * No Cumple * * * Cumple * Cumple *

tem a Evaluar

Slo el personal de mantenimiento autorizado llevara a cabo las reparaciones y dar servicio al equipo Mantienen registros de todas las fallas sospechadas y reales, y todo mantenimiento preventivo y correctivo Implementan los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organizacin; cuando sea necesario, se revisa la informacin confidencial del equipo, o se verifica al personal de mantenimiento Cumple con todos los requerimientos impuestos por las plizas de seguros

Control 5: Trabajo en reas Aseguradas

tem a Evaluar

El equipo y medios sacados del local nunca son dejados desatendidos en lugares pblicos Se observa en todo momento las instrucciones de los fabricantes para proteger el equipo; por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos Se determinan controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado Se cuenta con un seguro adecuado para proteger el equipo fuera del local

Control 6: reas de Acceso Pblico, Entrega y Carga No Cumple * No Cumple Cumple Cumple * * * *

tem a Evaluar

Los dispositivos que contienen informacin confidencial son fsicamente destruidos o se destruye, borra o sobre escribe la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear

Control 7: Ubicacin y Proteccin del equipo

tem a Evaluar

No se retira equipo, informacin o software sin autorizacin previa Los usuarios empleados, contratistas y terceras personas que tienen la autoridad para permitir el retiro de los activos fuera del local estn claramente identificados Se establecen lmites de tiempo para el retiro del equipo y se realizan un chequeo de la devolucin Cuando sea necesario y apropiado, el equipo es registrado como retirado del local y se registra su retorno 3.3. Informe de la Auditora 3.3.1. Alcance de la Auditora

Todas las oficinas del ambiente de la empresa COMUNICACIONES CABLE FUTURO S.R.L. Ubicada en Urb. Bellamar Mz. I Lote. 8. Nuevo Chimbote 3.3.2. Cliente: Gerente General. Vctor Hugo Zumarn lvarez Sub Gerente. Wilmer Segundo Zavaleta Tolentino 3.3.3. Lder del Equipo Rosa Briones Vsquez Julio Olivos Puente Heyller Reyes Aranda

3.3.4. Actividades Realizadas Actividad Realizar una entrevista con la mayor autoridad para solicitar la autorizacin del desarrollo de la Auditoria. Realizar una visita a la empresa para revisar su infraestructura. Revisin mediante la observacin directa del auditor Evaluar la infraestructura en pro de la seguridad empresarial Realizacin de listas de verificacin para evaluar el desempeo de la empresa en seguridad de la informacin Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compaa Fecha 28/10/2013 20/11/2013 09/12/2013 30/12/2013 06/01/2014

3.3.5. Criterios de la Auditoria Compromiso de la alta gerencia. Control de acceso. En una infraestructura de este tipo siempre tenemos que tener el control del tiempo para accesos restringidos. Pruebas de mecanismos de deteccin y alarma. Extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de deteccin de humo y de movimiento. Acceso de mercancas y personal de proveedores. Ausencia de seguridad perimetral o seguridad perimetral insuficiente. Gestin de energa. En estos centros se consume grandes cantidades de energa, y por tanto, requiere de medidas especiales para asegurar que el flujo energtico est garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos.

3.3.6. Hallazgos de la Auditora: Segn ISO/IEC 27002:2005 Utilizando el ISO ya nombrado se utiliz una lista de verificacin donde se encontraban las caractersticas de los controles para as determinar que insuficiencias tena la organizacin. Como se observa en las entrevistas realizadas, existe un poco de desinters de parte de la alta gerencia en poder implantar una mayor seguridad en su institucin, teniendo como su mxima barrera la economa, pero esto a la larga le generar una mayor perdida. Esto se observa tambin cuando no existen documentos administrativos como el Plan Operativo Institucional, Plan estratgico Institucional, Plan de Contingencia, Plan de Continuidad de la Organizacin, entre otros.

3.3.7. Conclusiones de la Auditora La auditora Fsica tiene como objetivo establecer cules son los puntos de quiebre que la institucin debe cumplir para poder garantizar la seguridad fsica y Ambiental de la institucin. Para lo cual se le recomienda: Invertir en la seguridad Fsica y Ambiental, porque a la larga la institucin se estara ahorrando muchas prdidas econmicas como humanas dentro de los activos de la empresa. Para poder eliminar as las vulnerabilidades y riesgos que tengan nuestros activos ante cualquier evento Fsico y Ambiental. Los medios de procesamiento de informacin crtica o confidencial debieran ubicarse en reas seguras, protegidas por los permetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar fsicamente protegidos del acceso no autorizado, dao e interferencia

Se debe proteger el equipo de amenazas fsicas y ambientales. La proteccin del equipo (incluyendo aquel utilizado fuera del local y la eliminacin de propiedad) es necesaria para reducir el riesgo de acceso noautorizado a la informacin y proteger contra prdida o dao. Esto tambin se considera la ubicacin y eliminacin del equipo. Se requieren controles especiales para proteger el equipo contra amenazas fsicas, y salvaguardar los medios de soporte como el suministro elctrico y la infraestructura del cableado

3.3.8. Recomendaciones y Hallazgos Tras la realizacin de la auditora en la empresa se encontrados los principales problemas: El primer problema encontrado ha sido que no tienen un plan estratgico definido y, por tanto, no tienen definidos claramente sus objetivos a largo plazo. Otro problema detectado es que no existe un proceso para gestionar los riesgos, dejando a la improvisacin las medidas que se adoptaran para solucionar una posible situacin comprometida para la empresa. La inexistencia de este proceso puede afectar seriamente a la continuidad del negocio. Se tiene conexiones elctricas y de red inadecuadas, que podran ocasionar un incendio. Por ltimo, destacar que la seguridad de la empresa merece una revisin, ya que carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las puertas para evitar el acceso de personal no autorizado, por ejemplo, a la sala de servidores.