Auditoria Física Auditoria de Sistemas

Semana 14

2014

Ingeniería de sistemas e informática

01/01/2014

DOCENTE:

- Ms. Luis Ramírez Milla

INTEGRANTES:

- Rosa Licet Briones Vásquez

- Julio Rafael Olivos puente

- Heyller Oswaldo Reyes Aranda

CAPÍTULO I

DESCRIPCIÓN DE LA ORGANIZACIÓN

1.1. NOMBRE DE LA EMPRESA

“COMUNICACIONES CABLE FUTURO S.R.L”

1.2. NATURALEZA DE LA EMPRESA

La empresa COMUNICACIONES CABLE FUTURO se dedica a llevar señal de televisión

por cable, con una programación variada de canales nacionales e internacionales de

acuerdo a las exigencias del público televidente, comprometido en lograr la

satisfacción total del cliente a través de personal profesionalmente capacitado para

que brinde confianza y excelencia en el servicio. Nos encontramos presente en

Chimbote, Nuevo Chimbote, Casma, Coishco, Lambayeque, Cajamarca y seguimos

creciendo para llevarles cultura y entretenimiento a través de nuestra grilla de

televisión por cable.

1.3. UBICACIÓN GEOGRÁFICA

La empresa Comunicaciones Cable Futuro S.R.L se encuentra ubicado:

Departamento : Ancash

Provincia : Santa

Distrito : Nuevo Chimbote

Dirección : Urb. Bellamar Mz. I Lote. 8.

Teléfonos : (043)310894

Ruc : 20445694933

1.4. VISIÓN

“Alcanzar el liderazgo en televisión por Cable a nivel Nacional con capital 100%

peruano y mantener una relación con el cliente cercano y resolutivo, ofreciendo las

soluciones más innovadoras a los precios más accesibles y competitivos del mercado".

1.5. MISIÓN

“Ser líder en servicios de televisión a suscripción y comunicación para el mercado

residencial del interior del país, a través de alta tecnología y personal calificado

comprometido con la satisfacción de nuestros usuarios”.

1.6. VALORES

Honestidad y lealtad

Comunicación

Excelencia enfocada en el cliente

Trabajo en equipo

Liderazgo

1.7. FINALIDAD

Son fines de la empresa COMUNICACIONES CABLE FUTURO, las siguientes:

Brindar servicio de cable con canales de entretenimiento.

Promover el acceso a la información, cultura y entretenimiento.

1.8. OBJETIVOS

Ofrecer nuevos canales para entretener a los usuarios.

Disminuirlos costos de servicios.

Mantener e incrementar la cartera de clientes existentes.

Brindar un servicio eficiente y eficaz.

Aumentar la cobertura global de la empresa.

1.9. FUNCIONES GENERALES

Planificar integralmente el desarrollo local y el ordenamiento territorial, en el nivel

provincial.

Articular permanentemente los planes integrales de desarrollo distrital y los

presupuestos participativos.

Promover, apoyar y ejecutar proyectos de inversión y servicios públicos municipales

que presenten, objetivamente, externalidades o economías de escala de ámbito

provincial.

Emitir las normas técnicas generales, en materia de organización del espacio físico y

uso del suelo así como sobre protección y conservación del ambiente.

1.10. ORGANIGRAMA DE LA EMPRESA

ACCIONISTAS

GERENCIA GENERAL

DEPARTAMENTO

INFORMATICO LEGALES RECURSOS

HUMANOS

ADMINISTRACION

Y FINANZAS

CAPÍTULO II

MARCO TEÓRICO

2.1. AUDITORÍA FÍSICA

Hace referencia a todo elemento tangible que de una u otra manera interpreta o

permita el correcto funcionamiento del Centro de Procesamiento de Datos.

La Auditoria Física, se encarga de comprobar la existencia de los medios físicos así

como su funcionalidad, racionalidad y seguridad.

La Seguridad Física, garantiza la integridad de los activos humanos, logísticos y

materiales de un CPD.

No están claras los límites, dominios y responsabilidades de los tres tipos de seguridad

que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las

comunicaciones.

Se deben tener medidas para atender los riesgos de fallos, local o general.

2.2. ÁREAS DE LA SEGURIDAD FÍSICA

a) Instalaciones, edificación:

Dada la poca experticia del auditor Informático en este campo se deberá incluir un

perito que realice la evaluación correspondiente a la infraestructura física del

edificio, de tal manera que estos emiten sus conceptos y certifiquen las

condiciones generales dentro de los tópicos.

A tener en cuenta están:

Ubicación del edificio

Ubicación del CPD dentro del edificio

Elementos de construcción

Potencia eléctrica

Sistemas contra incendios.

Inundaciones

El auditor informático debe interesarse de manera personal en:

b) Organigrama de la empresa:

Con el objetivo de conocer las dependencias orgánicas, funcionales y jerárquicas;

los diferentes cargos, separación de funciones y rotación del personal; da la

primera visión de conjunto del Centro de Proceso.

c) Auditoría Interna:

Deberán solicitarse los documentos de las auditorías anteriores,

normas, procedimientos y planes que sobre seguridad física se tengan al

departamento de auditoría o en su defecto al encargado de calidad.

d) Administración de la seguridad:

Vista desde una perspectiva que ampare las funciones, dependencias, cargos y

responsabilidades de los diferentes componentes:

Director o responsable de la seguridad integral.

Responsable de la seguridad informática.

Administradores de redes.

Administradores de bases de datos.

Responsables de la seguridad activa y pasiva del entorno físico

Normas, procedimientos y planes existentes

e) CPD (Centro de Procesamiento de Datos) e Instalaciones:

Entorno en el que se encuentra incluso el CPD como elemento físico y en el que

debe realizar su función.

Las instalaciones son elementos, accesorios que deben ayudar a la realización de la

función informática y a la vez proporcionar seguridad a las personas, al software,

se deben inspeccionar entre otras:

Sala de Hosts

Sala de impresoras

Oficinas

Almacenes

Sala de acondicionamiento eléctrico

Aire Acondicionado

Áreas de descanso, etc.

f) Equipo y Comunicaciones:

Son los elementos principales del CPD: Hosts, terminales, computadores

personales, equipos de almacenamiento masivo de datos, impresoras, medios y

sistemas de telecomunicaciones.

Se debe inspeccionar su ubicación dentro del CPD y el control de acceso a los

elementos restringidos.

g) Computadores personales conectados en red:

Es preciso revisar la forma en que se llevan a cabo los BACK-UP’S, así como los

permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de

la red, se deben examinar los métodos y mecanismos de bloqueo al acceso de

información no autorizada, inspeccionando o verificando dichos accesos.

h) Seguridad física del personal:

Accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios y

sistemas de bloqueo de puertas y ventanas, normas y políticas emitidas y

distribuidas al personal referente al uso de las instalaciones por el personal, zonas

de descanso y servicios, etc.

2.3. FUENTES BÁSICAS DE LA AUDITORÍA FÍSICA

El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.

Políticas, normas y procedimientos.

Auditorías anteriores. (Generales y parciales referentes a la seguridad Física)

Contratos de seguros, proveedores y de mantenimiento.

Entrevistas con el personal de seguridad, personal informático, personal de

limpieza, etc.

Actas e informes técnicos de peritos que diagnostiquen el estado físico del edificio,

electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc.

Informes de accesos y visitas.

Políticas de personal: Revisión de antecedentes personales y laborales,

procedimientos de cancelación de contratos, rotación en el trabajo, contratos fijos,

y temporales.

Inventario de archivos: físicos y magnéticos: back-up, procedimiento de archivo,

control de salida y recuperación de soportes, control de copias, etc.

2.4. TÉCNICAS Y HERRAMIENTAS DEL AUDITOR

TÉCNICAS

Observación de las instalaciones, sistemas, cumplimiento de normas y

procedimientos, etc. (tanto de espectador como actor)

Revisión analítica de:

Documentación sobre construcción y preinstalaciones

Documentación sobre seguridad física

Políticas y normas de actividad de sala

Normas y procedimientos sobre seguridad física de los datos

Contratos de seguros y de mantenimiento

Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)

Consultas a técnicos y peritos que formen parte de la plantilla o independientes

HERRAMIENTAS

Cuaderno y/o grabadora de audio.

Cámara fotográfica y/o grabadora de video (Su uso debe ser discreto y con

autorización)

2.5. FASES DE LA AUDITORIA FISICA

Considerando la metodología de ISACA (Asociación de Auditoría y Control de Sistemas

de Información):

Fase 1: Alcance de la Auditoria

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria informática, se completa con los objetivos de ésta. El

alcance ha de figurar expresamente en el Informe Final, de modo que quede

perfectamente determinado no solamente hasta que puntos se ha llegado, sino

cuales materias fronterizas han sido omitidos.

Fase 2: Adquisición de información General

Esta fase se asienta el estudio preliminar a la empresa y la determinación de la

problemática que inviste la entidad. En esta fase se enmarca la acción de realizar

una verificación de los procedimientos, políticas, suministro, materiales y

programas y otros requerimientos que son importantes para el examen.

Fase 3: Administración y Planeación

Una planificación adecuada es el primer paso necesario para realizar auditorías

Informática eficaces a la Seguridad. El auditor de sistemas debe comprender el

ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos

del negocio y control asociado.

Fase 4: Plan de Auditoria

El Plan de Auditoría es la elaboración de una serie de pasos a seguir elaborados

conforme a la necesidad del auditor, requerimiento del examen y la distribución de

actividades.

Fase 5: Resultados de las Pruebas

Luego de la aplicación de los planes de auditoría se determinara el resultado de la

aplicación de Métodos y Técnica que lanzaran resultados que posibilitara el análisis

y la interpretación de la información. Este resultado tendrá un sustento en los

hallazgos.

Fase 6: Conclusiones y Comentarios

En base a los resultados obtenidos en la aplicación de Métodos de Investigación

posibilitara en determinar una conclusión coherente en base a los hallazgos y la

verificación realizada.

Fase 7: Borrador del Informe

Es el documento emitido por el Auditor como resultado final de su examen, incluye

información suficiente sobre Observaciones, Conclusiones de hechos significativos,

así como Recomendaciones constructivos para superar las debilidades en cuanto a

políticas, procedimientos, cumplimiento de actividades y otras.

Fase 8: Discusión con los Responsables de Area

Con el personal responsable se determinara la ocurrencia del hecho que causa

errores en el cumplimiento de las actividades diarias. En esta fase se determina el

cumplimiento de las funciones de cada funcionario la se encuentra, además los

avances que cada uno de ellos han tenido.

Fase 9: Informe Final

Constituye la etapa final del proceso de Auditoria, en el mismo se recogen todos

los hallazgos detectados y el sustentáculo documental para sustentar el dictamen

emitido.

Fase 10: Seguimiento de las Modificaciones acordadas

2.6. ESTRUCTURA GENERAL ISO/IEC 27002:2005:

ISO / IEC 27002:2005 establece los lineamientos y principios generales para iniciar,

implementar, mantener y mejorar la gestión de seguridad de la información en una

organización. Los objetivos descritos proporcionan una guía general sobre los objetivos

comúnmente aceptados de gestión de seguridad de información. ISO / IEC 27002:2005

contiene las mejores prácticas de los objetivos de control y controles en las siguientes

áreas de gestión de seguridad de la información:

la política de seguridad;

organización de la seguridad de la información;

gestión de activos;

la seguridad de los recursos humanos;

física y la seguridad del medio ambiente;

las comunicaciones y la gestión de las operaciones;

control de acceso;

adquisición de sistemas de información, desarrollo y mantenimiento;

gestión de incidentes de seguridad de la información;

gestión de la continuidad del negocio;

cumplimiento.

Los objetivos de control y controles de la norma ISO / IEC 27002:2005 están destinados

a ser implementado para cumplir con los requisitos identificados por una evaluación

de riesgos.

ISO / IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo

de los estándares de seguridad de la organización y prácticas eficaces de gestión de la

seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales.

2.7. DESCRIPCIÓN DE LOS DOMINIOS Y SUS OBJETIVOS

Políticas de Seguridad

Proporcionar a la gerencia la dirección y soporte para la seguridad de la

información en concordancia con los requerimientos comerciales y las leyes y

regulaciones relevantes.

Aspectos Organizativos de la Seguridad de la Información

Manejar la seguridad de la información dentro de la organización.

Gestión de Activos

Lograr y mantener una apropiada protección de los activos organizacionales.

Seguridad Ligada a los Recursos Humanos

Asegurar que los empleados, contratistas y terceros entiendan sus

responsabilidades, y sean idóneos para los roles para los cuales son

considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Asegurar que los usuarios empleados, contratistas y terceras personas estén

al tanto de las amenazas e inquietudes de la seguridad de la información, sus

responsabilidades y obligaciones, y estén equipadas para apoyar la política

de seguridad organizacional en el curso de su trabajo normal, y reducir el

riesgo de error humano.

Asegurar que los usuarios empleados, contratistas y terceras personas salgan

de la organización o cambien de empleo de una manera ordenada.

Seguridad Física y del Entorno o Ambiente

Evitar el acceso físico no autorizado, daño e interferencia con la información

y los locales de la organización.

Gestión de Comunicaciones y Operaciones

Asegurar la operación correcta y segura de los medios de procesamiento de

la información.

Implementar y mantener el nivel apropiado de seguridad de la información y

la entrega del servicio en línea con los acuerdos de entrega de servicios de

terceros.

Minimizar el riesgo de fallas en el sistema.

Proteger la integridad del software y la integración

Mantener la integridad y disponibilidad de la información y los medios de

procesamiento de información

Asegurar la protección de la información en redes y la protección de la

infraestructura de soporte.

Evitar la divulgación no-autorizada; modificación, eliminación o destrucción

de activos; y la interrupción de las actividades comerciales

Mantener la seguridad en el intercambio de información y software dentro

de la organización y con cualquier otra entidad externa

Asegurar la seguridad de los servicios de comercio electrónico y su uso

seguro.

Detectar las actividades de procesamiento de información no autorizadas.

Control de Acceso

Controlar el acceso a la información

Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a

los sistemas de información.

Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la

información y evitar el robo de información y los medios de procesamiento

de la información.

Evitar el acceso no autorizado a los servicios de la red

Evitar el acceso no autorizado a los sistemas operativos.

Asegurar la seguridad de la información cuando se utiliza medios de

computación y tele-trabajo móviles

Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Garantizar que la seguridad sea una parte integral de los sistemas de

información.

Prevenir errores, pérdida, modificación no autorizada o mal uso de la

información en las aplicaciones

Proteger la confidencialidad, autenticidad o integridad a través de medios

criptográficos

Garantizar la seguridad de los archivos del sistema

Mantener la seguridad del software y la información del sistema de

aplicación

Reducir los riesgos resultantes de la explotación de las vulnerabilidades

técnicas publicadas

Gestión de Incidentes en la Seguridad de la Información

Asegurar que los eventos y debilidades de la seguridad de la información

asociados con los sistemas de información sean comunicados de una manera

que permita que se realice una acción correctiva oportuna.

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los

incidentes en la seguridad de la información

Gestión de la Continuidad del Negocio

Contraatacar las interrupciones a las actividades comerciales y proteger los

procesos comerciales críticos de los efectos de fallas importantes o desastres

en los sistemas de información y asegurar su reanudación oportuna.

Cumplimiento

Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o

contractual; y cualquier requerimiento de seguridad

Asegurar el cumplimiento de los sistemas con las políticas y estándares de

seguridad organizacional.

Maximizar la efectividad de recuraos informáticos y minimizar la

interferencia desde/hacia el proceso de auditoría del sistema de información.

2.8. SEGURIDAD FÍSICA Y DEL ENTORNO O AMBIENTE

2.8.1. ÁREAS SEGURAS

Evitar el acceso físico no autorizado, daño e interferencia con la información y

los locales de la organización.

2.8.1.1. Perímetro de Seguridad Física

Control 1: Se deben utilizar perímetros de seguridad (barreras

tales como paredes, rejas de entrada controladas por tarjetas o

recepcionistas) para proteger las áreas que contienen

información y medios de procesamiento de información.

2.8.1.2. Controles de Ingreso Físico

Control 2: Las áreas seguras son protegidas mediante controles

de ingreso apropiados para asegurar que sólo se le permita el

acceso al personal autorizado.

2.8.1.3. Asegurar las Oficinas, Habitaciones y Medios

Control 3: Se diseña y aplica la seguridad física para las

oficinas, habitaciones y medios.

2.8.1.4. Protección contra Amenazas Externas e Internas

Control 4: Se asigna y aplica protección física contra daño por

fuego, inundación, terremoto, explosión, revuelta civil y otras

formas de desastres naturales o causados por el hombre.

2.8.1.5. Trabajo en Áreas Aseguradas

Control 5: Se diseña y aplica la protección física y los

lineamientos para trabajar en áreas aseguradas.

2.8.1.6. Áreas de Acceso Público, Entrega y Carga

Control 6: Se controlar los puntos de acceso como las áreas de

entrega y carga y otros puntos por donde personas no-

autorizadas puedan ingresar al local y, se aísla de los medios de

procesamiento de información para evitar el acceso no

autorizado.

2.8.2. EQUIPO DE SEGURIDAD

Se evita pérdida, daño, robo o compromiso de los activos y la interrupción de

las actividades de la organización.

2.8.2.1. Ubicación y Protección del equipo

Control 7: Se ubica o protege el equipo para reducir las

amenazas y peligros ambientales y oportunidades para acceso

no autorizado.

2.8.2.2. Servicios Públicos de Soporte

Control 8: Se protege el equipo de fallas de energía y otras

interrupciones causadas por fallas en los servicios públicos de

soporte. Las opciones para lograr la continuidad de los

suministros de energía incluyen múltiples alimentaciones para

evitar que una falla en el suministro de energía

2.8.2.3. Seguridad del Cableado

Control 9: El cableado de la energía y las telecomunicaciones

que llevan la data o dan soporte a los servicios de información

debieran protegerse contra la intercepción o daño.

2.8.2.4. Mantenimiento de Equipo

Control 10: Se debiera mantener correctamente el equipo para

asegurar su continua disponibilidad e integridad.

2.8.2.5. Seguridad del Equipo fuera del Local

Control 11: Se debiera aplicar seguridad al equipo fuera del

local tomando en cuenta los diferentes riesgos de trabajar

fuera del local de la organización. El equipo de

almacenamiento y procesamiento de la información incluye

todas las formas de computadoras personales, organizadores,

teléfonos móviles, tarjetas inteligentes u otras formas que se

utilicen para trabajar desde casa o se transporte fuera de local

normal de trabajo.

2.8.2.6. Seguridad de la Eliminación o Re uso del Equipo

Control 12: Se debieran chequear los ítems del equipo que

contiene medios de almacenaje para asegurar que se haya

retirado o sobre-escrito cualquier data confidencial o licencia

de software antes de su eliminación. Los dispositivos que

contienen data confidencial pueden requerir una evaluación

del riesgo para determinar si los ítems debieran ser físicamente

destruidos en lugar de enviarlos a reparar o descartar.

2.8.2.7. Retiro de Propiedad

Control 13: El equipo, información o software no debiera

retirarse sin autorización previa. También se pueden realizar

chequeos inesperados para detectar el retiro de propiedad,

dispositivos de grabación no-autorizados, armas, etc., y evitar

su ingreso al local. Estos chequeos inesperados debieran ser

llevados a cabo en concordancia con la legislación y

regulaciones relevantes. Las personas debieran saber que se

llevan a cabo chequeos inesperados, y los chequeos se

debieran realizar con la debida autorización de los

requerimientos legales y reguladores.

CAPÍTULO III

DESCRIPCIÓN DE LA AUDITORIA

3.1. Objetivos de la Auditoria

3.1.1. Objetivo General

Verificar la Suficiencia y cumplimiento de todos los parámetros de seguridad

tanto física según ISO/IEC 27002:2005 con el ítem de Seguridad Física.

3.1.2. Objetivos Específicos

Realizar una entrevista con la mayor autoridad para solicitar la

autorización del desarrollo de la Auditoria.

Realizar una visita a la empresa para revisar su infraestructura.

Revisión mediante la observación directa del auditor.

Evaluar la infraestructura en pro de la seguridad empresarial.

Realización de listas de verificación para evaluar el desempeño de la

empresa en seguridad de la información.

Realizar las debidas recomendaciones para realizar el mejoramiento de la

seguridad de la empresa.

3.2. Técnicas para reunir Evidencias de la Auditoría

3.2.1. Entrevista

Se realizaron las siguientes entrevistas:

Entrevista con la Gerencia.

Entrevista con el Jefe de Informática:

o Sobre los planes de TI.

o Sobre la gestión de riesgos.

o Sobre la administración de sistemas.

ENTREVISTA CON LA GERENCIA Objetivo: Conocer el plan estratégico de la organización y el grado de compromiso de la gerencia con la utilización de nuevas tecnologías. Fragmentos de la entrevista:

Auditor Gerente

1. ¿Cree que la tecnología puede serle útil para alcanzar sus objetivos?

Sí, por eso tenemos contratado un ingeniero de sistemas que se encargan de que la tecnología esté siempre a punto.

2. ¿Tienen prevista alguna inversión en tecnología para mejorar sus procesos o la calidad de los servicios que ofrecen?

El ingeniero quiere que encarguemos el desarrollo de una página Web y de un sistema que automatice todos nuestros procesos, pero eso supone una inversión que por el momento no tenemos previsto afrontar porque estamos obteniendo resultados positivos pero nose descarta la posibilidad en un futuro.

3. ¿Dan libertad al departamento de informática para comprar el software o el hardware que crean conveniente?

La oficina de informática antes de hacer cualquier compra lo comunican a la gerencia para que demos el visto bueno y el presupuesto. Si nosotros vemos que necesitamos algo que tenga que ver con la informática.

Síntesis de la entrevista: La gerencia cree que la tecnología les puede ser útil, pero no quieren afrontar ningún proyecto de gran envergadura. Para ella es suficiente con el trabajo del ingeniero. La gerencia no da libertad al departamento de informática para que compre lo que crea necesario. Cualquier compra debe ser aprobada por la gerencia y presupuestada.

ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LOS PLANES DE TI Objetivo: Conocer los planes a corto y largo plazo en cuanto a tecnologías de la información y los planes de infraestructura tecnológica. Fragmentos de la entrevista:

Auditor Jefe de Informática

1. ¿Cómo valora sus sistemas de información actuales?, ¿está contento con ellos?

Todos nuestros sistemas no son muy potentes. Pero, con ellos estamos contentos porque estamos obteniendo resultados positivos.

2. ¿Tienen algún plan de tecnología para el futuro?

Nuestro objetivo es que todo se haga automáticamente, desde que un cliente solicita el servicio hasta que este realice sus pagos mensuales oportunamente, desde la comodidad de su hogar. También creemos necesario una página Web que tenga un diseño agradable para nuestros clientes y trabajadores.

3. ¿Qué opina la gerencia de esa futura inversión?

La gerencia está contenta porque las cosas están funcionando bien, así que por el momento no quieren invertir en sistemas de información pero no descartan la posibilidad. Pero yo creo que esa inversión va a ser necesaria a futuro si queremos seguir en el mercado.

Síntesis de la entrevista: A pesar de no tener redactado un plan de sistemas de información, el entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar sus sistemas de información para seguir siendo competitivos y alcanzar una cuota de mercado mayor. La idea del jefe de informática es:

Tener una página Web que tenga un diseño agradable y que cumpla con los estándares de usabilidad.

Disponer de unos sistemas de información que automaticen todos sus procesos. El entrevistado ha expresado que el desarrollo de los nuevos sistemas de información a cargo de una empresa externa supone una inversión importante y que la gerencia no quiere asumir el costo de dicha inversión a corto pero que no descarta que se tome en cuenta a mediano plazo.

ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LA GESTIÓN DE RIESGOS Objetivo: Conocer las políticas y procedimientos relacionados con la evaluación de riesgos. Conocer los seguros que cubren los riesgos. Fragmentos de la entrevista:

Auditor Jefe de Informática

1. ¿Tienen un documento de gestión de riesgos o algún proceso establecido para gestionarlos?

Los riesgos no están especificados en ningún sitio, pero este plan de riesgos se está elaborando para evitar futuras perdidas de información.

2. ¿Qué ocurriría si ahora mismo si se diera alguno de los riesgos? ¿Cómo reaccionaría?

Intentaríamos valorar el alcance de la situación y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendríamos que requerir de una persona externa para solucionar el problema claro está que dicha persona tendría que ser especialista en riesgos informáticos.

3. ¿Han contratado algún seguro para proteger los sistemas ante posibles pérdidas causadas por robos o desastres naturales?

No contamos con ningún seguro pero se ve que sería necesario ya que contamos con sistemas especiales que están valorizados en un presupuesto alto así que no es una opción perderlos sea cual sea la situación.

Síntesis de la entrevista: No hay ningún documento sobre gestión de riesgos, pero el jefe del departamento de informática tiene claros cuáles son los principales riesgos a los que están expuestos. El principal riesgo identificado es la caída del servidor. Si el servidor falla, se podría perder información valiosa. Para intentar disminuir la probabilidad del riesgo, cuenta con copias de seguridad alojadas en un disco duro. Otro riesgo identificado es la pérdida de los datos del servidor. Los datos del servidor se pueden perder debido a que algún empleado de la empresa o alguien ajeno a la misma los borre o debido a que se estropee el soporte en el que se almacenan. Para evitarlo, el administrador hace copias de seguridad de los datos a menudo. Dichas copias se almacenan en un disco duro externo. Otra cuestión que preocupa al entrevistado es el robo del servidor. Piensa que si alguien logra el acceso a la habitación del servidor y roba el servidor, la empresa quedaría un tiempo sin funcionar hasta que se comprase un equipo nuevo. La habitación del servidor no es 100% segura No hay ninguna póliza de seguros contratada que cubra pérdidas en cuanto a sistemas de información. El entrevistado lo considera necesario.

ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LA ADMINISTRACION DE SISTEMAS

Objetivo: Conocer el plan de continuidad de la empresa respecto a los servicios informáticos. Fragmentos de la entrevista:

Auditor Jefe de Informática

1. ¿Qué ocurriría si en un momento determinado se cayera o deteriorara el servidor?

Sería un problema grande ya que en la empresa solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habría perdida de información pero no sería tan abrumador.

2. Respecto al almacenamiento de datos, ¿Existe algún salvado de los datos que tiene la empresa?

Si, se realizan copias de seguridad, almacenando la información que tiene el sistema en un disco duro externo.

3. En caso de ocurrir algún problema en el servicio técnico, ¿Se resolvería con facilidad?

Efectivamente, el departamento de informática está formado por un ingeniero y dos técnicos capacitados para ello.

Síntesis de la entrevista: De la entrevista realizada al administrador de sistemas se puede concluir que no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad debido a que la empresa necesita continuidad en los servicios informáticos, puesto que en ellos se basa la productividad y la obtención de beneficios. Un riesgo importante que podría acechar a la continuidad del servicio es la caída o deterioro del servidor. La continuidad también podría dañarse si se sufriera un borrado de datos de la empresa. Como alternativa a este suceso, la administración de sistemas confía en la recuperación de datos con ayuda de un disco duro externo. Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el desarrollo del mercado, el administrador de sistemas justifica que cualquier hecho que afecte a la continuidad del servicio será resuelto por el ingeniero o uno de los técnicos que componen dicho departamento. Además, en la entrevista se deduce que no existe un documento que enumere los riesgos ocurridos con el fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.

3.2.2. Observación

Para ello el equipo de trabajo manejo una lista de Verificación con las

características con la que debería contar la institución para poder cumplir la

ISO/IEC 27002:2005.

Control 1: Perímetro de Seguridad Física

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

Perímetros de seguridad debieran estar claramente definidos

(de acuerdo a los riesgos que los activos tengan) *

Las paredes externas del local son una construcción sólida y

todas las puertas externas están adecuadamente protegidas

contra accesos no autorizados mediante mecanismos de control

*

Las puertas y ventanas quedan aseguradas cuando están

desatendidas y se debiera considerar una protección externa

para las ventas, particularmente en el primer piso

*

Cuentan con un área de recepción con un(a) recepcionista u

otros medios para controlar el acceso físico al local o edificio; el

acceso a los locales y edificios están restringidos solamente al

personal autorizado

*

Cuando sea aplicable, se elaboran las barreras físicas para

prevenir el acceso físico no autorizado *

Todas las puertas de emergencia en un perímetro de seguridad

cuentan con alarma en concordancia con los adecuados

estándares regionales, nacionales e internacionales

*

Operar en concordancia con el código contra-incendios local de

una manera totalmente segura

*

Existen sistemas de detección de intrusos según estándares y

son probados regularmente para abarcar todas las puertas

externas y ventanas accesibles; las áreas no ocupadas cuentan

con alarma en todo momento; por ejemplo el cuarto de

cómputo o cuarto de comunicaciones

*

Los medios de procesamiento de información manejados por la

organización están físicamente separados de aquellas

manejadas por terceros

*

Control 2: Controles de Ingreso Físico

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

Llevar un registro de la fecha y la hora de entrada y salida de los

visitantes, y todos los visitantes debieran ser supervisados a no

ser que su acceso haya sido previamente aprobado

*

El acceso a áreas donde se procesa o almacena información

sensible se controla y restringe sólo a personas autorizadas;

utilizando controles de autenticación

*

Los derechos de acceso a áreas seguras son revisados y

actualizados regularmente, y revocados cuando sea necesario *

Al personal de servicio de apoyo de terceros se le otorga acceso

restringido a las áreas seguras o los medios de procesamiento

de información confidencial, solo cuando sea necesario; este

acceso es autorizado y monitoreado

*

Control 3: Asegurar las Oficinas, Habitaciones y Medios

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

Se tiene en cuenta los estándares y regulaciones de sanidad y

seguridad relevantes *

Se debieran localizar los medios claves para evitar el acceso del

público *

Los directorios y teléfonos internos que identifiquen la

ubicación de los medios de procesamiento de la información no

están accesibles al público

*

Control 4: Protección contra Amenazas Externas e Internas

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

Sólo el personal de mantenimiento autorizado llevara a cabo las

reparaciones y dar servicio al equipo *

Mantienen registros de todas las fallas sospechadas y reales, y

todo mantenimiento preventivo y correctivo *

Implementan los controles apropiados cuando se programa el

equipo para mantenimiento, tomando en cuenta si su

mantenimiento es realizado por el personal en el local o fuera

de la organización; cuando sea necesario, se revisa la

información confidencial del equipo, o se verifica al personal de

mantenimiento

*

Cumple con todos los requerimientos impuestos por las pólizas

de seguros *

Control 5: Trabajo en Áreas Aseguradas

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

El equipo y medios sacados del local nunca son dejados

desatendidos en lugares públicos *

Se observa en todo momento las instrucciones de los

fabricantes para proteger el equipo; por ejemplo, protección

contra la exposición a fuertes campos electromagnéticos

*

Se determinan controles para el trabajo en casa a través de una

evaluación del riesgo y los controles apropiados conforme sea

apropiado

*

Se cuenta con un seguro adecuado para proteger el equipo

fuera del local *

Control 6: Áreas de Acceso Público, Entrega y Carga

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

Los dispositivos que contienen información confidencial son

físicamente destruidos o se destruye, borra o sobre escribe la

información utilizando técnicas que hagan imposible recuperar

la información original, en lugar de simplemente utilizar la

función estándar de borrar o formatear

*

Control 7: Ubicación y Protección del equipo

Ítem a Evaluar

Cu

mp

le

No

Cu

mp

le

No se retira equipo, información o software sin autorización

previa *

Los usuarios empleados, contratistas y terceras personas que

tienen la autoridad para permitir el retiro de los activos fuera

del local están claramente identificados

*

Se establecen límites de tiempo para el retiro del equipo y se

realizan un chequeo de la devolución *

Cuando sea necesario y apropiado, el equipo es registrado

como retirado del local y se registra su retorno *

3.3. Informe de la Auditoría

3.3.1. Alcance de la Auditoría

Todas las oficinas del ambiente de la empresa “COMUNICACIONES CABLE FUTURO S.R.L.” Ubicada en Urb. Bellamar Mz. I Lote. 8. Nuevo Chimbote

3.3.2. Cliente:

Gerente General. Víctor Hugo Zumarán Álvarez

Sub Gerente. Wilmer Segundo Zavaleta Tolentino

3.3.3. Líder del Equipo

Rosa Briones Vásquez

Julio Olivos Puente

Heyller Reyes Aranda

3.3.4. Actividades Realizadas

Actividad Fecha

Realizar una entrevista con la mayor autoridad para solicitar la autorización del desarrollo de la Auditoria.

28/10/2013

Realizar una visita a la empresa para revisar su infraestructura. Revisión mediante la observación directa del auditor

20/11/2013

Evaluar la infraestructura en pro de la seguridad empresarial 09/12/2013

Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información

30/12/2013

Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía

06/01/2014

3.3.5. Criterios de la Auditoria

Compromiso de la alta gerencia.

Control de acceso. En una infraestructura de este tipo siempre tenemos que tener el control del tiempo para accesos restringidos.

Pruebas de mecanismos de detección y alarma.

Extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento.

Acceso de mercancías y personal de proveedores.

Ausencia de seguridad perimetral o seguridad perimetral insuficiente.

Gestión de energía. En estos centros se consume grandes cantidades de energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos.

3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005

Utilizando el ISO ya nombrado se utilizó una lista de verificación donde se encontraban las características de los controles para así determinar que insuficiencias tenía la organización. Como se observa en las entrevistas realizadas, existe un poco de desinterés de parte de la alta gerencia en poder implantar una mayor seguridad en su institución, teniendo como su máxima barrera la economía, pero esto a la larga le generará una mayor perdida. Esto se observa también cuando no existen documentos administrativos como el Plan Operativo Institucional, Plan estratégico Institucional, Plan de Contingencia, Plan de Continuidad de la Organización, entre otros.

3.3.7. Conclusiones de la Auditoría

La auditoría Física tiene como objetivo establecer cuáles son los puntos de quiebre que la institución debe cumplir para poder garantizar la seguridad física y Ambiental de la institución. Para lo cual se le recomienda:

Invertir en la seguridad Física y Ambiental, porque a la larga la institución se estaría ahorrando muchas pérdidas económicas como humanas dentro de los activos de la empresa. Para poder eliminar así las vulnerabilidades y riesgos que tengan nuestros activos ante cualquier evento Físico y Ambiental.

Los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia

Se debe proteger el equipo de amenazas físicas y ambientales.

La protección del equipo (incluyendo aquel utilizado fuera del local y la eliminación de propiedad) es necesaria para reducir el riesgo de acceso no-autorizado a la información y proteger contra pérdida o daño. Esto también se considera la ubicación y eliminación del equipo.

Se requieren controles especiales para proteger el equipo contra amenazas físicas, y salvaguardar los medios de soporte como el suministro eléctrico y la infraestructura del cableado

3.3.8. Recomendaciones y Hallazgos Tras la realización de la auditoría en la empresa se encontrados los principales problemas:

El primer problema encontrado ha sido que no tienen un plan estratégico definido y, por tanto, no tienen definidos claramente sus objetivos a largo plazo.

Otro problema detectado es que no existe un proceso para gestionar los riesgos, dejando a la improvisación las medidas que se adoptarían para solucionar una posible situación comprometida para la empresa. La inexistencia de este proceso puede afectar seriamente a la continuidad del negocio.

Se tiene conexiones eléctricas y de red inadecuadas, que podrían ocasionar un incendio.

Por último, destacar que la seguridad de la empresa merece una revisión, ya que

carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las

puertas para evitar el acceso de personal no autorizado, por ejemplo, a la sala de

servidores.