Date post: | 21-Oct-2015 |
Category: |
Documents |
Upload: | akatsuki32 |
View: | 130 times |
Download: | 5 times |
Auditoria Física Auditoria de Sistemas
Semana 14
2014
Ingeniería de sistemas e informática
01/01/2014
DOCENTE:
- Ms. Luis Ramírez Milla
INTEGRANTES:
- Rosa Licet Briones Vásquez
- Julio Rafael Olivos puente
- Heyller Oswaldo Reyes Aranda
CAPÍTULO I
DESCRIPCIÓN DE LA ORGANIZACIÓN
1.1. NOMBRE DE LA EMPRESA
“COMUNICACIONES CABLE FUTURO S.R.L”
1.2. NATURALEZA DE LA EMPRESA
La empresa COMUNICACIONES CABLE FUTURO se dedica a llevar señal de televisión
por cable, con una programación variada de canales nacionales e internacionales de
acuerdo a las exigencias del público televidente, comprometido en lograr la
satisfacción total del cliente a través de personal profesionalmente capacitado para
que brinde confianza y excelencia en el servicio. Nos encontramos presente en
Chimbote, Nuevo Chimbote, Casma, Coishco, Lambayeque, Cajamarca y seguimos
creciendo para llevarles cultura y entretenimiento a través de nuestra grilla de
televisión por cable.
1.3. UBICACIÓN GEOGRÁFICA
La empresa Comunicaciones Cable Futuro S.R.L se encuentra ubicado:
Departamento : Ancash
Provincia : Santa
Distrito : Nuevo Chimbote
Dirección : Urb. Bellamar Mz. I Lote. 8.
Teléfonos : (043)310894
Ruc : 20445694933
1.4. VISIÓN
“Alcanzar el liderazgo en televisión por Cable a nivel Nacional con capital 100%
peruano y mantener una relación con el cliente cercano y resolutivo, ofreciendo las
soluciones más innovadoras a los precios más accesibles y competitivos del mercado".
1.5. MISIÓN
“Ser líder en servicios de televisión a suscripción y comunicación para el mercado
residencial del interior del país, a través de alta tecnología y personal calificado
comprometido con la satisfacción de nuestros usuarios”.
1.6. VALORES
Honestidad y lealtad
Comunicación
Excelencia enfocada en el cliente
Trabajo en equipo
Liderazgo
1.7. FINALIDAD
Son fines de la empresa COMUNICACIONES CABLE FUTURO, las siguientes:
Brindar servicio de cable con canales de entretenimiento.
Promover el acceso a la información, cultura y entretenimiento.
1.8. OBJETIVOS
Ofrecer nuevos canales para entretener a los usuarios.
Disminuirlos costos de servicios.
Mantener e incrementar la cartera de clientes existentes.
Brindar un servicio eficiente y eficaz.
Aumentar la cobertura global de la empresa.
1.9. FUNCIONES GENERALES
Planificar integralmente el desarrollo local y el ordenamiento territorial, en el nivel
provincial.
Articular permanentemente los planes integrales de desarrollo distrital y los
presupuestos participativos.
Promover, apoyar y ejecutar proyectos de inversión y servicios públicos municipales
que presenten, objetivamente, externalidades o economías de escala de ámbito
provincial.
Emitir las normas técnicas generales, en materia de organización del espacio físico y
uso del suelo así como sobre protección y conservación del ambiente.
1.10. ORGANIGRAMA DE LA EMPRESA
ACCIONISTAS
GERENCIA GENERAL
DEPARTAMENTO
INFORMATICO LEGALES RECURSOS
HUMANOS
ADMINISTRACION
Y FINANZAS
CAPÍTULO II
MARCO TEÓRICO
2.1. AUDITORÍA FÍSICA
Hace referencia a todo elemento tangible que de una u otra manera interpreta o
permita el correcto funcionamiento del Centro de Procesamiento de Datos.
La Auditoria Física, se encarga de comprobar la existencia de los medios físicos así
como su funcionalidad, racionalidad y seguridad.
La Seguridad Física, garantiza la integridad de los activos humanos, logísticos y
materiales de un CPD.
No están claras los límites, dominios y responsabilidades de los tres tipos de seguridad
que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las
comunicaciones.
Se deben tener medidas para atender los riesgos de fallos, local o general.
2.2. ÁREAS DE LA SEGURIDAD FÍSICA
a) Instalaciones, edificación:
Dada la poca experticia del auditor Informático en este campo se deberá incluir un
perito que realice la evaluación correspondiente a la infraestructura física del
edificio, de tal manera que estos emiten sus conceptos y certifiquen las
condiciones generales dentro de los tópicos.
A tener en cuenta están:
Ubicación del edificio
Ubicación del CPD dentro del edificio
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios.
Inundaciones
El auditor informático debe interesarse de manera personal en:
b) Organigrama de la empresa:
Con el objetivo de conocer las dependencias orgánicas, funcionales y jerárquicas;
los diferentes cargos, separación de funciones y rotación del personal; da la
primera visión de conjunto del Centro de Proceso.
c) Auditoría Interna:
Deberán solicitarse los documentos de las auditorías anteriores,
normas, procedimientos y planes que sobre seguridad física se tengan al
departamento de auditoría o en su defecto al encargado de calidad.
d) Administración de la seguridad:
Vista desde una perspectiva que ampare las funciones, dependencias, cargos y
responsabilidades de los diferentes componentes:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de bases de datos.
Responsables de la seguridad activa y pasiva del entorno físico
Normas, procedimientos y planes existentes
e) CPD (Centro de Procesamiento de Datos) e Instalaciones:
Entorno en el que se encuentra incluso el CPD como elemento físico y en el que
debe realizar su función.
Las instalaciones son elementos, accesorios que deben ayudar a la realización de la
función informática y a la vez proporcionar seguridad a las personas, al software,
se deben inspeccionar entre otras:
Sala de Hosts
Sala de impresoras
Oficinas
Almacenes
Sala de acondicionamiento eléctrico
Aire Acondicionado
Áreas de descanso, etc.
f) Equipo y Comunicaciones:
Son los elementos principales del CPD: Hosts, terminales, computadores
personales, equipos de almacenamiento masivo de datos, impresoras, medios y
sistemas de telecomunicaciones.
Se debe inspeccionar su ubicación dentro del CPD y el control de acceso a los
elementos restringidos.
g) Computadores personales conectados en red:
Es preciso revisar la forma en que se llevan a cabo los BACK-UP’S, así como los
permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de
la red, se deben examinar los métodos y mecanismos de bloqueo al acceso de
información no autorizada, inspeccionando o verificando dichos accesos.
h) Seguridad física del personal:
Accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios y
sistemas de bloqueo de puertas y ventanas, normas y políticas emitidas y
distribuidas al personal referente al uso de las instalaciones por el personal, zonas
de descanso y servicios, etc.
2.3. FUENTES BÁSICAS DE LA AUDITORÍA FÍSICA
El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.
Políticas, normas y procedimientos.
Auditorías anteriores. (Generales y parciales referentes a la seguridad Física)
Contratos de seguros, proveedores y de mantenimiento.
Entrevistas con el personal de seguridad, personal informático, personal de
limpieza, etc.
Actas e informes técnicos de peritos que diagnostiquen el estado físico del edificio,
electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc.
Informes de accesos y visitas.
Políticas de personal: Revisión de antecedentes personales y laborales,
procedimientos de cancelación de contratos, rotación en el trabajo, contratos fijos,
y temporales.
Inventario de archivos: físicos y magnéticos: back-up, procedimiento de archivo,
control de salida y recuperación de soportes, control de copias, etc.
2.4. TÉCNICAS Y HERRAMIENTAS DEL AUDITOR
TÉCNICAS
Observación de las instalaciones, sistemas, cumplimiento de normas y
procedimientos, etc. (tanto de espectador como actor)
Revisión analítica de:
Documentación sobre construcción y preinstalaciones
Documentación sobre seguridad física
Políticas y normas de actividad de sala
Normas y procedimientos sobre seguridad física de los datos
Contratos de seguros y de mantenimiento
Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)
Consultas a técnicos y peritos que formen parte de la plantilla o independientes
HERRAMIENTAS
Cuaderno y/o grabadora de audio.
Cámara fotográfica y/o grabadora de video (Su uso debe ser discreto y con
autorización)
2.5. FASES DE LA AUDITORIA FISICA
Considerando la metodología de ISACA (Asociación de Auditoría y Control de Sistemas
de Información):
Fase 1: Alcance de la Auditoria
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria informática, se completa con los objetivos de ésta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidos.
Fase 2: Adquisición de información General
Esta fase se asienta el estudio preliminar a la empresa y la determinación de la
problemática que inviste la entidad. En esta fase se enmarca la acción de realizar
una verificación de los procedimientos, políticas, suministro, materiales y
programas y otros requerimientos que son importantes para el examen.
Fase 3: Administración y Planeación
Una planificación adecuada es el primer paso necesario para realizar auditorías
Informática eficaces a la Seguridad. El auditor de sistemas debe comprender el
ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos
del negocio y control asociado.
Fase 4: Plan de Auditoria
El Plan de Auditoría es la elaboración de una serie de pasos a seguir elaborados
conforme a la necesidad del auditor, requerimiento del examen y la distribución de
actividades.
Fase 5: Resultados de las Pruebas
Luego de la aplicación de los planes de auditoría se determinara el resultado de la
aplicación de Métodos y Técnica que lanzaran resultados que posibilitara el análisis
y la interpretación de la información. Este resultado tendrá un sustento en los
hallazgos.
Fase 6: Conclusiones y Comentarios
En base a los resultados obtenidos en la aplicación de Métodos de Investigación
posibilitara en determinar una conclusión coherente en base a los hallazgos y la
verificación realizada.
Fase 7: Borrador del Informe
Es el documento emitido por el Auditor como resultado final de su examen, incluye
información suficiente sobre Observaciones, Conclusiones de hechos significativos,
así como Recomendaciones constructivos para superar las debilidades en cuanto a
políticas, procedimientos, cumplimiento de actividades y otras.
Fase 8: Discusión con los Responsables de Area
Con el personal responsable se determinara la ocurrencia del hecho que causa
errores en el cumplimiento de las actividades diarias. En esta fase se determina el
cumplimiento de las funciones de cada funcionario la se encuentra, además los
avances que cada uno de ellos han tenido.
Fase 9: Informe Final
Constituye la etapa final del proceso de Auditoria, en el mismo se recogen todos
los hallazgos detectados y el sustentáculo documental para sustentar el dictamen
emitido.
Fase 10: Seguimiento de las Modificaciones acordadas
2.6. ESTRUCTURA GENERAL ISO/IEC 27002:2005:
ISO / IEC 27002:2005 establece los lineamientos y principios generales para iniciar,
implementar, mantener y mejorar la gestión de seguridad de la información en una
organización. Los objetivos descritos proporcionan una guía general sobre los objetivos
comúnmente aceptados de gestión de seguridad de información. ISO / IEC 27002:2005
contiene las mejores prácticas de los objetivos de control y controles en las siguientes
áreas de gestión de seguridad de la información:
la política de seguridad;
organización de la seguridad de la información;
gestión de activos;
la seguridad de los recursos humanos;
física y la seguridad del medio ambiente;
las comunicaciones y la gestión de las operaciones;
control de acceso;
adquisición de sistemas de información, desarrollo y mantenimiento;
gestión de incidentes de seguridad de la información;
gestión de la continuidad del negocio;
cumplimiento.
Los objetivos de control y controles de la norma ISO / IEC 27002:2005 están destinados
a ser implementado para cumplir con los requisitos identificados por una evaluación
de riesgos.
ISO / IEC 27002:2005 pretende ser una base común y guía práctica para el desarrollo
de los estándares de seguridad de la organización y prácticas eficaces de gestión de la
seguridad, y para ayudar a construir la confianza en las actividades interinstitucionales.
2.7. DESCRIPCIÓN DE LOS DOMINIOS Y SUS OBJETIVOS
Políticas de Seguridad
Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y
regulaciones relevantes.
Aspectos Organizativos de la Seguridad de la Información
Manejar la seguridad de la información dentro de la organización.
Gestión de Activos
Lograr y mantener una apropiada protección de los activos organizacionales.
Seguridad Ligada a los Recursos Humanos
Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idóneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
Asegurar que los usuarios empleados, contratistas y terceras personas estén
al tanto de las amenazas e inquietudes de la seguridad de la información, sus
responsabilidades y obligaciones, y estén equipadas para apoyar la política
de seguridad organizacional en el curso de su trabajo normal, y reducir el
riesgo de error humano.
Asegurar que los usuarios empleados, contratistas y terceras personas salgan
de la organización o cambien de empleo de una manera ordenada.
Seguridad Física y del Entorno o Ambiente
Evitar el acceso físico no autorizado, daño e interferencia con la información
y los locales de la organización.
Gestión de Comunicaciones y Operaciones
Asegurar la operación correcta y segura de los medios de procesamiento de
la información.
Implementar y mantener el nivel apropiado de seguridad de la información y
la entrega del servicio en línea con los acuerdos de entrega de servicios de
terceros.
Minimizar el riesgo de fallas en el sistema.
Proteger la integridad del software y la integración
Mantener la integridad y disponibilidad de la información y los medios de
procesamiento de información
Asegurar la protección de la información en redes y la protección de la
infraestructura de soporte.
Evitar la divulgación no-autorizada; modificación, eliminación o destrucción
de activos; y la interrupción de las actividades comerciales
Mantener la seguridad en el intercambio de información y software dentro
de la organización y con cualquier otra entidad externa
Asegurar la seguridad de los servicios de comercio electrónico y su uso
seguro.
Detectar las actividades de procesamiento de información no autorizadas.
Control de Acceso
Controlar el acceso a la información
Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a
los sistemas de información.
Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la
información y evitar el robo de información y los medios de procesamiento
de la información.
Evitar el acceso no autorizado a los servicios de la red
Evitar el acceso no autorizado a los sistemas operativos.
Asegurar la seguridad de la información cuando se utiliza medios de
computación y tele-trabajo móviles
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Garantizar que la seguridad sea una parte integral de los sistemas de
información.
Prevenir errores, pérdida, modificación no autorizada o mal uso de la
información en las aplicaciones
Proteger la confidencialidad, autenticidad o integridad a través de medios
criptográficos
Garantizar la seguridad de los archivos del sistema
Mantener la seguridad del software y la información del sistema de
aplicación
Reducir los riesgos resultantes de la explotación de las vulnerabilidades
técnicas publicadas
Gestión de Incidentes en la Seguridad de la Información
Asegurar que los eventos y debilidades de la seguridad de la información
asociados con los sistemas de información sean comunicados de una manera
que permita que se realice una acción correctiva oportuna.
Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los
incidentes en la seguridad de la información
Gestión de la Continuidad del Negocio
Contraatacar las interrupciones a las actividades comerciales y proteger los
procesos comerciales críticos de los efectos de fallas importantes o desastres
en los sistemas de información y asegurar su reanudación oportuna.
Cumplimiento
Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o
contractual; y cualquier requerimiento de seguridad
Asegurar el cumplimiento de los sistemas con las políticas y estándares de
seguridad organizacional.
Maximizar la efectividad de recuraos informáticos y minimizar la
interferencia desde/hacia el proceso de auditoría del sistema de información.
2.8. SEGURIDAD FÍSICA Y DEL ENTORNO O AMBIENTE
2.8.1. ÁREAS SEGURAS
Evitar el acceso físico no autorizado, daño e interferencia con la información y
los locales de la organización.
2.8.1.1. Perímetro de Seguridad Física
Control 1: Se deben utilizar perímetros de seguridad (barreras
tales como paredes, rejas de entrada controladas por tarjetas o
recepcionistas) para proteger las áreas que contienen
información y medios de procesamiento de información.
2.8.1.2. Controles de Ingreso Físico
Control 2: Las áreas seguras son protegidas mediante controles
de ingreso apropiados para asegurar que sólo se le permita el
acceso al personal autorizado.
2.8.1.3. Asegurar las Oficinas, Habitaciones y Medios
Control 3: Se diseña y aplica la seguridad física para las
oficinas, habitaciones y medios.
2.8.1.4. Protección contra Amenazas Externas e Internas
Control 4: Se asigna y aplica protección física contra daño por
fuego, inundación, terremoto, explosión, revuelta civil y otras
formas de desastres naturales o causados por el hombre.
2.8.1.5. Trabajo en Áreas Aseguradas
Control 5: Se diseña y aplica la protección física y los
lineamientos para trabajar en áreas aseguradas.
2.8.1.6. Áreas de Acceso Público, Entrega y Carga
Control 6: Se controlar los puntos de acceso como las áreas de
entrega y carga y otros puntos por donde personas no-
autorizadas puedan ingresar al local y, se aísla de los medios de
procesamiento de información para evitar el acceso no
autorizado.
2.8.2. EQUIPO DE SEGURIDAD
Se evita pérdida, daño, robo o compromiso de los activos y la interrupción de
las actividades de la organización.
2.8.2.1. Ubicación y Protección del equipo
Control 7: Se ubica o protege el equipo para reducir las
amenazas y peligros ambientales y oportunidades para acceso
no autorizado.
2.8.2.2. Servicios Públicos de Soporte
Control 8: Se protege el equipo de fallas de energía y otras
interrupciones causadas por fallas en los servicios públicos de
soporte. Las opciones para lograr la continuidad de los
suministros de energía incluyen múltiples alimentaciones para
evitar que una falla en el suministro de energía
2.8.2.3. Seguridad del Cableado
Control 9: El cableado de la energía y las telecomunicaciones
que llevan la data o dan soporte a los servicios de información
debieran protegerse contra la intercepción o daño.
2.8.2.4. Mantenimiento de Equipo
Control 10: Se debiera mantener correctamente el equipo para
asegurar su continua disponibilidad e integridad.
2.8.2.5. Seguridad del Equipo fuera del Local
Control 11: Se debiera aplicar seguridad al equipo fuera del
local tomando en cuenta los diferentes riesgos de trabajar
fuera del local de la organización. El equipo de
almacenamiento y procesamiento de la información incluye
todas las formas de computadoras personales, organizadores,
teléfonos móviles, tarjetas inteligentes u otras formas que se
utilicen para trabajar desde casa o se transporte fuera de local
normal de trabajo.
2.8.2.6. Seguridad de la Eliminación o Re uso del Equipo
Control 12: Se debieran chequear los ítems del equipo que
contiene medios de almacenaje para asegurar que se haya
retirado o sobre-escrito cualquier data confidencial o licencia
de software antes de su eliminación. Los dispositivos que
contienen data confidencial pueden requerir una evaluación
del riesgo para determinar si los ítems debieran ser físicamente
destruidos en lugar de enviarlos a reparar o descartar.
2.8.2.7. Retiro de Propiedad
Control 13: El equipo, información o software no debiera
retirarse sin autorización previa. También se pueden realizar
chequeos inesperados para detectar el retiro de propiedad,
dispositivos de grabación no-autorizados, armas, etc., y evitar
su ingreso al local. Estos chequeos inesperados debieran ser
llevados a cabo en concordancia con la legislación y
regulaciones relevantes. Las personas debieran saber que se
llevan a cabo chequeos inesperados, y los chequeos se
debieran realizar con la debida autorización de los
requerimientos legales y reguladores.
CAPÍTULO III
DESCRIPCIÓN DE LA AUDITORIA
3.1. Objetivos de la Auditoria
3.1.1. Objetivo General
Verificar la Suficiencia y cumplimiento de todos los parámetros de seguridad
tanto física según ISO/IEC 27002:2005 con el ítem de Seguridad Física.
3.1.2. Objetivos Específicos
Realizar una entrevista con la mayor autoridad para solicitar la
autorización del desarrollo de la Auditoria.
Realizar una visita a la empresa para revisar su infraestructura.
Revisión mediante la observación directa del auditor.
Evaluar la infraestructura en pro de la seguridad empresarial.
Realización de listas de verificación para evaluar el desempeño de la
empresa en seguridad de la información.
Realizar las debidas recomendaciones para realizar el mejoramiento de la
seguridad de la empresa.
3.2. Técnicas para reunir Evidencias de la Auditoría
3.2.1. Entrevista
Se realizaron las siguientes entrevistas:
Entrevista con la Gerencia.
Entrevista con el Jefe de Informática:
o Sobre los planes de TI.
o Sobre la gestión de riesgos.
o Sobre la administración de sistemas.
ENTREVISTA CON LA GERENCIA Objetivo: Conocer el plan estratégico de la organización y el grado de compromiso de la gerencia con la utilización de nuevas tecnologías. Fragmentos de la entrevista:
Auditor Gerente
1. ¿Cree que la tecnología puede serle útil para alcanzar sus objetivos?
Sí, por eso tenemos contratado un ingeniero de sistemas que se encargan de que la tecnología esté siempre a punto.
2. ¿Tienen prevista alguna inversión en tecnología para mejorar sus procesos o la calidad de los servicios que ofrecen?
El ingeniero quiere que encarguemos el desarrollo de una página Web y de un sistema que automatice todos nuestros procesos, pero eso supone una inversión que por el momento no tenemos previsto afrontar porque estamos obteniendo resultados positivos pero nose descarta la posibilidad en un futuro.
3. ¿Dan libertad al departamento de informática para comprar el software o el hardware que crean conveniente?
La oficina de informática antes de hacer cualquier compra lo comunican a la gerencia para que demos el visto bueno y el presupuesto. Si nosotros vemos que necesitamos algo que tenga que ver con la informática.
Síntesis de la entrevista: La gerencia cree que la tecnología les puede ser útil, pero no quieren afrontar ningún proyecto de gran envergadura. Para ella es suficiente con el trabajo del ingeniero. La gerencia no da libertad al departamento de informática para que compre lo que crea necesario. Cualquier compra debe ser aprobada por la gerencia y presupuestada.
ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LOS PLANES DE TI Objetivo: Conocer los planes a corto y largo plazo en cuanto a tecnologías de la información y los planes de infraestructura tecnológica. Fragmentos de la entrevista:
Auditor Jefe de Informática
1. ¿Cómo valora sus sistemas de información actuales?, ¿está contento con ellos?
Todos nuestros sistemas no son muy potentes. Pero, con ellos estamos contentos porque estamos obteniendo resultados positivos.
2. ¿Tienen algún plan de tecnología para el futuro?
Nuestro objetivo es que todo se haga automáticamente, desde que un cliente solicita el servicio hasta que este realice sus pagos mensuales oportunamente, desde la comodidad de su hogar. También creemos necesario una página Web que tenga un diseño agradable para nuestros clientes y trabajadores.
3. ¿Qué opina la gerencia de esa futura inversión?
La gerencia está contenta porque las cosas están funcionando bien, así que por el momento no quieren invertir en sistemas de información pero no descartan la posibilidad. Pero yo creo que esa inversión va a ser necesaria a futuro si queremos seguir en el mercado.
Síntesis de la entrevista: A pesar de no tener redactado un plan de sistemas de información, el entrevistado ha expresado que dentro de poco tiempo van a necesitar cambiar sus sistemas de información para seguir siendo competitivos y alcanzar una cuota de mercado mayor. La idea del jefe de informática es:
Tener una página Web que tenga un diseño agradable y que cumpla con los estándares de usabilidad.
Disponer de unos sistemas de información que automaticen todos sus procesos. El entrevistado ha expresado que el desarrollo de los nuevos sistemas de información a cargo de una empresa externa supone una inversión importante y que la gerencia no quiere asumir el costo de dicha inversión a corto pero que no descarta que se tome en cuenta a mediano plazo.
ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LA GESTIÓN DE RIESGOS Objetivo: Conocer las políticas y procedimientos relacionados con la evaluación de riesgos. Conocer los seguros que cubren los riesgos. Fragmentos de la entrevista:
Auditor Jefe de Informática
1. ¿Tienen un documento de gestión de riesgos o algún proceso establecido para gestionarlos?
Los riesgos no están especificados en ningún sitio, pero este plan de riesgos se está elaborando para evitar futuras perdidas de información.
2. ¿Qué ocurriría si ahora mismo si se diera alguno de los riesgos? ¿Cómo reaccionaría?
Intentaríamos valorar el alcance de la situación y estudiar la mejor manera de solucionarlo pero ya que no contamos con un plan de riesgos y tendríamos que requerir de una persona externa para solucionar el problema claro está que dicha persona tendría que ser especialista en riesgos informáticos.
3. ¿Han contratado algún seguro para proteger los sistemas ante posibles pérdidas causadas por robos o desastres naturales?
No contamos con ningún seguro pero se ve que sería necesario ya que contamos con sistemas especiales que están valorizados en un presupuesto alto así que no es una opción perderlos sea cual sea la situación.
Síntesis de la entrevista: No hay ningún documento sobre gestión de riesgos, pero el jefe del departamento de informática tiene claros cuáles son los principales riesgos a los que están expuestos. El principal riesgo identificado es la caída del servidor. Si el servidor falla, se podría perder información valiosa. Para intentar disminuir la probabilidad del riesgo, cuenta con copias de seguridad alojadas en un disco duro. Otro riesgo identificado es la pérdida de los datos del servidor. Los datos del servidor se pueden perder debido a que algún empleado de la empresa o alguien ajeno a la misma los borre o debido a que se estropee el soporte en el que se almacenan. Para evitarlo, el administrador hace copias de seguridad de los datos a menudo. Dichas copias se almacenan en un disco duro externo. Otra cuestión que preocupa al entrevistado es el robo del servidor. Piensa que si alguien logra el acceso a la habitación del servidor y roba el servidor, la empresa quedaría un tiempo sin funcionar hasta que se comprase un equipo nuevo. La habitación del servidor no es 100% segura No hay ninguna póliza de seguros contratada que cubra pérdidas en cuanto a sistemas de información. El entrevistado lo considera necesario.
ENTREVISTA CON EL JEFE DE INFORMÁTICA SOBRE LA ADMINISTRACION DE SISTEMAS
Objetivo: Conocer el plan de continuidad de la empresa respecto a los servicios informáticos. Fragmentos de la entrevista:
Auditor Jefe de Informática
1. ¿Qué ocurriría si en un momento determinado se cayera o deteriorara el servidor?
Sería un problema grande ya que en la empresa solo contamos con un servidor, pero tal vez la ventaja es que contamos con una copia de respaldo que se realiza semanal en un disco duro aunque claro de todas maneras habría perdida de información pero no sería tan abrumador.
2. Respecto al almacenamiento de datos, ¿Existe algún salvado de los datos que tiene la empresa?
Si, se realizan copias de seguridad, almacenando la información que tiene el sistema en un disco duro externo.
3. En caso de ocurrir algún problema en el servicio técnico, ¿Se resolvería con facilidad?
Efectivamente, el departamento de informática está formado por un ingeniero y dos técnicos capacitados para ello.
Síntesis de la entrevista: De la entrevista realizada al administrador de sistemas se puede concluir que no existe un plan de continuidad probado. Esto ocasiona una alta peligrosidad debido a que la empresa necesita continuidad en los servicios informáticos, puesto que en ellos se basa la productividad y la obtención de beneficios. Un riesgo importante que podría acechar a la continuidad del servicio es la caída o deterioro del servidor. La continuidad también podría dañarse si se sufriera un borrado de datos de la empresa. Como alternativa a este suceso, la administración de sistemas confía en la recuperación de datos con ayuda de un disco duro externo. Respecto a los riesgos que pueden producirse y ocasionar interrupciones en el desarrollo del mercado, el administrador de sistemas justifica que cualquier hecho que afecte a la continuidad del servicio será resuelto por el ingeniero o uno de los técnicos que componen dicho departamento. Además, en la entrevista se deduce que no existe un documento que enumere los riesgos ocurridos con el fin de minimizar el tiempo de retraso y garantizar una mayor continuidad.
3.2.2. Observación
Para ello el equipo de trabajo manejo una lista de Verificación con las
características con la que debería contar la institución para poder cumplir la
ISO/IEC 27002:2005.
Control 1: Perímetro de Seguridad Física
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
Perímetros de seguridad debieran estar claramente definidos
(de acuerdo a los riesgos que los activos tengan) *
Las paredes externas del local son una construcción sólida y
todas las puertas externas están adecuadamente protegidas
contra accesos no autorizados mediante mecanismos de control
*
Las puertas y ventanas quedan aseguradas cuando están
desatendidas y se debiera considerar una protección externa
para las ventas, particularmente en el primer piso
*
Cuentan con un área de recepción con un(a) recepcionista u
otros medios para controlar el acceso físico al local o edificio; el
acceso a los locales y edificios están restringidos solamente al
personal autorizado
*
Cuando sea aplicable, se elaboran las barreras físicas para
prevenir el acceso físico no autorizado *
Todas las puertas de emergencia en un perímetro de seguridad
cuentan con alarma en concordancia con los adecuados
estándares regionales, nacionales e internacionales
*
Operar en concordancia con el código contra-incendios local de
una manera totalmente segura
*
Existen sistemas de detección de intrusos según estándares y
son probados regularmente para abarcar todas las puertas
externas y ventanas accesibles; las áreas no ocupadas cuentan
con alarma en todo momento; por ejemplo el cuarto de
cómputo o cuarto de comunicaciones
*
Los medios de procesamiento de información manejados por la
organización están físicamente separados de aquellas
manejadas por terceros
*
Control 2: Controles de Ingreso Físico
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
Llevar un registro de la fecha y la hora de entrada y salida de los
visitantes, y todos los visitantes debieran ser supervisados a no
ser que su acceso haya sido previamente aprobado
*
El acceso a áreas donde se procesa o almacena información
sensible se controla y restringe sólo a personas autorizadas;
utilizando controles de autenticación
*
Los derechos de acceso a áreas seguras son revisados y
actualizados regularmente, y revocados cuando sea necesario *
Al personal de servicio de apoyo de terceros se le otorga acceso
restringido a las áreas seguras o los medios de procesamiento
de información confidencial, solo cuando sea necesario; este
acceso es autorizado y monitoreado
*
Control 3: Asegurar las Oficinas, Habitaciones y Medios
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
Se tiene en cuenta los estándares y regulaciones de sanidad y
seguridad relevantes *
Se debieran localizar los medios claves para evitar el acceso del
público *
Los directorios y teléfonos internos que identifiquen la
ubicación de los medios de procesamiento de la información no
están accesibles al público
*
Control 4: Protección contra Amenazas Externas e Internas
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
Sólo el personal de mantenimiento autorizado llevara a cabo las
reparaciones y dar servicio al equipo *
Mantienen registros de todas las fallas sospechadas y reales, y
todo mantenimiento preventivo y correctivo *
Implementan los controles apropiados cuando se programa el
equipo para mantenimiento, tomando en cuenta si su
mantenimiento es realizado por el personal en el local o fuera
de la organización; cuando sea necesario, se revisa la
información confidencial del equipo, o se verifica al personal de
mantenimiento
*
Cumple con todos los requerimientos impuestos por las pólizas
de seguros *
Control 5: Trabajo en Áreas Aseguradas
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
El equipo y medios sacados del local nunca son dejados
desatendidos en lugares públicos *
Se observa en todo momento las instrucciones de los
fabricantes para proteger el equipo; por ejemplo, protección
contra la exposición a fuertes campos electromagnéticos
*
Se determinan controles para el trabajo en casa a través de una
evaluación del riesgo y los controles apropiados conforme sea
apropiado
*
Se cuenta con un seguro adecuado para proteger el equipo
fuera del local *
Control 6: Áreas de Acceso Público, Entrega y Carga
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
Los dispositivos que contienen información confidencial son
físicamente destruidos o se destruye, borra o sobre escribe la
información utilizando técnicas que hagan imposible recuperar
la información original, en lugar de simplemente utilizar la
función estándar de borrar o formatear
*
Control 7: Ubicación y Protección del equipo
Ítem a Evaluar
Cu
mp
le
No
Cu
mp
le
No se retira equipo, información o software sin autorización
previa *
Los usuarios empleados, contratistas y terceras personas que
tienen la autoridad para permitir el retiro de los activos fuera
del local están claramente identificados
*
Se establecen límites de tiempo para el retiro del equipo y se
realizan un chequeo de la devolución *
Cuando sea necesario y apropiado, el equipo es registrado
como retirado del local y se registra su retorno *
3.3. Informe de la Auditoría
3.3.1. Alcance de la Auditoría
Todas las oficinas del ambiente de la empresa “COMUNICACIONES CABLE FUTURO S.R.L.” Ubicada en Urb. Bellamar Mz. I Lote. 8. Nuevo Chimbote
3.3.2. Cliente:
Gerente General. Víctor Hugo Zumarán Álvarez
Sub Gerente. Wilmer Segundo Zavaleta Tolentino
3.3.3. Líder del Equipo
Rosa Briones Vásquez
Julio Olivos Puente
Heyller Reyes Aranda
3.3.4. Actividades Realizadas
Actividad Fecha
Realizar una entrevista con la mayor autoridad para solicitar la autorización del desarrollo de la Auditoria.
28/10/2013
Realizar una visita a la empresa para revisar su infraestructura. Revisión mediante la observación directa del auditor
20/11/2013
Evaluar la infraestructura en pro de la seguridad empresarial 09/12/2013
Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información
30/12/2013
Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía
06/01/2014
3.3.5. Criterios de la Auditoria
Compromiso de la alta gerencia.
Control de acceso. En una infraestructura de este tipo siempre tenemos que tener el control del tiempo para accesos restringidos.
Pruebas de mecanismos de detección y alarma.
Extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento.
Acceso de mercancías y personal de proveedores.
Ausencia de seguridad perimetral o seguridad perimetral insuficiente.
Gestión de energía. En estos centros se consume grandes cantidades de energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente, y que en el peor de los casos, el suministro pueda ser establecido por medios alternativos.
3.3.6. Hallazgos de la Auditoría: Según ISO/IEC 27002:2005
Utilizando el ISO ya nombrado se utilizó una lista de verificación donde se encontraban las características de los controles para así determinar que insuficiencias tenía la organización. Como se observa en las entrevistas realizadas, existe un poco de desinterés de parte de la alta gerencia en poder implantar una mayor seguridad en su institución, teniendo como su máxima barrera la economía, pero esto a la larga le generará una mayor perdida. Esto se observa también cuando no existen documentos administrativos como el Plan Operativo Institucional, Plan estratégico Institucional, Plan de Contingencia, Plan de Continuidad de la Organización, entre otros.
3.3.7. Conclusiones de la Auditoría
La auditoría Física tiene como objetivo establecer cuáles son los puntos de quiebre que la institución debe cumplir para poder garantizar la seguridad física y Ambiental de la institución. Para lo cual se le recomienda:
Invertir en la seguridad Física y Ambiental, porque a la larga la institución se estaría ahorrando muchas pérdidas económicas como humanas dentro de los activos de la empresa. Para poder eliminar así las vulnerabilidades y riesgos que tengan nuestros activos ante cualquier evento Físico y Ambiental.
Los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia
Se debe proteger el equipo de amenazas físicas y ambientales.
La protección del equipo (incluyendo aquel utilizado fuera del local y la eliminación de propiedad) es necesaria para reducir el riesgo de acceso no-autorizado a la información y proteger contra pérdida o daño. Esto también se considera la ubicación y eliminación del equipo.
Se requieren controles especiales para proteger el equipo contra amenazas físicas, y salvaguardar los medios de soporte como el suministro eléctrico y la infraestructura del cableado
3.3.8. Recomendaciones y Hallazgos Tras la realización de la auditoría en la empresa se encontrados los principales problemas:
El primer problema encontrado ha sido que no tienen un plan estratégico definido y, por tanto, no tienen definidos claramente sus objetivos a largo plazo.
Otro problema detectado es que no existe un proceso para gestionar los riesgos, dejando a la improvisación las medidas que se adoptarían para solucionar una posible situación comprometida para la empresa. La inexistencia de este proceso puede afectar seriamente a la continuidad del negocio.
Se tiene conexiones eléctricas y de red inadecuadas, que podrían ocasionar un incendio.
Por último, destacar que la seguridad de la empresa merece una revisión, ya que
carece de solides, por lo que no existe alarma antirrobo ni de cerraduras en las
puertas para evitar el acceso de personal no autorizado, por ejemplo, a la sala de
servidores.