You are on page 1of 13

Diseño de Reporte de Auditoría

A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma
ISO 17799 que genera el sistema.

REPORTE DE CUMPLIMIENTO
ISO 17799
UNIDAD AUDITADA
Dirección de tecnología y Comunicaciones

Dirigido a: Auditoría Externa, por encargo de la unidad de tecnología y comunicaciones de dicha
Institución.
Hemos examinado el nivel de conformidad con la norma de seguridad informática ISO 17799, que
comprende una guía de recomendaciones a evaluar en los sistemas de información. Nuestra
responsabilidad es expresar una opinión objetiva sobre la situación actual en términos de seguridad
informática, basada en el trabajo realizado de acuerdo con la norma ISO 17799, que incluyen el
examen y evidencia justificativa de los resultados.
Universidad Francisco Gavidia, San Salvador, El Salvador, ocho de Junio de dos mil cinco.

Firmado: Carlos Hernández López
Todos los derechos reservados

139

mostrando la calificación de cada control de la norma ISO 17799. basado en los niveles de conformidad con la norma ISO 17799 VIII. I. a través del papel de trabajo. Observaciones Comentarios y observaciones adicionales respecto a la evaluación IX. V. 140 . Recomendaciones Sugerencias que el sistema determina. VII. Resumen de la evaluación Resumen de los resultados obtenidos por área. Introducción de reporte Breve introducción sobre la norma ISO 17799 II. Conclusiones Conclusiones finales de la evaluación X. VI. III. Dictamen Resolución del nivel de conformidad con la norma ISO 17799. Resultados del Examen. Objetivo Descripción del objetivo que persigue la presente evaluación. Alcance Definición de los elementos abordar en este informe IV.Tabla de Contenidos Las siguientes secciones han sido incluidas en el reporte. Gráfica Representación gráfica de los niveles de conformidad por área. Preguntas y Respuestas Detalle de la evaluación realizada.

para ponerlas en mejor situación ante el entorno de intercambio de información europeo y mundial por necesidades de negocio. las personas y la sociedad. Introducción ISO/IEC 17799 La norma ISO/IEC 17799 tiene su origen en una Norma Británica BS7799. tras unos cambios menores el estándar fue aprobado y publicado el 1 de Diciembre de 2000 como ISO/IEC 17799:2000. sus productos y servicios. se incorporen más fácil y eficientemente a la sociedad de la información.I. Pretende mejorar la competitividad de estas compañías optimizando su seguridad. Objetivos • Evaluar los accesos físicos en la unidad de tecnología y comunicaciones • Conocer la efectividad de la seguridad lógica de los accesos a la red local • Verificar la seguridad de los sistemas web internos III. La votación internacional fue cerrada en Agosto de 2000. mejorar los productos y los servicios que dan a las empresas. La parte 1 de la norma fue propuesta como un estándar ISO en Octubre de 1999. funcionamiento. En Octubre de 2000. II. Pretende también promover servicios mejorados para que las empresas españolas e incluso los ciudadanos. especialmente a aquellas que trabajan en comunicaciones y relacionadas. y recibió la mayoría de votos requeridos. que fue elevada a estándar internacional en el año 2000. Alcance • Los sistemas de información de la unidad de tecnología y comunicaciones 141 . Su resultado más visible será mejorar estas empresas individualmente y como sector. que son en síntesis información y comunicación. El origen del BS 7799 se remonta a la fundación del Commercial Computer Security Centre (organismo dependiente del Departamento de Comercio e Industria del Reino Unido) en 1987. La Norma va dirigida a organizaciones del mundo que utilizan las tecnologías de la Información para conseguir sus objetivos. y en consecuencia.

Nombre de área: Seguridad Organizacional Porcentaje de cumplimiento: 12% Calificación: Falla Gravemente Objetivo: Administrar la seguridad de la información dentro de la organización. El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con respecto a la seguridad de la información. Política de Seguridad 2. Resumen de la evaluación % Conformidad Area 1. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización. Clasificación y Control de Activos 20% 12% 20% Nombre de área: Política de Seguridad Porcentaje de cumplimiento: 20% Calificación: Deficiente Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información. Nombre de área: Clasificación y control de activos Porcentaje de cumplimiento: 20% Calificación: Deficiente Objetivo: Mantener una adecuada protección de los activos de la organización.IV. Seguridad Organizacional 3. 142 . mediante la formulación y mantenimiento de una política de seguridad de la información a través de toda la organización.

Recomendaciones Las medidas que se deben adoptar para fortalecer las debilidades encontradas por áreas de la norma ISO 17799. Dictamen DICTAMEN CON OPINIÓN NEGATIVA O ADVERSA Hemos efectuado un examen a la unidad de tecnología y comunicaciones de la UFG. Gráfica VI. iniciando con definir un responsable. Se determina que el nivel de conformidad de la norma ISO 17799 Falla Gravemente. 143 . son las que a continuación se detallan: • Política de Seguridad: Se recomienda la elaboración del documento de política de seguridad. al 06 de junio de 2005 y a los sistemas de información especificados en el objetivo y alcance de este informe. Crear un plan de creación de la política.V. además integrar a las diferentes unidades donde se llevan a cabo procesos de sistemas de información. representando un 20% de conformidad. VII.

• Seguridad Organizacional: Se recomienda la elaboración del documento de política de seguridad. VIII. publicado y comunicado de forma apropiada. se menciono que esta en desarrollo. el seguimiento será por parte del comite de gestión de seguridad informática de la UFG. Resultado del examen. además integrar a las diferentes unidades donde se llevan a cabo procesos de sistemas de información. Conclusiones Se concluye creando el compromiso de llevar a cabo las recomendaciones hechas en este informe. iniciando con definir un responsable. Observaciones Finales: Realizado Por Revisado Por Autorizado Por X. Crear un plan de creación de la política. IX.1 ¿Existe publicado un documento de políticas. Observaciones No existen observaciones. • Clasificación y control de activos: Se recomienda la elaboración del documento de política de seguridad. a todos los empleados? RespuestaJustificación No Se confirmo con el Director de Tecnología y comunicaciones la no existencia de este documento. además integrar a las diferentes unidades donde se llevan a cabo procesos de sistemas de información. Archivo Adjunto Ninguno 144 . aprobado por la dirección. pero que no sabe con exactitud cuando estaría lista.Política de Seguridad 1. Crear un plan de creación de la política. iniciando con definir un responsable. Preguntas y respuestas 1.

1. debido a que carecen de este documento. Diseño de Cuestionario de Cumplimiento ISO17799 A continuación se presenta la plantilla de los cuestionarios que se elaboran a través del sistema Universidad Francisco Gavidia Norma Técnica de Seguridad Informática ISO 17799 A. Introducción: El presente cuestionario ha sido desarrollado para llevar a cabo la evaluación de controles al área 145 . debido a que carecen de este documento. Ninguno 2.2 ¿Es la política publicada revisada regularmente y sobre todo en caso de cambios influyentes? Archivo Adjunto RespuestaJustificación No Esta respuesta esta relacionada con el control anterior. publicado y comunicado de forma apropiada. aprobado por la dirección. Ninguno Todos los derechos reservados. pero que no sabe con exactitud cuando estaría lista.Seguridad Organizacional 1. se menciono que esta en desarrollo. a todos los empleados? Archivo Adjunto RespuestaJustificación No Se confirmo con el Director de Tecnología y comunicaciones la no existencia de este documento. Ninguno 1.1 ¿Existe publicado un documento de políticas.2 ¿Es la política publicada revisada regularmente y sobre todo en caso de cambios influyentes? Archivo Adjunto RespuestaJustificación No Esta respuesta esta relacionada con el control anterior.

aprobado por la dirección.1 ¿Existe publicado un documento de políticas. B. Alcance: Esta evaluación no es de carácter formal. Cuerpo del Cuestionario No. D. Objetivo: Conocer el nivel de seguridad en los procesos de desarrollo de sistemas internos.de Administración Académica en las áreas de desarrollo de sistemas y accesos físicos. No se presentarán resultados a la alta dirección. publicado y comunicado de forma apropiada. es para autoevaluar la unidad. la elaboración de manuales técnicos y además la seguridad física para el ingreso de persona no autorizadas en esta unidad.Política de seguridad Pregunta 1. a todos los empleados? Parcialmente No Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 146 . Área 1 Política de seguridad 2 Organización de la seguridad 3 Clasificación y control de activos 4 Seguridad del personal 5 Seguridad física y ambiental 6 Gestión de comunicaciones y operaciones 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Administración de la continuidad de los negocios 10 Cumplimiento Cuestionario estándar ISO 127 preguntas 1 . C.

3 ¿Han sido claramente definidas las responsabilices para la protección de activos concretos y la realización de procesos específicos de seguridad? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.4 ¿Existe un proceso de gestión de autorización activo para nuevas infraestructuras de tratamiento de la información? Sí Parcialmente No No aplicable Asumir 147 .2 ¿Es la política publicada revisada regularmente y sobre todo en caso de cambios influyentes? Sí Parcialmente No No aplicable Asumir Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 2 .Pregunta 1.2 En aquellas organizaciones de gran tamaño.Organización de la seguridad Pregunta 2. ¿Está la implementación de los controles de seguridad coordinados a través de un grupo multifuncional de representantes de la dirección provenientes de todas las partes relevantes de la organización? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.1 ¿Hay un comité directivo que asegure que hay una directriz clara y un soporte visible desde la alta dirección en todas las iniciativas de seguridad?¿El comité de dirección promueve la seguridad por medio de un compromiso apropiado y una dotación adecuada de recursos? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.

proveedores de servicios de información y operadores de telecomunicación? Sí Parcialmente No No aplicable Asumir Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 148 .6 ¿Mantiene su organización contactos apropiados con autoridades responsables de hacer cumplir la ley.Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.5 ¿Hay un consejero especializado en la seguridad de la información buscado dentro o fuera de la organización para coordinar los conocimientos y asistir al a toma de decisiones en asuntos de seguridad? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2. cuerpos regulatorios.

y expresados en el contrato de externalización? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 149 .8 ¿Han sido calculados los riesgos asociados con el acceso a las infraestructuras organizativas de tratamiento de la información por terceras partes.Pregunta 2.7 ¿Es revisada de forma independiente la implementación de la política de seguridad de la información en su organización? Sí Parcialmente No No aplicable Asumir Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2. y han sido implementados los controles apropiados de seguridad? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.9 ¿Especifican los contratos con terceras partes que suponen acceder a las infraestructuras de tratamiento de la información de su organización.10 ¿Están claramente definidos y acordados entre todas las partes los requerimientos de seguridad a la gestión externa y el control de todos o algunos de sus sistemas de información. redes y/o puestos de trabajo de usuarios. de todos los requerimientos y condiciones necesarias de seguridad? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 2.

1 ¿Existe un inventario de todos los activos importantes asociados con cada sistema de información.Seguridad del personal Pregunta 4.3 . esquematizado y mantenido? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 3.3 ¿Existen procedimientos implantados para etiquetar y manejar información de acuerdo con el esquema de clasificación adoptado por su organización? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 4 . y los impactos sobre el negocio asociados a dichas necesidades? Sí Parcialmente No No aplicable Asumir Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 3.Clasificación y control de los activos Pregunta 3.1 ¿La definición de puestos de trabajo incluye los roles y responsabilidades de seguridad tal como se hayan definido en la política de seguridad de la información de la organización? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 150 .2 ¿Hay controles de clasificación y protección adecuados a las necesidades de negocio para compartir o restringir información.

contratatistas y personal temporal en la fase de selección del mismo? Sí Parcialmente No No aplicable Asumir Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Pregunta 4.Pregunta 4. Impreso por: Eduardo Rivera © UFG. Todos los derechos reservados 151 .3 ¿Firman los empleados acuerdos de confidencialidad como parte de sus términos y condiciones iniciales de empleo? Parcialmente No No aplicable Asumir Sí Justificación:____________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ 08-jun-05 a 12:06 PM.2 ¿Se realizan verificaciones sobre los empleados fijos.