Professional Documents
Culture Documents
1
Tabla de contenido
Resumen ............................................................................................................................ 4
Introducción ...................................................................................................................... 5
2
4.1. Elaboración del checklist en base a la norma 27002:2013 ..................................... 31
4.2. Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 .... 31
4.3. Relación de Fichas de no Conformidad y recomendaciones. .................................. 37
4.4. Presentacion de resultados ................................................................................... 40
3
Resumen
Este proyecto con fines académicos efectuado en la empresa AVX Industries El Salvador.,
una empresa del sector tecnológico, tuvo como fin la realización de una auditoria en
seguridad de la información con la cual se pudo identificar los riesgos a los que se
encuentran expuestos las computadoras del área de Soldadura Láser, a causa de factores
humanos, ambientales, internos, externos, deliberados e involuntarios, entre otros.
4
Introducción
En la actualidad, los sistemas de información apoyan en gran medida la actividad productiva
en las empresas; incluso, la propia información y el acceso a la misma. Por ello, la gestión
de la información no sigue siendo concebida como el resultado de un accionar para
preservar los otros activos de la empresa, sino que se ha transformado en un condicionante
estratégico para operar.
Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la
Seguridad de la Información y de las redes de datos en empresas y Organizaciones,
cualquiera que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen
estructuras empresariales que requieren que estos temas sean analizados con una
estrategia diferente, ya sea por la criticidad de la información que manejan, su dimensión o
su estructura empresarial.
Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos
de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y
confidencialidad de la información y evaluarlos periódicamente con el objeto de evidenciar
su nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria
de seguridad de la información con la cual, se podrá determinar las vulnerabilidades del
sistema y en base a estos resultados los encargados podrán tomar decisiones y establecer
las mejores medidas para dar solución a los inconvenientes de seguridad.
5
1. Presentación de proyecto de
catedra.
6
Introducción
En el presente capítulo se hablará acerca de las características principales del proyecto de
catedra, realizado en la empresa AVX Industries El Salvador, a través del Departamento de
Reparación y Mantenimiento, en el áreas de Soldadura Láser, que tuvo como objeto la
realización de una auditoria en seguridad de la información con el fin de identificar los
riesgos a los que se encuentra expuestos los activos de información del área antes descrita,
y posteriormente generar estrategias que permitieran mitigar en gran medida esos niveles
de riesgo.
7
día están optando por hacer uso de estándares de seguridad de la información, como lo es
la norma ISO 27002 una de las normas más utilizadas por las organizaciones.
1.2. Justificación
Actualmente, la seguridad de la información se ha convertido en el mayor soporte para
todas las empresas y esto se ha generado como consecuencia de las constantes amenazas
como lo son los sucesos naturales, accidentales e intencionales a los que están expuestos
continuamente los activos de las organizaciones.
Por ello, es fundamental que las empresas realicen periódicamente un estudio de riesgos
basado en una metodología que permita identificar claramente los activos, las amenazas y
las salvaguardas que poseen, para posteriormente diseñar estrategias que permitan el buen
funcionamiento del negocio.
Es por eso, que en este proceso se realizará una auditoria en seguridad de la información e
infraestructura de TI basada en la norma ISO/IEC 27002:2013 en la empresa AVX Industries
El Salvador la cual tiene el propósito de identificar los puntos débiles y a partir de ellos
establecer medidas que mitiguen los riesgos a que está expuesta la información.
8
En base a lo anterior, la empresa siendo una entidad privada que produce dispositivos
electrónicos como son los capacitores de tecnología SMD, que cumplen con estándares
internacionales requeridos por clientes de la industria automotriz, telecomunicaciones y
aeroespacial.
1.3. Objetivos
1.3.1. Objetivo general
Realizar una auditoría de Seguridad de la información basada en las normas ISO/IEC
27000:2013 al área de Soldadura Laser de la empresa AVX Industries El Salvador.
1.4. Alcances
La auditoría se realizará en el periodo del 21 de octubre al 24 de noviembre de 2018
9
1. Gestión de las computadoras en el área de Soldadura Laser.
2. Seguridad física y ambiental en el sistema de energía ininterrumpida y
computadoras.
1.5. Limites
- La presenta auditoria solo abarca un área en específico dentro de la organización
que es el área de Soldadura Laser.
- Las recomendaciones serán solo para el área de Soldadura Laser.
10
2. Marco referencial
11
Introducción
En este capítulo se describen las distintas teorías y conceptos relacionados con la seguridad
de la Información y datos relevantes de la Empresa caso de estudio con el objeto de permitir
al lector familiarizarse con los temas tratados en los próximos capítulos y contextualizarse
en el ámbito de ejecución de este proyecto.
Las auditorías se pueden realizar haciendo uso de la Norma ISO 27002 que contiene las
mejores prácticas recomendadas en Seguridad de la información para desarrollar,
implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de
la Información (SGSI).Ésta normativa hace parte de la ISO 27000.Ésta última está compuesta
por una serie de estándares de seguridad publicados por la Organización Internacional para
la Estandarización (ISO), la cual, es reconocida por ser una entidad no gubernamental que
promueve el desarrollo de la estandarización y las actividades con ella relacionada en el
mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la
cooperación en la esfera de lo intelectual, científico, tecnológico y económico, y la Comisión
Electrotécnica Internacional (IEC), que se caracteriza por ser la organización líder a nivel
mundial encargada de preparar y publicar Normas Internacionales para todas las
tecnologías eléctricas, electrónicas y afines.
12
2.2. Marco teórico
Activos.
Son los recursos que forman parte del sistema de la empresa como el hardware, software,
datos, infraestructura y personas.
Amenaza.
Backup.
Controles.
Son todos aquellos mecanismos desplegados con el fin de garantizar que los distintos
procesos se realicen correctamente.
Disponibilidad.
Ficha de no conformidades.
Es un formato donde se establecen los aspectos que no cumplen con los criterios
establecidos en las normas.
Información.
Integridad.
13
Cualidad de los activos de información donde se asegura que la información y sus métodos
de proceso se mantengan exactos y completos.
Mantenimiento correctivo.
Mantenimiento preventivo.
Riesgo.
Salvaguarda.
A continuación, se incorpora una relación con la serie de normas ISO 27000 y una
descripción de las más significativas.
14
Tabla 1:
Norma
Descripción
ISO/IEC
Esta Norma Internacional proporciona una visión general de los sistemas de
gestión de seguridad de la información, y los términos y definiciones de uso
ISO
común en la familia de normas de SGSI. Esta norma es aplicable a todo tipo
27000
y tamaño de organización (por ejemplo, empresas comerciales, agencias
gubernamentales, organizaciones sin ánimo de lucro
Especifica los requisitos para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar los sistemas de gestión de seguridad de la
ISO información (SGSI) formalizado dentro del contexto de los riesgos globales
27001 de negocio de la organización. Especifica los requisitos para la aplicación de
los controles de seguridad de la información adaptados a las necesidades de
las organizaciones o partes de las mismas.
Proporciona una lista de objetivos de control comúnmente aceptados y las
ISO mejores prácticas para ser utilizadas como una guía de implementación en
27002 la selección y la aplicación de controles para lograr la seguridad de la
información
Proporciona una guía práctica de implementación y proporciona más
ISO
información para establecer, implementar, operar, monitorear, revisar,
27003
mantener y mejorar un SGSI según ISO / IEC 27001
Proporciona orientación y asesoramiento sobre el desarrollo y uso de las
ISO mediciones con el fin de evaluar la eficacia del SGSI, los objetivos de control
27004 y controles utilizados para implementar y administrar la seguridad de la
información, tal como se especifica en la norma ISO / IEC 27001.
15
Proporciona directrices para la gestión de riesgos de seguridad de la
ISO
información. El método descrito en esta norma es compatible con los
27005
conceptos generales especificados en la norma ISO / IEC 27001.
Especifica los requisitos y proporciona una guía para los organismos que
realizan la auditoría y la certificación del SGSI según ISO / IEC 27001. Ésta
ISO
norma está destinada principalmente para apoyar la acreditación de
27006
organismos de certificación que ofrecen certificación SGSI según ISO / IEC
27001
Proporciona orientación sobre la realización de auditorías de SGSI, así como
ISO
orientación sobre la competencia de los auditores de sistemas de gestión de
27007
seguridad de la información
16
Misión
AVX será reconocido como el principal socio estratégico para componentes pasivos,
sensores, antenas, módulos de control y soluciones de interconexión en la industria
electrónica, proporcionando productos y tecnología que cumplan o superen las
expectativas de calidad y confiabilidad del cliente de manera oportuna, rentable y eficiente.
y de manera profesional.
Visión
AVX continuamente construirá una gran organización con enfoque en la mejora continua y
superando consistentemente las expectativas de los clientes. Fomentaremos una cultura de
calidad de "cero defectos" con el objetivo de desarrollar, fabricar y proporcionar productos
y servicios confiables y preferidos por nuestros clientes.
Trataremos a nuestros clientes con respeto, y nos haremos responsables de cumplir los
compromisos que les hacemos. Cumpliremos estos objetivos mientras se cumplan las leyes
y reglamentos pertinentes, así como los requisitos internos.
17
3. Análisis de Riesgos Asociados a las TI
en la empresa AVX Industries El
Salvador.
18
Introducción
En el presente capítulo se evidencia el desarrollo del proceso de gestión de las
computadoras realizado en el área de caso de estudio, utilizando los instrumentos de
recolección de información ya planteados. En esta sección no se muestra alguna de la
información relacionada con la empresa por motivos de mantener la confidencialidad de la
misma.
En la caracterización de las computadoras fue necesario determinar para cada uno de ellos
una serie de características del equipamiento informático, como código, nombre,
descripción, tipo, unidad responsable (se identifica la unidad que lo mantiene, es decir, la
encargada de que el activo funcione correctamente, y la unidad que lo explota, en otras
palabras, la que hace uso de este ), persona responsable (es necesario identificar la persona
responsable por la integridad del activo y aquella que se encarga de operarlo), ubicación y
cantidad. El formato para la caracterización de los activos se presenta en el anexo 1, pero
en este no se consigna la información de los activos de la empresa porque ésta sólo es de
interés de la misma.
19
Tabla 1:
20
- Unidad USB Floppy, CD-ROM,
CDRW
- Teclado y mouse USB
- Fuente de poder 305W
- Disco duro de 4GB
14 Computadoras Venturis 443 con las
siguientes características:
- Procesador Intel Pentium 120 MHz
- 16 MB EDO DRAM
- Video Matrox MGA 2 MB WRAM
- Sistema operativo MS-DOS
- Monitor de Pantalla Plana de 15
- Unidad Floppy
- Teclado y mouse USB PS2
- Fuente de poder 200W
- Disco duro de 540MB
- Modem Boca Research BRI4925
(8-bit ISA)
21
3.2. Identificación de salvaguardas aplicadas a los activos
Las salvaguardas de los activos que se identificaron a través de entrevistas al personal del
área de estudio fueron los siguientes:
Respaldo de la información.
Las respectivas copias de la información contenida en los discos duros, no hay periodos
establecidos.
22
Tabla 2:
23
No se tiene establecidas las
Los activos están propensos a
responsabilidades del personal para la
sufrir daños
protección de los activos
No se contralan
No están actualizadas las políticas de adecuadamente los distintos
seguridad sucesos que afectan los equipos
y la información
No se hacen copia de los datos antes de
Perdida de la información
una reinstalación
Los activos son sacados fácilmente del
Robo del activo
área asignada
Los equipos no tienen Antivirus Intrusión de software malicioso
Computadoras No existe plan de respaldo de la
Perdida de la información
información
24
Tabla 3:
Matriz de riesgos:
25
Tabla 4: Análisis de riesgos.
NIVEL DE
ACTIVO VULNERABILIDADES P.E. AMENAZAS P.O.
RIESGO
Humedad 4 Generar un corto circuito 1 4
Electricidad estática 3 Daños a los equipos 2 6
Polvo 3 Disminución del rendimiento de los equipos 2 6
No se tiene establecido
Personal no autorizado puede manipular los
controles físicos de accesos a los 3 2 8
equipos
equipos.
Inexistencia de un sistema que
Computadoras reduzca el nivel de daño en caso Perdida de información y daño irreparables del
4 1 8
y UPS de mojar las computadoras o equipo
UPS
Acumulación de partículas 3 Disminución del rendimiento de los equipos 2 6
dañinas 3 Generar un corto circuito 2 6
Mantenimiento del equipo
4 Fallos en los equipos 3 12
inexistente
No existe Inventario con la
3 Perdida de los activos 2 6
información completa de
26
algunos de los activos
informáticos de la empresa
No se minimiza la posibilidad
Inexistencia de un registro de
3 de que los sucesos ocurridos 2 6
fallas de los equipos
anteriormente se vuelvan a generar
2 Robo de información 3 6
Fácil acceso a los sistemas de los
3 Destrucción de la información 3 9
equipos
3 Interrupción del funcionamiento de los equipos 3 9
No se tiene establecidas las
responsabilidades del personal 2 Los activos están propensos a sufrir daños 2 4
para la protección de los activos
No están actualizadas las No se contralan adecuadamente los distintos
3 3 6
políticas de seguridad sucesos que afectan los equipos y la información
No se hacen copia de los datos
4 Perdida de la información 2 8
antes de una reinstalación
Los activos son sacados
4 Robo del activo 2 8
fácilmente del área asignada
Los equipos no tienen Antivirus
Computadoras 3 Intrusión de software malicioso 3 6
actualizados
27
No existe plan de respaldo de la
4 Perdida de la información 3 12
información
28
Para la representación se hizo mediante un gráfico, el porcentaje por cada uno de los niveles
de riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel
de riesgo se encontraban los activos del área en ese momento.
Grafica 1:
10%
32%
58%
29
4. Evaluación de cumplimiento de los
controles de la Norma ISO/IEC
27002:2013.
30
Introducción
En el presente capítulo se evidencia todo el proceso que se llevó a cabo para evaluar el
estado en materia de seguridad de la información del área caso de estudio en base a los
controles seleccionados de la Norma ISO/IEC 27002:2013.
Con el objeto de facilitar la comprensión del proceso realizado, se hace una breve, pero
concisa descripción de los términos usados en el desarrollo de esta actividad, la cual está
plasmada en la tabla evaluación de controles.
31
Tabla 5:
Nivel de madurez.
NIVEL DE MADUREZ
ISO/IEC 21827:2008
Criterio Porcentaje Descripción
No hay controles de seguridad de la información
No realizado 0%
establecidos.
Existen procedimientos para llevar a cabo ciertas acciones
Realizado en determinado momento. Estas prácticas no se adoptaron
20%
informalmente formalmente y/o no se les hizo seguimiento y/o no se
informaron adecuadamente.
Los controles de seguridad de la información establecidos
Planificado 40%
son planificados, implementados y repetibles.
Los controles de seguridad de la información además de
Bien definido 60% planificados son documentados, aprobados e
implementados en toda la organización
Cuantitativamente Los controles de seguridad de la información están sujetos a
80%
controlado verificación para establecer su nivel de efectividad.
Los controles de seguridad de la información definidos son
Mejora continua 100% periódicamente revisados y actualizados. Estos reflejan una
mejora al momento de evaluar el impacto.
32
Tabla 6:
VALORACION DE CONTROLES
Porcentaje Escala Representación
0% - 30% Bajo
31% - 74% Medio
75% - 100% Alto
33
Tabla 7:
Evaluación de controles.
EVALUACION DE CONTROLES
Norma Sección Puntos a Evaluar Cumplimiento
8 GESTION DE ACTIVOS 10%
8.1 Responsabilidad sobre los activos 25%
Todos los activos deberían estar claramente
No
8.1.1 Inventario de activos identificados, confeccionando y manteniendo 0%
realizado
un inventario con los más importantes.
Toda la información y activos del inventario
Propiedad de los asociados a los recursos para el tratamiento de No
8.1.2 0%
activos la información deberían pertenecer a una realizado
parte designada de la Organización.
Se deberían identificar, documentar e
Uso aceptable de los implantar regulaciones para el uso adecuado No
8.1.3 0%
activos de la información y los activos asociados a realizado
recursos de tratamiento de la información.
Todos los empleados y usuarios de terceras
partes deberían devolver todos los activos de
la organización que estén en su
Devolución de Mejora
8.1.4 posesión/responsabilidad una vez finalizado el 100%
activos continua
acuerdo, contrato de prestación de servicios o
actividades relacionadas con su contrato de
empleo.
34
acuerdo con el esquema de clasificación
adoptado por la organización.
Se deberían desarrollar e implantar
procedimientos para la manipulación de los
Manipulación de No
8.2.3 activos acordes con el esquema de clasificación 0%
activos realizado
de la información adoptado por la
organización.
EVALUACION DE CONTROLES
Norma Sección Puntos a Evaluar Cumplimiento
11 SEGURIDAD FISICA Y AMBIENTAL 19%
11.1 Áreas seguras 22%
Se deberían definir y utilizar perímetros de
seguridad para la protección de las áreas
Perímetro de
11.1.1 que contienen información y las N/A
seguridad física
instalaciones de procesamiento de
información sensible o crítica.
Controles físicos de Las áreas seguras deberían estar protegidas
11.1.2 N/A
entrada mediante controles de entrada adecuados
35
para garantizar que solo el personal
autorizado dispone de permiso de acceso.
Seguridad de Se debería diseñar y aplicar un sistema de
11.1.3 oficinas, despachos y seguridad física a las oficinas, salas e N/A
recursos instalaciones de la organización.
Protección contra
Se debería diseñar y aplicar una protección
las amenazas No
11.1.4 física contra desastres naturales, ataques 0%
externas y realizado
maliciosos o accidentes.
ambientales
Se deberían diseñar y aplicar
El trabajo en áreas No
11.1.5 procedimientos para el desarrollo de 0%
seguras realizado
trabajos y actividades en áreas seguras.
Se deberían controlar puntos de acceso a la
organización como las áreas de entrega y
Áreas de acceso carga/descarga (entre otros) para evitar el
Bien
11.1.6 público, carga y ingreso de personas no autorizadas a las 66%
definido
descarga dependencias aislando estos puntos, en la
medida de lo posible, de las instalaciones de
procesamiento de información.
36
Los equipos deberían mantenerse
Mantenimiento de No
11.2.4 adecuadamente con el objeto de garantizar 0%
los equipos realizado
su disponibilidad e integridad continuas.
Salida de activos
Los equipos, la información o el software no
fuera de las Bien
11.2.5 se deberían retirar del sitio sin previa 66%
dependencias de la definido
autorización.
empresa
Seguridad de los Se debería aplicar la seguridad a los activos
equipos y activos requeridos para actividades fuera de las
11.2.6 N/A
fuera de las dependencias de la organización y en
instalaciones consideración de los distintos riesgos.
Se deberían verificar todos los equipos que
contengan medios de almacenamiento para
Reutilización o
garantizar que cualquier tipo de datos
retirada segura de No
11.2.7 sensibles y software con licencia se hayan 0%
dispositivos de realizado
extraído o se hayan sobrescrito de manera
almacenamiento
segura antes de su eliminación o
reutilización.
37
Tabla 8:
GESTION DE ACTIVOS
Descripcion de las No Conformidades.
8.1.1 No existe un inventario de los activos asociados a el area de estudio.
8.1.2 Los activos en uso no tienen usuarios definidos.
8.1.3 Se identifioco la inexitencia de una politica de uso aceptable de los dispositivos.
8.2.2 Los equipos no estan identificados.
8.2.3 No existe procedimientos para la manipulacion de los equipos.
8.3.1 Inexistencia de politicas, procesos o comunicado que informe el uso adecuado de
los soportes de almacenamiento.
8.3.2 No existe procedimiento para eliminar los soportes de almacenamiento.
8.3.3 No existe proceso para proteger los medios que continen informacion contra acceso
no autorizado, mal uso o corrupción durante el transporte fuera de los limites físicos de
area.
38
Tabla 9:
39
4.4. Presentacion de resultados
Luego de evaluados los diferentes controles se presenta gráficamente los resultados
obtenidos tras la evaluación de los 25 controles que componen los dominios Gestion de
Activos y Control de Seguridad Fisica y Ambiental de la Norma ISO/IEC 27002:2013 en la
empresa AVX Industries. Estos se presentan de la siguiente manera: inicialmente se hace
una descripción del porcentaje de cumplimiento de los controles evaluados
categorizándolos por objetivos de control, luego se muestra una gráfica con el porcentaje
de cumplimiento de cada uno de los dominios y por último, se presenta una gráfica con el
porcentaje de cumplimiento de cada uno de los niveles de madurez de los distintos
controles evaluados.
Grafica 1:
40
Grafica 2:
Grafica 3:
41
5. Recomendaciones a la Empresa AVX
Industries El Salvador.
42
Introducción
En este capítulo se presenta una breve descripción de las políticas de seguridad de la
información que se desarrollaron para proteger los activos de información de la Empresa
AVX Industries de El Salvador, es por ello que en esta sección sólo se explicarán los puntos
más relevantes de las políticas que son los dos dominios que se evaluaron de la norma
ISO/IEC 27002:2013, los cuales se mencionan a continuación: Políticas de Gestión de
activos, Seguridad física y Ambiental.
43
6. Conclusiones
Luego de realizada la auditoria en seguridad de la información se evidenciaron una serie de
factores que ponen en riesgo los activos de información de la empresa, los bajos niveles de
cumplimiento de los dominios evaluados, aumenta la probabilidad de perdida, deterioro e
indisponibilidad de la información y los equipos de cómputo.
Además, otros factores son la inadecuada gestión de los activos de información debida a la
falta de prácticas para su uso adecuado, no tener definidas las responsabilidades del
personal sobre ellos, ni tener establecidos controles que garanticen su devolución al
finalizar el contrato aboral de los empleados. Igualmente, la infraestructura tecnológica de
la empresa no apega a lo requerido en la Norma ISO/IEC 27002:2013. Otro de los factores
que aumentan significativamente los niveles de riesgo de los activos de información es el
desconocimiento o la falta de conciencia por parte del personal para evitar aquellas
situaciones que pueden afectar la disponibilidad e integridad de la información.
7. Recomendaciones
Concientizar al personal sobre los distintos riesgos a los que está expuesta la información
de la empresa y enfatizar sobre la importancia que esta representa para la empresa.
Por otra parte, dar a conocer las políticas de seguridad de la información al personal de la
empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella y de
esta manera brindar mayor protección a los activos de información de la empresa.
Posteriormente, hacerles un seguimiento a esos controles, evaluar su nivel de efectividad y
hacerle las respectivas mejoras ya sea anualmente o cuando surjan determinados factores
que así lo ameriten.
Además, elaborar formatos para: registrar toda la información relacionada con los equipos
de cómputo y de comunicación de propiedad de la empresa a través del levantamiento de
su respectiva hoja de vida, garantizar que los equipos de cómputo sean devueltos luego de
la terminación del contrato de los empleados y de esta manera se pueda evidenciar el
44
estado en que se entregan, determinar los diferentes aspectos vinculados a la realización
de pruebas de funcionamiento del software.
También, es necesario crear una infraestructura que minimice los riesgos de daños a los
equipos e interferencias a la información y a las operaciones de la empresa. Tales como el
establecimiento de instalaciones de suministro y cableado adecuado. Además, es necesario
la creación de medidas que garanticen la seguridad de los equipos dentro de las
instalaciones, todo lo anterior permitirá garantizar el correcto funcionamiento de los
equipos de cómputo y minimizar las interrupciones de los servicios que estos prestan.
45
8. Cronograma de actividades
SEGURIDAD DE LA INFORMACION 1 2 3 4
46
Anexos
47
Anexo 1: Formato caracterización de los activos de información.
Tabla 10:
Empresa:
Empleado:
Cargo: Fecha:
Unidad
Persona responsable
Ítem Activo Código Descripción Tipo responsable Ubicación Cantidad
Mantiene Explota Responsable Operador
1
2
3
4
48
Anexo 2: Checklist identificación del riesgo de los activos de información.
Tabla 11:
N° Preguntas Si No NA Observaciones
INSTALACIONES
¿Están las instalaciones de las computadoras protegidas de acceso no
1
autorizado?
¿Cuáles de las siguientes medidas contra incendios tienen
2
implementadas?
a) Alarmas
b) Extintores
49
¿Las instalaciones dónde están ubicadas las computadoras cuenta con
3
condiciones físicas adecuadas a la norma?
RED
¿Se tiene determinado quienes comparten los datos a través de la red y
7
como los utilizan?
SOFTWARE
11 ¿Los equipos de cómputo cuentan con Antivirus actualizados?
ORGANIZACION
50
¿Existe una estructura orgánica para dicha área con sus
15
correspondientes funciones?
¿Existe personal dedicado solo al mantenimiento de los equipos
16
informáticos?
¿Para ser movidos los equipos, software o información fuera del área
18
requiere de una autorización?
¿Están claramente definidas las responsabilidades del recurso humano
19 para proteger los activos, así como la ejecución del proceso de
seguridad?
51
Anexo 3: Formato de identificación de amenazas y vulnerabilidades.
Tabla 12:
52
anteriormente se vuelvan a
generar
Robo de información
Fácil acceso a los sistemas de los Destrucción de la información
8
equipos Interrupción del
funcionamiento de los equipos
Los equipos no tienen Antivirus
9 Intrusión de software malicioso
actualizados
No se hacen copia de los datos antes de
10 Perdida de la información
una reinstalación
No se tiene establecidas las
Los activos están propensos a
11 responsabilidades del personal para la
sufrir daños
protección de los activos
No se contralan
adecuadamente
No están actualizadas las políticas de
12 los distintos sucesos que
seguridad
afectan los equipos y la
información
Los activos son sacados fácilmente del
13 Robo del activo
área asignada
No existe plan de respaldo de la
14 Perdida de la información
información
53
Anexo 4: Herramienta de evaluación en base a la Norma ISO/IEC 27002:2013.
Tabla 13:
Empresa: ________________________________________________________________
Empleado: ________________________________________________________________
Cargo: ________________________________________________________________ Fecha:___________________
54
2.¿El inventario de activos de
información contiene
información precisa y
actualizada?
55
información de propiedad de la
empresa a la terminación de su
contrato laboral?
1.¿Existe un proceso o
Etiquetado y procedimiento que garantice el
8.2.2 manipulado de la etiquetado y la correcta
información. manipulación de los activos de
información?
Manipulación de 1. ¿Existe un procedimiento
8.2.3
activos. para el manejo de cada
56
clasificación de los activos de
información?
57
1. ¿Existe algún procedimiento
formal que rija como se debe
8.3.2 Eliminación de soportes
eliminar los soportes de
almacenamiento?
1.¿Existe alguna política
documentada y detallada que
defina la forma cómo se debe
transportar los soportes físicos
Soportes físicos en de almacenamiento?
8.3.3
tránsito 2. ¿Están protegidos los
soportes de comunicación
contra el acceso no autorizado,
mal uso o perdida durante su
transporte?
11 SEGURIDAD FISICA Y AMBIENTAL
11.1 Áreas seguras
Perímetro de seguridad 1.¿existe un perímetro de
11.1.1
física. seguridad designado?
58
2.¿Las áreas de información
sensible o críticas se encuentran
separadas y controladas
adecuadamente?
1.¿Las áreas seguras tienen
Controles físicos de sistemas de control de acceso
11.1.2
entrada. adecuado para que sólo
personal autorizado ingrese?
1.¿Tienen las oficinas,
despachos e instalaciones
seguridad perimetral?
2.¿Realiza procesos de
Seguridad de oficinas,
11.1.3 concientización con los
despachos y recursos.
empleados por mantener la
seguridad en puertas,
escritorios, archivadores, etc.,
de las oficinas?
59
1. ¿Tiene diseños o medidas de
Protección contra las protección física para prevenir
11.1.4 amenazas externas y desastres naturales, ataque
ambientales. maliciosos o accidentes de la
empresa?
1. ¿Existen áreas seguras?
2. ¿Dónde existen, las áreas
El trabajo en áreas seguras cuentan con políticas y
11.1.5
seguras. procesos adecuados?
3. ¿Estas políticas y procesos
son aplicadas y supervisadas?
1 ¿Las áreas de acceso público
están separadas de las áreas de
descarga controladas?
3 ¿Esta el acceso a las áreas de
carga aislado de las
60
instalaciones de los procesos de
información?
61
ubicación de los cables de
energía y telecomunicaciones?
62
1. ¿Existe una política que
mencione que los activos de
información pueden ser
reutilizados o retirados en
Reutilización o retirada forma segura?
11.2.7 segura de dispositivos 2 ¿Cuándo datos o información
de almacenamiento. es borrada de dispositivos de
almacenamiento es
debidamente comprobado
antes de su reutilización o
eliminación?
1. ¿La empresa tiene una
política en torno a cómo el
equipo desatendido se debe
Equipo informático de proteger?
11.2.8
usuario desatendido. 2. ¿Existen controles técnicos
para garantizar que un equipo
se ha dejado inadvertidamente
desatendido?
63
Política de puesto de 1. ¿Existe una política de puesto
11.2.9 trabajo despejado y de trabajo despejado y bloqueo
bloqueo de pantalla de pantalla?
64
Anexo 5: Evidencia
Polvo en UPS.
65
Basura en computadoras.
66
Líneas de alimentación y comunicación desordenadas y área con polvo.
67