1. AUDITORÍA INFORMÁTICA
SegundaEvaluaciónaDistancia
CristinaGavilanesEspín
Ing.en ContabilidadyAuditoría
SEGURIDAD FÍSICA Y DEL ENTORNO ISO 27002:2005
1. PERÍMETRO DE SEGURIDAD:
“Las áreas donde se almacena la información, debe estar protegida mediante una puerta con
llaves, a cargo de una persona específica, quien debe sacar cualquier tipo de información que
el personal solicite, sólo si tiene una autorización firmada por Gerencia.”
2. CONTROLES FÍSICOS DE ENTRADA:
“El acceso no autorizado a las áreas donde se almacena información confidencial, debe estar
protegido por cámaras de seguridad, y si es posible se puede restringir el acceso con
mecanismos como identificación a través de huellas digitales.”
3. SEGURIDAD DE OFICINAS, DESPACHOS E INSTALACIONES:
“Todo lo concerniente a oficinas, despachos e instalaciones debe estar en un área alejada del
servicio al público, un segundo o tercer piso por ejemplo y con puertas de acceso restringido.”
4. PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES:
“Tener un respaldo de la información de uso restringido en caso de desastres ambientales
como terremotos, a más de ello implementar sistemas como detectores de fuego para
salvaguardar no sólo la información sino también las instalaciones.”
5. TRABAJO EN ÁREAS SEGURAS:
“Capacitar a los empleados sobre lo que significa trabajar en un área segura, para que sean
ellos un apoyo y un refuerzo para proteger las áreas de trabajo”
6. ÁREAS DE ACCESO PÚBLICO, ÁREAS DE CARGA Y DESCARGA:
“Esta área debe estar lo más alejada posible de las áreas protegidas, se lo puede hacer
mediante puertas, cámaras de seguridad o demás sistemas que controlen y restrinjan el
acceso de personas extrañas a las áreas de información.”
7. INSTALACIÓN Y PROTECCIÓN DE LOS EQUIPOS:
La instalación de los equipos deberá ser realizada por personal capacitado y autorizado, a más
de ello se implementarán medidas de protección para así evitar el daño, el robo o la
sustracción de información restringida, estas medidas pueden ser claves de acceso, cámaras
de seguridad, aseguramiento de los equipos, etc.”
8. SUMINISTRO ELÉCTRICO:
“Las instalaciones eléctricas deben ser realizadas por personal altamente capacitado y con
experiencia, ya que así se evitará la suspensión de las actividades por un daño causado por
mala instalación, variabilidad de voltaje y demás”
9. SEGURIDAD DEL CABLEADO:
2. AUDITORÍA INFORMÁTICA
SegundaEvaluaciónaDistancia
CristinaGavilanesEspín
Ing.en ContabilidadyAuditoría
“Los cables de energía y de comunicaciones deben estar separados y protegidos, ya sea con
un sistema de protección de tubos, o debieran ser subterráneas, para así evitar que se dé una
intercepción no autorizada”
10. MANTENIMIENTO DE EQUIPOS:
“Se debe establecer una política de que cada cierto tiempo se dará mantenimiento a los
equipos, además implementar un plan de contingencia para que las actividades no se paralicen
o sean interrumpidas”
11. SEGURIDAD DE LOS EQUIPOS FUERA DE LOS LOCALES DE LA ORGANIZACIÓN:
“Asegurar económicamente el equipo que estará fuera de la organización. También
responsabilizar a las o la persona que estará a cargo del equipo, además implementar claves
de acceso para que ninguna persona que no esté autorizada pueda manipular la información
del equipo.”
12. SEGURIDAD EN LA REUTILIZACIÓN, ENAJENACIÓN O DESHECHADO DE EQUIPOS:
“Contratar personal de sistemas externo para que se encargue de eliminar toda la información
de la organización antes de desechar un equipo o antes de reutilizarlo”
13. SALIDA DE LAS INSTALACIONES:
“Si el equipo debiera salir de las instalaciones por cualquier motivo, se registrará un documento
en el que se especifique la razón de salida, el periodo de salida, y el nombre de quien autoriza”
14. POLÍTICA DE CONTROL DE ACCESO:
“Se puede contratar a un técnico informático para que restringa el tiempo de acceso a un
sistema de información, y también que el acceso a los mismos sea mediante claves”
15. GESTIÓN DE ACCESOS DE USUARIOS:
“A los usuarios de la información, se les debe dar una clave de acceso, y ésta debe ser
renovada cada cierto tiempo, de igual manera si entra nuevo personal, las claves no serán las
mismas”
16. GESTIÓN DE PRIVILEGIOS:
“Mantener en manos de Gerencia la lista e información de las personas que tienen derecho y
autorización para acceder a la información existente en los equipos informáticos.”
17. REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS:
“Establecer un periodo de 3 meses como mínimo para realizar una revisión de derechos de
acceso, esto se hará por parte de Gerencia, Auditoría Interna y Sistemas”
18. EQUIPO INFORMÁTICO DE USUARIO DESATENDIDO:
“Será sancionado el personal que desatienda su equipo de trabajo, esto será controlado
mediante cámaras de seguridad. Si alguien debe ausentarse de su puesto de trabajo, así sea
por unos minutos, deberá apagar el equipo y dejarlo con clave de acceso para poder
encenderlo nuevamente”
19. POLÍTICAS DE LIMPIEZA DE ESCRITORIO Y PANTALLA:
3. AUDITORÍA INFORMÁTICA
SegundaEvaluaciónaDistancia
CristinaGavilanesEspín
Ing.en ContabilidadyAuditoría
“Por ningún motivo la documentación de uso restringido deberá estar desordenada sobre el
escritorio cuando el personal se ausente por unos minutos, además los archivos deberán ser
cerrados o minimizados en su defecto para que nadie pueda observar la información del
equipo, de igual manera será controlado mediante cámaras de seguridad”
20. INFORMACIÓN MÓVIL Y COMUNICACIONES:
“Todo el equipo informático y de comunicaciones de la organización será usado
exclusivamente con fines laborales, a más de ello cualquier reparación en el equipo deberá ser
autorizada por el Departamento de Sistemas con copia a Gerencia.