UNIVERSIDAD NACIONAL AUTNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONMICAS, ADMINISTRATIVAS Y CONTABLES

DEPARTAMENTO DE INFORMTICA ADMINISTRATIVA

AUDITORIA EN INFORMATICA

CATEDRTICA: KARLA GARCIA

SEGURIDAD FSICA Y DEL ENTORNO ISO 27002

Por: CANDY MELISSA HERNANDEZ SANABRIA CARLOS EDUARDO MORAN NAVARRO CRISTHOFER ESAU OLIVA OSCAR ANTONIO CRUZ FLORES RICARDO ANTONIO LOPEZ RAMIREZ ROSELLA URBINA RIVAS STEPHANIE LYNN SANCHEZ ANDINO 20051011098 20061003767 20021005229 20041002506 20041006573 20070001348 20081006629

Auditoria en Informtica

Pg.| 1

Julio de 2013

CONTENIDO GENERAL

1. 2.

OBJETIVOS ............................................................... Error! Marcador no definido. INTRODUCCIN ...................................................... Error! Marcador no definido.

3. SEGURIDAD FSICA Y DEL ENTORNO SEGN ISO 27002 Error! Marcador no definido. 3.1. 3.2. 3.3. 4. 5. 6. AREAS SEGURAS ............................................. Error! Marcador no definido. SEGURIDAD DE LOS EQUIPOS..................................................................... 11 CONTROLES GENERALES. ........................................................................... 19

CONCLUSIONES ...................................................... Error! Marcador no definido. LITERATURA CITADA .......................................................................................... 20 ANEXOS .................................................................... Error! Marcador no definido.

Auditoria en Informtica

Pg.| 2

OBJETIVOS

Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin de la organizacin. Proteger el equipo y la informacin crtica de la organizacin, ubicndolo en reas protegidas y resguardadas por un permetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la proteccin del mismo en su traslado y permanencia fuera de las reas protegidas, por motivos de mantenimiento u otros. Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico que alberga la informacin de organizacin. Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales. Proporcionar proteccin proporcional a los riesgos identificados.

Auditoria en Informtica

Pg.| 3

INTRODUCCION

La seguridad fsica es la condicin que se alcanza en las instalaciones cuando se aplica un conjunto de medidas de proteccin eficaces para la prevencin de posibles accesos a informacin clasificada por parte de personas no autorizadas, as como para proporcionar las evidencias necesarias cuando se produzca un acceso o un intento de acceso.

La seguridad deber ser concebida de forma global, mediante una combinacin de medidas fsicas complementarias que garanticen un grado de proteccin suficiente, coordinando su aplicacin con el resto de medidas de seguridad: seguridad en el personal, seguridad de la informacin y seguridad en los sistemas de informacin y comunicaciones.

Las medidas de seguridad fsica aplicables a cada caso sern concebidas para:

Impedir la entrada por parte de intrusos, tanto si emplean mtodos subrepticios como si utilizan otros que impliquen el uso de la fuerza. Disuadir, impedir o detectar acciones llevadas a cabo por personal desleal. Permitir la limitacin del personal en su acceso a informacin clasificada de acuerdo con el principio de la necesidad de conocer. Detectar posibles brechas o violaciones de seguridad y ejercer las pertinentes acciones de correccin sobre stas con la mayor brevedad posible.

Auditoria en Informtica

Pg.| 4

SEGURIDAD FSICA Y DEL ENTORNO SEGN ISO 27002

QU ES LA SEGURIDAD FSICA? La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Segn la ISO 27002, contempla la siguiente estructura:

1. reas seguras. 1.1. Permetro de seguridad fsica. 1.2 Controles fsicos de entrada. 1.3 Seguridad de oficinas, despachos y recursos. 1.4 Proteccin contra amenazas externas y del entorno.* 1.5 El trabajo en reas seguras. 1.6 reas aisladas de carga y descarga. 2. Seguridad de los equipos. 2.1 Instalacin y proteccin de equipos 2.2 Suministro elctrico 2.3 Seguridad del cableado. 2.4 Mantenimiento de equipos. 2.5 Seguridad de equipos fuera de los locales de la organizacin. 2.6 Seguridad en la reutilizacin o eliminacin de equipos. 3. Controles Generales
Auditoria en Informtica Pg.| 5

3.1 Polticas de pantallas y mesas limpias 3.2 Salidas de Equipo o Informacin

1. AREAS SEGURAS Los recursos para el tratamiento de informacin crtica o sensible para la organizacin deberan ubicarse en reas seguras protegidas por un permetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debera dar proteccin fsica contra accesos no autorizados, daos e interferencias. Dicha proteccin debera ser proporcional a los riesgos identificados.

1.1 PERMETRO DE SEGURIDAD FSICA El Organismo utilizar permetros de seguridad para proteger las reas que contienen instalaciones de procesamiento de informacin, de suministro de energa elctrica, de aire acondicionado, y cualquier otra rea considerada crtica para el correcto funcionamiento de los sistemas de informacin. Un permetro de seguridad est delimitado por una barrera, por ejemplo una pared, una puerta de acceso controlado por dispositivo de autenticacin o un escritorio u oficina de recepcin atendidos por personas. El emplazamiento y la fortaleza de cada barrera estarn definidas por el Responsable del rea Informtica con el asesoramiento del Responsable de Seguridad de la Informacin, de acuerdo a la evaluacin de riesgos efectuada. Ejemplos: Ubicar el departamento IT dentro de reas de construccin, fsicamente solidas con mecanismos de control, vallas, alarmas y cerraduras. Un rea de recepcin atendida por personal o control de acceso fsico. Incluir barrera fsica (impermeabilizar) desde el piso hasta el techo, para cualquier contaminacin. 1.2 CONTROLES FSICOS DE ENTRADA. Las reas de seguridad deberan estar protegidas por controles de entrada adecuados que garanticen el acceso nicamente al personal autorizado. Ejemplos:

Auditoria en Informtica

Pg.| 6

Las visitas a las reas seguras se deberan supervisar, a menos que el acceso haya sido aprobado previamente, y se debe registrar la fecha y momento de entrada y salida. Los visitantes slo tendrn acceso para propsitos especficos y autorizados, proporcionndoles instrucciones sobre los requisitos de seguridad del rea y los procedimientos de emergencia. Se debera controlar y restringir slo al personal autorizado el acceso a la informacin sensible y a los recursos de su tratamiento. Se deberan usar controles de autenticacin, por ejemplo, tarjetas con nmero de identificacin personal (PIN), para autorizar y validar el acceso. Se debera mantener un rastro auditable de todos los accesos, con las debidas medidas de seguridad. Se debera exigir a todo el personal que lleve puesta alguna forma de identificacin visible y se le pedir que solicite a los extraos no acompaados y a cualquiera que no lleve dicha identificacin visible, que se identifique. Se debe garantizar el acceso restringido al personal de apoyo de terceros, hacia reas de seguridad o a los recursos de procesamiento de informacin sensibles, solo cuando este sea requerido. Este acceso debe ser autorizado y monitoreado. Se deberan revisar y actualizar regularmente los derechos de acceso a las reas de seguridad. 1.3 SEGURIDAD DE OFICINAS, DESPACHOS Y RECURSOS. Para la seleccin y el diseo de un rea protegida se tendr en cuenta la posibilidad de dao producido por incendio, inundacin, explosin, agitacin civil, y otras formas de desastres naturales o provocados por el hombre. Tambin se tomarn en cuenta las disposiciones y normas (estndares) en materia de limpieza y seguridad. Asimismo, se considerarn las amenazas a la seguridad que representan los edificios y zonas aledaas, por ejemplo, filtracin de agua desde otras instalaciones. Se establecen las siguientes medidas de proteccin para reas protegidas: Ubicar las instalaciones crticas en lugares a los cuales no pueda acceder personal no autorizado. Establecer que los edificios o sitios donde se realicen actividades de procesamiento de informacin sern discretos y ofrecern un sealamiento mnimo de su propsito, sin signos obvios, exteriores o interiores.

Auditoria en Informtica

Pg.| 7

Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras, fotocopiadoras, mquinas de fax, adecuadamente dentro del rea protegida para evitar solicitudes de acceso, el cual podra comprometer la informacin. Establecer que las puertas y ventanas permanecern cerradas cuando no haya vigilancia. Se agregar proteccin externa a las ventanas, en particular las que se encuentran en planta baja o presenten riesgos especiales. Implementar los siguientes mecanismos de control para la deteccin de intrusos, los mismos sern instalados segn estndares profesionales y probados peridicamente. Estos mecanismos de control comprendern todas las puertas exteriores y ventanas accesibles. Separar las instalaciones de procesamiento de informacin administradas por nuestra organizacin y de aquellas administradas por terceros. Restringir el acceso pblico a las guas telefnicas y listados de telfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de informacin sensible. Almacenar los materiales peligrosos o combustibles en los siguientes lugares seguros a una distancia prudencial de las reas protegidas del Organismo. Almacenar los equipos redundantes y la informacin de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, para evitar daos ocasionados ante eventuales contingencias en el sitio principal.

1.4 PROTECCIN CONTRA AMENAZAS EXTERNAS Y DEL ENTORNO. Se debe asignar y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre. Se debe prestar consideracin a cualquier amenaza contra la seguridad presentada por locales vecinos; por ejemplo, un fuego en un edificio vecino, escape de agua en el techo o pisos en stano o una explosin en la calle. Se debe considerar los siguientes lineamientos: Los materiales peligrosos o combustibles deben ser almacenados a una distancia segura del rea asegurada. Los suministros a granel como papelera no deben almacenarse en el rea asegurada.

Auditoria en Informtica

Pg.| 8

El equipo de remplazo y los medios de respaldo debieran ubicarse a una distancia segura para evitar el dao de un desastre que afecte el local principal. Se debe proporcionar equipo contra-incendios ubicado adecuadamente. Se debe proteger el acceso solo para personal autorizado, bajo el control de los requerimientos para cualquier desastre, que se presente en el rea de la informacin. Obtener puntos de control para proteccin del equipo informtico con un mantenimiento correcto en caso de desastres, diseando un control que permita la seguridad interna y externa.

1.5 EL TRABAJO EN REAS SEGURAS. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica, para evitar el acceso no autorizado, el dao o la interferencia a las instalaciones y a la informacin de la organizacin. Los servicios de procesamiento de informacin sensible o crtica deberan estar ubicados en reas seguras, protegidas por permetros de seguridad definidos, con barreras de seguridad o lmites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas y controles de entrada adecuados, en otras palabras dichas reas deberan estar protegidas fsicamente contra acceso no autorizado, dao e interferencia. La proteccin suministrada debera estar acorde con los riesgos identificados y medidas de esa naturaleza para proteger las reas que contienen informacin y medios de procesamiento de informacin. Se establecen los siguientes controles y lineamientos: Dar a conocer al personal la existencia del rea protegida, o de las actividades que all se llevan a cabo, slo si es necesario para el desarrollo de sus funciones. Evitar la ejecucin de trabajos por parte de terceros sin supervisin. Bloquear fsicamente e inspeccionar peridicamente las reas protegidas desocupadas. Limitar el acceso al personal del servicio de soporte externo a las reas protegidas o a las instalaciones de procesamiento de informacin sensible. Este acceso, como el de cualquier otra persona ajena que requiera acceder al rea protegida, ser otorgado solamente cuando sea necesario y se encuentre autorizado y monitoreado. Se mantendr un registro de todos los accesos de personas ajenas.

Auditoria en Informtica

Pg.| 9

Pueden requerirse barreras y permetros adicionales para controlar el acceso fsico entre reas con diferentes requerimientos de seguridad, y que estn ubicadas dentro del mismo permetro de seguridad. Impedir el ingreso de equipos de computacin mvil, fotogrficos, de vdeo, audio o cualquier otro tipo de equipamiento que registre informacin, a menos que hayan sido formalmente autorizadas por el Responsable de dicho rea o el Responsable del rea Informtica y el Responsable de Seguridad de la Informacin. Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la informacin.

1.6 REAS AISLADAS DE CARGA Y DESCARGA. Se controlarn las reas de Recepcin y Distribucin, las cuales estarn aisladas de las instalaciones de procesamiento de informacin, a fin de impedir accesos no autorizados. Para ello se establecern controles fsicos que considerarn los siguientes lineamientos: Limitar el acceso a las reas de depsito, desde el exterior de la sede del Organismo, slo al personal previamente identificado y autorizado. Disear el rea de depsito de manera tal que los suministros puedan ser descargados sin que el personal que realiza la entrega acceda a otros sectores del edificio. Proteger todas las puertas exteriores del depsito cuando se abre la puerta interna. Inspeccionar el material entrante para descartar peligros potenciales antes de ser trasladado desde el rea de depsito hasta el lugar de uso. Registrar el material entrante al ingresar al sitio pertinente. Cuando fuese posible, el material entrante debe estar segregado o separado en sus diferentes partes que lo constituyan.

Auditoria en Informtica

Pg.| 10

2. SEGURIDAD DE LOS EQUIPOS. Evitar la prdida, dao, robo o puesta en peligro de los activos e interrupcin de las actividades de la organizacin. Principios de la seguridad de equipo: Proteccin de los equipos contras las amenazas fsicas y ambientales. La proteccin del equipo es necesaria para reducir el riesgo de acceso no autorizado a la informacin y su proteccin contra prdida o robo. Se podran requerir controles especiales para la proteccin contra amenazas fsicas y para salvaguardar servicios de apoyos como energa elctrica e infraestructura del cableado. Aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Las principales amenazas que se prevn en la seguridad del equipo son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

2.1 INSTALACIN Y PROTECCIN DE EQUIPOS Los equipos modernos de cmputo estn dotados de excelentes circuitos y filtros para distribuir la corriente elctrica en su interior. Pero no obstante su propia proteccin, toda computadora debe protegerse de las variaciones de los voltajes externos. Lo normal es colocar entre el PC y la red de energa pblica, elementos de barrera como reguladores de voltaje y supresores de picos de voltaje (surge protector). Pero necesitamos conocer varios detalles tcnicos adicionales para comprender e implementar una adecuada instalacin y proteccin para los PC. El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no autorizado, teniendo en cuenta los siguientes puntos: Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado.

Auditoria en Informtica

Pg.| 11

Ubicar las instalaciones de procesamiento y almacenamiento de informacin que manejan datos clasificados, en un sitio que permita la supervisin durante su uso. Aislar los elementos que requieren proteccin especial para reducir el nivel general de proteccin requerida. Adoptar controles adecuados para minimizar el riesgo de amenazas potenciales. Se deben establecer lineamientos sobre las actividades de comer, beber y fumar en la proximidad de los medios de procesamiento de la informacin. Revisar regularmente las condiciones ambientales para verificar que las mismas no afecten de manera adversa el funcionamiento de las instalaciones de procesamiento de la informacin. Se deben aplicar proteccin contra rayos a todos los edificios y se deben adaptar filtros de proteccin contra rayos a todas las lneas de ingreso de energa y comunicaciones. Considerar asimismo el impacto de las amenazas citadas en el punto que tengan lugar en zonas prximas a la sede del organismo.

2.2 SUMINISTRO ELCTRICO Importancia de la Aplicacin de las Normas Elctricas El uso e instalacin inadecuados de la energa elctrica, incluso en potencia limitada, pueden ser un peligro para los seres vivos, el medio ambiente y los bienes materiales. En las instalaciones elctricas, existen dos tipos de riesgos mayores: las corrientes de choque y las temperaturas excesivas; capaces de provocar quemaduras, incendios, explosiones u otros efectos peligrosos. Para prevenir ambos tipos de riesgos, los principios fundamentales de proteccin para la seguridad establecen que se deben tomar medidas de proteccin apropiadas contra: choques elctricos, efectos trmicos, sobre corrientes, Corrientes de falla y sobre tensiones.
Auditoria en Informtica Pg.| 12

Medidas de Proteccin en las Instalaciones Elctricas Se debe evitar que: las personas y dems seres vivos sufran lesiones, quemaduras o la muerte haya daos o prdidas de bienes materiales haya daos al medio ambiente. Para evitar lo anterior, las instalaciones elctricas deben planearse y efectuarse para: prevenir el contacto directo con las partes energizadas (vivas) de la instalacin prevenir el contacto indirecto con los conductores expuestos en caso de falla prevenir el contacto directo o indirecto con barreras o separaciones adecuadas limitar la corriente que pueda pasar a travs del cuerpo a un valor inferior al choque elctrico. activar la desconexin automtica de la alimentacin, en un lapso de tiempo que permita limitar la corriente y no causar el choque elctrico o una sobre corriente, en caso de contacto indirecto evitar el efecto trmico, eliminando cualquier riesgo de ignicin de materiales inflamables debido a las altas temperaturas o a los arcos elctricos utilizar proteccin contra sobre corriente para evitar temperaturas excesivas o averas electromecnicas conducir una corriente de falla o de fuga en forma segura, sin que alcancen una temperatura superior a la mxima permisible para los conductores instaurar mtodos de puesta y unin a tierra para la conduccin segura de corrientes de falla; en especial, en caso de contacto indirecto; eliminar una tensin excesiva motivada por fenmenos atmosfricos, electricidad esttica, fallas en la operacin de los equipos de interrupcin o bien por fallas entre partes vivas de circuitos alimentados a tensiones diferentes evitar sobrecargar los circuitos instalados debido a una mala planeacin o prcticas inadecuadas.

El equipamiento estar protegido con respecto a las posibles fallas en el suministro de energa u otras anomalas elctricas. El suministro de energa estar de acuerdo con las especificaciones del fabricante o proveedor de cada equipo. Para asegurar la continuidad del suministro de energa, se contemplarn las siguientes medidas de control: Disponer de mltiples enchufes o lneas de suministro para evitar un nico punto de falla en el suministro de energa.

Auditoria en Informtica

Pg.| 13

Contar con un suministro de energa interrumpible (UPS) para asegurar el apagado regulado y sistemtico o la ejecucin continua del equipamiento que sustenta las operaciones crticas del Organismo. La determinacin de dichas operaciones crticas, ser el resultado del anlisis de impacto realizado por el Responsable de Seguridad de la Informacin conjuntamente con los Propietarios de la Informacin con incumbencia. Los planes de contingencia contemplarn las acciones que han de emprenderse ante una falla de la UPS. Los equipos de UPS sern inspeccionados y probados peridicamente para asegurar que funcionan correctamente y que tienen la autonoma requerida. Montar un generador de respaldo para los casos en que el procesamiento deba continuar ante una falla prolongada en el suministro de energa. Debe realizarse un anlisis de impacto de las posibles consecuencias ante una interrupcin prolongada del procesamiento, con el objeto de definir qu componentes ser necesario abastecer de energa alternativa. Dicho anlisis ser realizado por el Responsable de Seguridad de la Informacin conjuntamente con los Propietarios de la Informacin. Se dispondr de un adecuado suministro de combustible para garantizar que el generador pueda funcionar por un perodo prolongado. Cuando el encendido de los generadores no sea automtico, se asegurar que el tiempo de funcionamiento de la UPS permita el encendido manual de los mismos. Los generadores sern inspeccionados y probados peridicamente para asegurar que funcionen segn lo previsto. Asimismo, se procurar que los interruptores de emergencia se ubiquen cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rpido de la energa en caso de producirse una situacin crtica. Se proveer de iluminacin de emergencia en caso de producirse una falla en el suministro principal de energa. Se implementar proteccin contra descargas elctricas en todos los edificios y lneas de comunicaciones externas de acuerdo a las normativas vigentes. Las opciones para lograr la continuidad de los suministros de energa incluyen mltiples alimentaciones para evitar que una falla en el suministro de energa.

2.3 SEGURIDAD DEL CABLEADO. Seguridad fsica del cableado La seguridad fsica del cableado es bastante sencilla aunque difcil de asegurar. La principal preocupacin para un consultor de seguridad fsica es que el cableado pueda fallar o que pueda ser seccionado por un intruso malintencionado. En principio tendremos tambin en cuenta lo comentado para las bocas de red y los conectores, que son tambin parte del cableado.
Auditoria en Informtica Pg.| 14

Para comprobar la red existen aparatos diseados para esta tarea, que nos permitirn comprobar los cables para ver si tienen algn tipo de problema. Tambin deberemos comprobar que el cableado cumple las normativas necesarias y que tiene la calidad necesaria, normalmente CAT5 o CAT7. Para el cableado coaxial grueso o fino deberemos usar otro tipo de aparatos para comprobarlos y deberemos comprobar sus caractersticas elctricas y las de los terminadores y dispositivos "T" que conectan las mquinas. Como cada vez son menos comunes no hablaremos mucho de ellos. Para evitar el posible seccionamiento del cableado de red lo mejor es entubarlo o integrarlo en la estructura del edificio. Muchos edificios tienen paneles desmontables dentro de los cuales se puede alojar el cableado de red, pero deber asegurarse que no son fcilmente desmontables o cualquiera podra abrirlos y seccionar el cable. Para los cables de fibra ptica deberemos estudiar la posibilidad del seccionamiento del cable, las caractersticas pticas de este (para esto necesitamos instrumental al efecto, puede ser necesario contratar a un especialista) y vigilar que este tipo de cables que suelen ser frgiles no estn acodados o doblados excesivamente. Para los sistemas sensibles o crticos, se implementarn los siguientes controles: Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspeccin. Utilizar rutas o medios de transmisin alternativos.

2.4 MANTENIMIENTO DE EQUIPOS. El mantenimiento de un sistema informtico tiene como finalidad conseguir que los equipos sean operativos el mayor tiempo posible y que, durante ese tiempo, funcionen de la manera ms eficaz y con el mximo de seguridad para el personal que los utiliza. El mantenimiento de un sistema informtico implica tanto el mantenimiento software como hardware. Niveles de mantenimiento de sistemas informticos En el mantenimiento de un sistema informtico se lleva a cabo en tres niveles: hardware, software y de informacin.

Auditoria en Informtica

Pg.| 15

Nivel de mantenimiento de hardware Se tiene en cuenta el estado de los equipos y perifricos del sistema, los fallos en este nivel se dan en forma de averas que pueden ser por desgaste de los materiales o por accidentes. El grado de la avera influye directamente en el comportamiento del sistema, ya que en muchas ocasiones puede llegar a afectar a una parte importante del mismo, llegando a inutilizarlo de forma temporal o definitiva. En el mbito empresarial el impacto de una avera supone como poco, la prdida de tiempo de trabajo de un empleado. Pero existen casos donde hay prdida monetaria y de imagen. Las tareas que se realizan en este nivel de mantenimiento son: Limpieza de los dispositivos hardware. Control del funcionamiento en condiciones de estrs del equipo (voltaje, temperatura, etc.) Reemplazo o reparacin de componentes que funcionan en mal estado

Nivel de mantenimiento de software Todas las computadoras necesitan software para funcionar. El mantenimiento asociado a este nivel se centra en las aplicaciones y datos alojados en los equipos del sistema. La instalacin de software en miles de equipos repartidos por una oficina o diversas sedes no es nada trivial y suelen producirse errores como prdida de informacin o comportamientos errneos en aplicaciones. Las principales causas de estos errores se deben a: La presencia de software "pirata" o no autorizado. Incompatibilidades de las aplicaciones corporativas con el hardware o el sistema operativo. Descontrol de las licencias de software comercial. Aparicin de virus informticos que afectan al software instalado. Para evitar estos problemas se suelen llevar a cabo medidas como: Limpieza de archivos y programas en los equipos Mantenimiento de la informacin almacenada Configuracin adecuada del sistema operativo Revisin de la seguridad de los equipos (virus, firewall, etc)

Auditoria en Informtica

Pg.| 16

Nivel de mantenimiento de la documentacin La documentacin adecuada, completa y actualizada, de un sistema que se desea implantar, mantener y actualizar en forma satisfactoria, es esencial; sin embargo, frecuentemente es la parte a la cual se dedica el menor tiempo y se le presta menos atencin. Siempre se debe documentar un sistema como si estuviera a punto de irse a Siberia el siguiente mes, para nunca volver. Si la documentacin del sistema fuera incompleta, podra hacer que el sistema quedara en desuso debido a la ignorancia de su funcionamiento. La tarea fundamental de este nivel es la de crear y actualizar la documentacin existente del sistema cada vez que se realice una actuacin sobre el mismo. Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes. Para ello se debe considerar: Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorizacin formal del Responsables del rea Informtica. El rea de Informtica mantendr un listado actualizado del equipamiento con el detalle de la frecuencia en que se realizar el mantenimiento preventivo. Establecer que slo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento. Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado. Registrar el retiro de equipamiento de la sede del Organismo para su mantenimiento. Eliminar la informacin confidencial que contenga cualquier equipamiento que sea necesario retirar, realizndose previamente las respectivas copias de resguardo.

2.5 SEGURIDAD DE LOS EQUIPOS FUERA DE LAS INSTALACIONES El uso de equipamiento destinado al procesamiento de informacin, fuera del mbito del organismo, ser autorizado por el responsable patrimonial. En el caso de que en el mismo se almacene informacin clasificada, debe ser aprobado adems por el Propietario de la misma. La seguridad provista debe ser equivalente a la suministrada dentro del mbito del Organismo para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma. Se respetarn permanentemente las instrucciones del fabricante respecto del cuidado del equipamiento. Asimismo, se mantendr una adecuada cobertura de seguro para proteger el equipamiento fuera del mbito del Organismo, cuando sea conveniente.
Auditoria en Informtica Pg.| 17

Control Se debiera aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacin. Lineamiento de implementacin Sin importar la propiedad, el uso de cualquier equipo de procesamiento de la informacin fuera del local de la organizacin debiera ser autorizado por la gerencia. Se debieran considerar los siguientes lineamientos para la proteccin del equipo fuera del local: El equipo y medios sacados del local nunca debiera ser dejados desatendidos en lugares pblicos; durante un viaje, las computadoras porttiles debieran ser llevadas como equipaje de mano y cuando sea posible, de manera disimulada. Se debieran observar en todo momento las instrucciones de los fabricantes para proteger el equipo; Por ejemplo, proteccin contra la exposicin a fuertes campos electromagnticos. Se debieran determinar controles para el trabajo en casa a travs de una evaluacin del riesgo y los controles apropiados conforme sea apropiado; por ejemplo, archivos con llave, poltica de escritorio vaco, controles de acceso para las computadoras y una comunicacin segura con la oficina. Se debiera contar con un seguro adecuado para proteger el equipo fuera del local. Los riesgos de seguridad; por ejemplo, dao, robo o intercepcin; puede variar considerablemente entre los locales y se debiera tomar esto en cuenta para determinar los controles ms apropiados.

2.6 REUTILIZACIN O RETIRO SEGURO DE EQUIPOS La informacin puede verse comprometida por una desafectacin o una reutilizacin descuidada del equipamiento. Los medios de almacenamiento conteniendo material sensible, por ejemplo discos rgidos no removibles, sern fsicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estndar, segn corresponda. Los dispositivos que contengan informacin confidencial deben requerir una evaluacin de riesgo para determinar si los tems debieran ser fsicamente destruidos en lugar de enviarlos a reparar o descartar.

Auditoria en Informtica

Pg.| 18

Control Se debieran chequear los tems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminacin. Lineamiento de implementacin Los dispositivos que contienen informacin confidencial debieran ser fsicamente destruidos o se debieran destruir, borrar o sobre-escribir la informacin utilizando tcnicas que hagan imposible recuperar la informacin original, en lugar de simplemente utilizar la funcin estndar de borrar o formatear.

3. CONTROLES GENERALES 3.1 POLTICAS DE PANTALLAS Y MESAS LIMPIAS Se adopta una poltica de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y una poltica de pantallas limpias en las instalaciones de procesamiento de informacin, a fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante el horario normal de trabajo como fuera del mismo. Se aplicarn los siguientes lineamientos: Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informticos, en gabinetes y/u otro tipo de mobiliario seguro cuando no estn siendo utilizados, especialmente fuera del horario de trabajo. Guardar bajo llave la informacin sensible o crtica del Organismo (preferentemente en una caja fuerte o gabinete a prueba de incendios) cuando no est en uso, especialmente cuando no hay personal en la oficina. Desconectar de la red / sistema / servicio las computadoras personales, terminales e impresoras asignadas a funciones crticas, cuando estn desatendidas. Las mismas deben ser protegidas mediante cerraduras de seguridad, contraseas u otros controles cuando no estn en uso (como por ejemplo la utilizacin de protectores de pantalla con contrasea). Los responsables de cada rea mantendrn un registro de las contraseas o copia de las llaves de seguridad utilizadas en el sector a su cargo. Tales elementos se encontrarn protegidos en sobre cerrado o caja de seguridad para impedir accesos no autorizados, debiendo dejarse constancia de todo acceso a las mismas, y de los motivos que llevaron a tal accin.

Auditoria en Informtica

Pg.| 19

Proteger los puntos de recepcin y envo de correo postal y las mquinas de fax no atendidas. Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo. Retirar inmediatamente la informacin sensible o confidencial, una vez impresa.

3.2 SALIDAS DE EQUIPO O INFORMACIN El equipamiento, la informacin y el software no sern retirados de la sede del Organismo sin autorizacin formal, peridicamente, se llevarn a cabo comprobaciones puntuales para detectar el retiro no autorizado de activos del organismo. El personal ser puesto en conocimiento de la posibilidad de realizacin de dichas comprobaciones. Los empleados deben saber que se llevan a cabo chequeos inesperados, y los chequeos se deben realizar con la debida autorizacin de los requerimientos legales y reguladores.

LITERATURA CITADA

Norma ISO 27002 del ao 2005

Auditoria en Informtica

Pg.| 20

Anexos

Auditoria en Informtica

Pg.| 21

SEGURIDAD FSICA Y ENTORNO

Auditoria en Informtica

Pg.| 22

UBICACIN DE LA SEGURIDAD FISICA Y ENTORNO

Auditoria en Informtica

Pg.| 23