SERVICIO DE AUDITORIA A LA
SEGURIDAD FISICA.
26 de Enero 2017
Contenido
Introducción ........................................................................................................................................ 3
Objetivo ............................................................................................................................................... 3
Alcance ................................................................................................................................................ 3
Entregables del servicio. ..................................................................................................................... 4
Equipo de trabajo ................................................................................................................................ 5
Metodología para la administración del proyecto .............................................................................. 5
Metodología para la gestión del cambio............................................................................................. 6
Plan de Trabajo.................................................................................................................................... 6
Arranque ............................................................................................................................................. 6
Actividades a Realizar.......................................................................................................................... 6
Cronograma del servicio ..................................................................................................................... 8
Requerimientos y participación de Cliente para el desarrollo del proyecto ...................................... 8
Requerimientos para los servicios ...................................................................................................... 9
Soporte ................................................................................................................................................ 9
Tecnología Utilizada ............................................................................................................................ 9
Factores críticos de éxito del servicio ................................................................................................. 9
Propuesta económica........................................................................................................................ 10
Riesgos............................................................................................................................................... 11
Introducción
Para asegurar que sus procesos, tecnologías y gente operan de una manera segura; el cliente
requiere un servicio de auditoria de seguridad física y detección de amenazas efectivo, que
le permita garantizar la confidencialidad de la información que se maneja en voz, datos y
video dentro de sus instalaciones con el objeto de mitigar los riesgos asociados a las brechas
de seguridad en sus instalaciones, sistemas y aplicativos.
Objetivo
Realizar una auditoria en seguridad física para dar respuesta al requerimiento
solicitado a través de la metodología que nuestro grupo de expertos utilizan.
El objetivo principal es realizar el análisis detallado y hacer recomendaciones a la
seguridad física con la finalidad de identificar cuál es su grado de visibilidad o
exposición de la información digital o analógica que se maneja en sus instalaciones,
e identificar los posibles riesgos en caso de que exista un intento de intrusión o robo
de la misma.
Elevar los niveles de seguridad dentro de las oficinas, procesos, tecnología y gente
con la que actualmente se opera.
Alcance
Los alcances aquí planteados están orientados a cumplir con el objetivo mencionado, y están
acotados básicamente por los requerimientos comunicados en 2 partidas.
Que se podrá tener acceso al equipo y se tienen una carta con la autorización de la
alta dirección de poder trabajar con el equipo y su información.
Que se autoriza la actualización del sistema operativo si es necesario para la mejora
y detección de información necesaria.
Equipo de trabajo
El grupo de Testers está conformado por un grupo de expertos con amplia experiencia en
análisis de seguridad física y pruebas de penetración, siendo las más destacadas:
Escaneo de Radiofrecuencias
Análisis espectral
Detección de juntas no lineales
Análisis de la línea eléctrica
Escaneo óptico de cámaras ocultas
Aplicativos Web
Aplicaciones Cliente Servidor
Redes Corporativas
Ingeniería Social (Phishing)
Redes inalámbricas
Cifrado de información
Roles Integrantes
El arranque del proyecto que se inicia con una reunión de arranque o Kick off donde
se revisa y confirman:
o Plan de trabajo
o Integrantes
o Alcances
La etapa de ejecución de servicios:
o Donde se tendrán juntas de seguimiento semanales para reporte de avances e
incidencias.
Cierre de proyecto
o Se presentan resultados y se firma carta de aceptación y cierre de servicios
Cualquier cambio, en términos del alcance u objetivos de los servicios aquí descritos, debe
ser formalizado, debidamente documentado, justificado en las minutas de seguimiento y de
acuerdo a los procedimientos establecidos por el cliente, tomando en cuenta que de tener un
impacto directo en la duración o cantidad de recursos a utilizar por Carse Innovación
Tecnológica, esto puede generar un costo extra.
Plan de Trabajo
Un plan de trabajo detallado y con fechas específicas deberá ser presentado al inicio del
servicio considerando todas las actividades aquí descritas pero ajustándose a la
disponibilidad, tiempos y labores de gestión del cliente, no debiendo exceder en ningún caso
la duración original acordada.
Arranque
Junta de Kick Off
o Presentación de equipo de trabajo
o Presentación de principales hitos del proyecto
o Se define línea base de plan de trabajo detallado.
Actividades a Realizar
Revisión de la documentación
Modificaciones por Vo.Bo.
CIERRE
o Junta de cierre del proyecto.
Cronograma del servicio
La ejecución de los servicios tanto para la auditoria de seguridad física como para el análisis
forense, se esquematizan en el siguiente cronograma el cuál una vez contratado el servicio
puede ser modificado en cuanto al orden más no así duración.
FEBRERO
ACTIVIDAD 10 11-12 13-17 17 20
INICIO DE ACTIVIDADES X
INSPECCIÓN FISICA X
ANALISIS FORENSE X X
REPORTES X
1ER DRAF PARA
X
REVISION
ENTREGA FINAL X
Designar personal del cliente como responsable del equipo de seguridad con el que
el grupo de testers pueda contactar cuando sea identificado un riesgo, brecha y/o
vulnerabilidad catalogada como alta, grave o crítica.
Designar uno o más facilitadores que pueda apoyar con:
o El acceso al equipo de cómputo para el análisis forense con credenciales de
administrador.
o La entrega de requerimientos y validación para la inspección física de las
oficinas:
Definición de los 100 metros cuadrados a inspeccionar con las 6 salas
de trabajo involucradas.
Acceso completo a las áreas a inspeccionar.
Definir el acceso a mobiliario controlado o equipo distinto ubicado
dentro del área de inspección.
Proporcionar datos sobre los materiales existentes en la construcción
del inmueble.
Proporcionar planos eléctricos y de aire acondicionado existentes en
el inmueble.
Asegurar que se tendrá acceso a alturas mayores a 2 metros en las
instalaciones, ya que no está considerado escaleras o andamios que
permitan estos accesos a áreas mayores a la altura de 2 metros.
Confirmar el tipo o clasificación de la información crítica o sensible
que se quiere proteger.
Soporte
Los servicios solicitados en esta propuesta no requieren soporte adicional al que prestarán
los consultores a las actividades descritas en el servicio.
Tecnología Utilizada
Las herramientas a utilizar se especificarán en los entregables de acuerdo a cada una de las
evidencias encontradas y acciones tomadas
Responsabilidades.
Cliente