Auditoría Interna en La Seguridad de La Información Con Base en Las Normas de La Serie ISO/IEC 27000 Por: Roxana Fuentes

Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000
Dedicatoria
Este trabajo de tesis est enteramente dedicado a m familia: Jess Fuentes, Rosa Colorado, Evangelina, Len, Sergio y Jess. Agradezco por todo lo que han hecho por m; por su confianza, apoyarme en todos mis sueos y locuras. Ustedes son la base m vida.
Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000
Agradecimientos
A mi padre por mostrarme el camino, por estar conmigo aunque la distancia nos separe, a mi madre por su amor, dedicacin, protegernos siempre con sus grandes enseanzas y mis abuelos, Agripina y Pablo a quienes perdi en este periodo, me ensearon que a pesar de las circunstancias siempre se puede decidir y que podemos crear ms dinero pero nunca ms tiempo.
A mis hermanos de sangre, Evangelina por regalarnos la sonrisa de Len y Jess por traerme de regreso, y los hermanos que la vida me regal, Sergio e Ismael por ayudarme incondicionalmente, en experimentos y sin importar el horario.
A mis mejores Amigos y compaeros de estudio, por todo lo vivido y los logros que seguramente nos esperan como profesionales.
A los maestros que han marcado m vida para bien, no agrego nombres pues todos son importantes, ser parte de la primera generacin de la UTCV me ha brindado la oportunidad de conocer grandes profesionales, que ms que conocimiento me ensearon a ser autodidacta. Gracias por las asesoras.
A la asesora acadmica ISC. Eira Leonor Gonzlez por su seguimiento y apoyo de la estada y a Propaga, por las facilidades y darme la oportunidad.
Finalmente quiero agradecer a todas las personas que me han ayudado a llegar hasta este momento de m vida. Y aun as a los que sirvieron como barreras, gracias por hacerme ms fuerte.
Universidad Tecnolgica del Centro de Veracruz

Programa educativo de Tecnologas de la informacin
Reporte para obtener ttulo de Ingeniero en Tecnologas de la informacin
Proyecto de estada realizado en la empresa Propaga
Nombre del Proyecto: Auditora Interna en la Seguridad de la Informacin con base en las normas de la serie ISO/IEC 27000 en la Empresa Propaga
Presenta: Roxana Fuentes Colorado Cuitlhuac Ver., a 07 de abril de 2014
Universidad Tecnolgica del Centro de Veracruz

Programa educativo de Tecnologas de la informacin Nombre del Asesor Industrial: Lic. Rubn Meja Cosco
Nombre del Asesor Acadmico: ISC. Eira Leonor Gonzles Lucho
Presenta: Roxana Fuentes Colorado
NDICE
Introduccin ............................................................................................................... 8 Resumen ..................................................................................................................... 9
Captulo 1 Antecedentes...........................................................................................11 1.1 1.2 1.3 1.4 Historia de la Empresa................................................................................11 Misin ..........................................................................................................11 Visin ...........................................................................................................11 Valores .........................................................................................................11
Captulo 2 Planteamiento del problema ..................................................................13 2.1 2.2 2.3 2.4 2.5 2.6 Justificacin ................................................................................................14 Objetivo General .........................................................................................15 Objetivos Especficos .................................................................................15 Alcance ........................................................................................................16 Factibilidad financiera ................................................................................17 Factibilidad tcnica .....................................................................................17
Captulo 3 Metodologa ...........................................................................................19 3.1 Planificacin y estudio preliminar ..................................................................19 3.1.1 Visitas a la empresa ............................................................................................... 20 3.1.2 Elaboracin de formatos para informe ................................................................ 20 3.1.3 Realizacin de checklist ........................................................................................ 21 3.2 Evaluacin de riesgos en la seguridad de la informacin en: ......................21 3.2.1 Instalaciones fsicas ............................................................................................... 21 3.2.2 Hardware ................................................................................................................. 21 3.2.3 Software ................................................................................................................... 22 3.2.4 3.3 Recursos humanos .......................................................................................... 22
Examen detallado de reas criticas ...........................................................22
3.3.1 Reunin de evidencias .......................................................................................... 23 3.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin ............ 23 3.4 Resultados...................................................................................................24
3.1 Realizacin del informe final y recomendaciones ................................................ 24
3.2 Presentacin del informe final ................................................................................. 24 3.3 Creacin de material para capacitacin de usuarios ........................................... 24 3.5 Cronograma de Actividades y producto ........................................................22
Captulo Implementacin de la auditora ........................................................26 4.1 Planificacin y estudio preliminar ..................................................................26 4.1.1 Visitas a la empresa .............................................................................................. 26 4.1.2 Elaboracin de formatos para informe ................................................................ 27 4.1.2.1 Check-List Instalaciones fsicas................................................................... 31 4.1.2.2 Check-List Hardware ..................................................................................... 33 4.1.2.3 Check-List Software........................................................................................ 35 4.1.2.4 Check-List Recursos Humanos .................................................................... 38 4.2 Evaluacin de riesgos en la Seguridad de la Informacin .......................39
4.2.1 Instalaciones Fsicas .............................................................................................. 40 4.2.2 Hardware ................................................................................................................. 43 4.2.3 Software ................................................................................................................... 46 4.2.4 Recursos Humanos............................................................................................... 51 4.3 4.3 Examen detallado de reas criticas ...........................................................54 Reunin de evidencias ........................................................................................ 55
4.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin ........... 56 4.4 Resultados...................................................................................................62
4.4.1 Realizacin del informe final y recomendaciones ............................................. 62 4.4.2 Presentacin del informe final .............................................................................. 68 Bibliografa ................................................................................................................69 Referencias Web ....................................................................................................69 Glosario .....................................................................................................................70
Checklist 1 Instalaciones fsicas. ______________________________________ Checklist 2 Hardware. ________________________________________________ Checklist 3 Software. ________________________________________________ Checklist 4 Recursos Humanos. _______________________________________
43 46 51 54
Cronograma de actividades y producto. ________________________________ 22 Diagrama 1 CRMR: reas de aplicacin de la auditora.____________________ 20 Diagrama 2 Flujo de informacin. ______________________________________ 56
Diagrama 3 Croquis de evaluacin fsica. _______________________________ 57
Formatos 1 Informe final. _____________________________________________ Formatos 2 Checklist Instalaciones Fsicas. _____________________________ Formatos 3 Checklist Hardware. _______________________________________ Formatos 4 Checklist Software.________________________________________ Formatos 5 Checklist Recursos Humanos. ______________________________
30 33 34 37 39
Grfica 1Resultados de auditora en Instalaciones Fsicas. _________________ Grfica 2 Resultado de Auditora en Hardware. ___________________________ Grfica 3 Resultado de auditora en Software.____________________________ Grficas 4 Resultado de Auditora en Recursos Humanos. _________________
58 59 60 61
Informe Final _______________________________________________________ 67
Introduccin
Hace varias dcadas se public el cuento No tengo boca y debo gritar (Ellison, 1967) el tema principal era un software que cobr conciencia de s mismo y que vio en el hombre una gran amenaza (por la informacin que recibi), por lo que decidi eliminarlo. De hecho la pelcula The Terminator basa gran parte de su trama en la ya mencionada obra, no es que ahora la tecnologa se haya revelado contra el hombre, pero se debe aceptar que en esta poca dependemos totalmente de herramientas informticas, para hacer las operaciones ms rpidas, donde uno de los protagonistas es la informacin pues es de acuerdo a esta determina las acciones a realizar de la maquina o software, sin importar si su funcin sea buena o negativa para los usuarios. La informacin es el motor de toda empresa, gracias a esta se puede conocer el mercado al que se dirige la organizacin, contactar con clientes potenciales, tomar decisiones que nos lleven a lograr los objetivos y contar con informacin ntegra conlleva a tener una gran ventaja sobre la competencia. Para las empresas la recoleccin de informacin es una oportunidad que se obtiene a travs de proveedores, clientes y redes sociales, es tan importante como el dinero y vital para que la empresa se mantenga funcionando. En los ltimos aos se ha intensificado el robo de la informacin incluso en altos niveles corporativos, debido a la falta seguridad en las redes y sistemas de informacin. En el presente documento se plantea una Auditoria Interna en Seguridad de la Informacin con base en las normas de la serie ISO/IEC 27000. de
Resumen
Este trabajo de tesis se realiz con el objetivo de conocer el estado de la seguridad de la informacin (SI) en la empresa Propaga, con especial nfasis en el hardware, software, instalaciones fsicas y recursos humanos. Se utiliz las normas de la serie ISO/IEC 27000 y CRMR. Los materiales utilizados fueron en hardware: Computadoras, cmara fotogrfica, scanner y en software: Adobe Fireworks, editor de texto y Prezi. Las tcnicas aplicadas fueron: la observacin y checklist donde se investig cuales eran los procesos de monitoreo, fallas, intercambio de informacin con externos, privilegios de usuarios, contraseas, alarmas y dems caractersticas que puedan tener relacin con alguna deficiencia en la SI. Con base a los resultados obtenidos mediante la presentacin de la evidencia ante los criterios de la auditora se recomienda: capacitar a los usuarios de forma permanente para que estos conozcan tcnicas para salvaguardar la informacin y mejoren as su desempeo en la empresa. As como crear los planes de contingencia y polticas de la SI enfocados a salvaguardar la informacin de clientes, con lo anterior mejorara la calidad y servicio de Propaga.
10
Captulo 1 Antecedentes
1.1
Historia de la Empresa
Propaga es una empresa ubicada en la ciudad de Veracruz, inicio sus operaciones en el ao 1990 en un concepto de startup 1 , su producto principal es la publicidad y promocin de la empresas en todo el estado, actualmente distribuye 80,000 ejemplares impresos por semana de sus clientes (siendo Soriana, Grupo Waldos, Bodega Aurrera y Ofix los clientes ms importantes) y cuenta con 20 empleados, se enfoca a un mercado muy generalizado y tiene alianzas con empresas nacionales para mayor cobertura.
1.2
Misin
Propaga es una empresa comercial de diseo, publicidad y promocin a nivel estatal, creando valor para los clientes.
1.3
Visin
Ser una empresa lder en el mercado desarrollando e innovado servicios de diseo, publicidad y promocin.
1.4
Valores
Trabajo en equipo: Sumamos esfuerzos para maximizar resultados. Compromiso: Creamos y obtenemos la satisfaccin de nuestros clientes. Orientacin al Cliente: Nos relacionamos a largo plazo con nuestros clientes, que son nuestra razn de ser.
Start-up o incipiente es una empresa con una historia de funcionamiento limitado, que se distingue por su perfil de riesgo / recompensa y sus grandes posibilidades de crecimiento (escalabilidad).
11
12
Captulo 2 Planteamiento del problema

Propaga ha tenido una gran aceptacin y crecimiento desde el aspecto econmico hasta los recursos humanos, aunque esto tambin ha trado consigo una gran problemtica: la falta de organizacin, control y polticas poco definidas, lo que ha originado prdida de informacin publicitaria por parte del personal. En la primera entrevista con la encargado de recursos humanos se logr identificar que no existe un responsable de proteger la informacin, ni se cuenta con anlisis de riesgos, los empleados pueden acceder directamente a la red y consultar cualquier archivo, sin que hasta ahora se tengan polticas de privacidad o privilegios de usuarios que permitan el acceso solo a personal autorizado. La mayora de los empleados descargan archivos de las PC, computadoras porttiles y otros dispositivos sin contar con software de proteccin contra malware, incluyendo virus, troyanos, gusanos o programas espas. Otro punto importante es que la seguridad fsica de los equipos y dispositivos de almacenamiento no cuentan con respaldo alguno en discos duros externos o USB, convirtindose en una debilidad para la empresa, pues los datos de clientes podran perderse en caso de algn accidente o desastre natural afectando de forma econmica a la empresa. Los aspectos antes mencionados vuelven vulnerable a Propaga, pues l administrador ha detectado casos como fuga de clientes, proyectos y presupuestos, que conllevan a disminuir el crecimiento de la empresa. La empresa desea identificar reas de oportunidad relacionadas a evitar el robo de informacin, virus, autentificacin de autentificacin de usuarios, privilegios de usuarios y tener bases en la creacin de polticas de seguridad para salvaguardar su informacin.
13
2.1 Justificacin
La auditoria interna en la seguridad es el inicio de toda empresa para mejorar y asegurar la seguridad de la informacin. Tambin es una herramienta til para evaluar y monitorear los procesos que se ejecutan en la organizacin garantizando a los clientes la confidencialidad, disponibilidad e integridad de su publicidad. Para resolver esta problemtica Propaga desea realizar una auditoria interna, con el objetivo principal de mantener el control en el Hardware, Software, seguridad fsica y recursos humanos. La auditora interna a desarrollar ser con base en las normas de la serie ISO/IEC 27000 2 que ayudarn a gestionar una mejor seguridad de la informacin, estas normas pueden adaptarse a cualquier empresa sin importar su tamao, adems de que son normas internacionales auditables que definen los requisitos para un sistema de gestin de la seguridad de la informacin y cuenta un enfoque por
procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar la seguridad en la informacin. A la par se ha establecido crear una capacitacin bsica por medio de cursos guiados (podrn ser usados por el personal existente y nuevas contrataciones), de esta forma se pretende que los usuarios comprendan el valor de la seguridad de la informacin desde sus puestos, conocer cuales son las nuevas polticas a seguir y as mejorar su desempeo laboral. El objetivo de la auditora interna es tener el control en la seguridad de la informacin en Propaga, como una empresa tendr un valor agregado, para los
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
14
clientes es necesario que los encargados de su publicidad manejen confidencialidad y utilicen su informacin con responsabilidad sin intromisin de terceros. El presente proyecto tendr un gran impacto de mediano a largo plazo, lo posibles beneficios sern los siguientes: Evitar la fuga de clientes. Control sobre la usabilidad y disponibilidad de la informacin. El personal utilizar de forma adecuada la informacin. Eficacia en la gestin de la informacin. Los dispositivos de almacenamiento contarn con respaldo. Plan de contingencias contra la prdida de informacin. Las computadoras tendrn mayor proteccin en caso de virus u otros ataques. Se contar con restriccin por medio de usuarios y contraseas para informacin privilegiada. 2.2 Objetivo General La alumna realizar una auditora interna en la seguridad de la informacin en la empresa Propaga, con base en las normas de la serie ISO/IEC 27000, con el fin mejorar la gestin de informacin en el hardware, software y recursos humanos, en el periodo de estada Enero-Abril 2014. 2.3 Objetivos Especficos Visitar a Propaga para realizar un estudio preliminar. Crear un plan de trabajo para llevar a cabo la auditora. Creacin de formatos para la evaluacin de la auditora (informes) y checklist. Evaluacin de instalaciones fsicas para detectar posibles vulnerabilidades en la infraestructura de la empresa.
15
Evaluacin del Hardware para conocer las caractersticas y estado fsico del equipo de cmputo.
Evaluacin del Software para determinar posibles faltas o fallos de seguridad.
Evaluacin de los recursos humanos para determinar su necesidad de formacin y proponer los cambios necesarios actitud, habilidades, o conocimientos. del comportamiento,
Identificar la causa de problemticas derivadas de la falta de control en la informacin para encontrar soluciones que ayuden a erradicarlas.
Recomendaciones generales para la creacin de planes de contingencia y polticas de seguridad.
Documentar un informe final para incluir una propuesta de mejora. Creacin de material para capacitacin de usuarios para que conozcan la importancia de la SI y sean implementadas las mejoras en la empresa.
2.4 Alcance El proyecto de estada que ser realizado el periodo de Enero-Abril del 2014 abarcar una auditoria informtica interna en la seguridad de la informacin con base en las normas de la serie ISO/IEC 27000 en la empresa Propaga, con el objetivo de realizar recomendaciones de mejora las cuales se vern reflejados en posibles polticas de seguridad y plan de contingencias. Los puntos a auditar sern los siguientes: De las instalaciones fsicas se evaluar: Instalaciones elctricas y cableadas de la red de datos. Sistemas de proteccin a dispositivos de almacenamiento. Sistemas contra desastres naturales.
16
Control de accesos a las instalaciones.
De hardware se evaluar: Seguridad fsica del equipo de cmputo. Inventarios.
De software se evaluar: Antivirus, antiespas y otros. Cuentas de correo.
De recursos humanos se evaluar: Uso de la informacin. Desempeo de su funcin. Trabajo e interaccin con los otros. Nivel de conocimiento sobre seguridad informtica.
2.5 Factibilidad financiera Se prev que la auditoria informtica interna en la seguridad de la informacin
generar un mnimo costo de auditoria para la empresa, ya que es un proyecto de estada como parte del proceso de titulacin. No obstante la empresa est comprometida a cubrir los gastos que se generen en la realizacin del proyecto y otorgar una beca de apoyo para la alumna. 2.6 Factibilidad tcnica La alumna cuenta con los conocimientos necesarios para llevar a cabo la auditoria informtica interna en la seguridad de la informacin, as como tambin Propaga cuenta con los requisitos adecuados para facilitar este proceso.
17
18
Captulo 3 Metodologa
En esta auditora se identificarn las vulnerabilidades de la informacin en la empresa Propaga, para esto ser necesario que el auditor conozca cuales son los puntos de amenaza, para el desarrollo de esta auditoria se utilizar la metodologa CRMR (Computer resource management review) 3 especializada en la evaluacin de recursos informticos proporciona soluciones ms rpidas a problemas concretos y notorios para auditar los riesgos de la empresa en aspectos como infraestructura, hardware, software y recursos humanos. Adems las normas de la serie ISO/IEC 27000 sern retomadas para la creacin de herramientas de evaluacin como cuestionarios personalizados y checklist, derivados de estos se crearn diagramas de caso de uso, lo anterior dar la pauta para adaptarse en la auditoria interna en Propaga que tendr como producto un informe final con recomendaciones y propuestas de mejora.
3.1 Planificacin y estudio preliminar

Es el primer acercamiento con la empresa, el auditor ser responsable junto con el encargado de recursos humanos de ajustar la planeacin, crear las herramientas de evaluacin retomando las normas de la serie ISO/IEC 27000, lo siguiente es evaluar el entorno donde haya posible descontrol en el flujo de la informacin la metodologa CRMR ser tambin parte de la planeacin, para esto es necesario contar con la mayor cantidad de informacin de Propaga.
Esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.
19
Diagrama 1 CRMR: reas de aplicacin de la auditora.
3.1.1 Visitas a la empresa

El auditor visitar a la empresa para conocer ms acerca del organigrama, infraestructura y flujos de informacin, con base en las normas de la serie ISO/IEC 27000 se identificarn las reas de oportunidad, herramientas a utilizar como es el caso de cuestionarios personalizados y checklist para los diferentes departamentos, tres das son necesarios para esta actividad. Los recursos que se utilizarn son la computadora, cmara fotogrfica y Word.
3.1.2 Elaboracin de formatos para informe

Se crearn los informes muy especficos para cada aspecto a evaluar, todo esto en base a la solucin de problemticas y observaciones que se llevaran a cabo en la auditora. Lo anterior se realizar en dos das, se necesitar el apoyo del departamento de recursos humanos, el fin de esta actividad es crear las herramientas
20
que nos permitan mostrar las deficiencias en la seguridad de la informacin y ser la pauta para saber que puntos se necesitan evaluar y abarcar en los checklist. Los recursos que se utilizarn son: el organigrama de la empresa, computadora y Word.
3.1.3 Realizacin de checklist

El auditor debern crear los checklists 4 para que el auditado responda clara y escuetamente. El objetivo de la aplicacin de los anteriores es conocer acerca de la empresa, del puesto que desempea el empleado, como utiliza la informacin, si
utiliza algn tipo de seguridad para evitar la intromisin de terceros y si algunas de sus actividades son utilizadas para publicar informacin confidencial de la empresa, para esta actividad se tomaran dos semanas. Los cuestionarios sern digitales, formarn parte de las evidencias y tambin se podrn implementar entrevistas, se utilizar la computadora y Word.
3.2 Evaluacin de riesgos en la seguridad de la informacin en: 3.2.1 Instalaciones fsicas

El auditor se respaldar en se utilizar la metodologa CRMR para evaluar las instalaciones de Propaga, si cuenta con planes de contingencia, salidas de emergencia, revisar el cableado y ver si la empresa es vulnerable en este aspecto, todo lo anterior servir para realizar reportes y ser posible evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son los formatos de evaluacin para instalaciones fsicas, cmara fotogrfica, computadora, entre otros.
3.2.2 Hardware
Checklist pueden ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.
21
En esta actividad ser necesario contar con el inventario de la empresa, evaluar con que respaldos para contrarrestar posible extravi de informacin con base en se utilizar la metodologa CRMR, todo lo anterior servir para realizar reportes y generar evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son los formatos de evaluacin para hardware, inventario de equipo de computo, cmara fotogrfica, computadora, otros.
3.2.3 Software
El auditor con base en se utilizar la metodologa CRMR evaluar los antivirus, antiespas, navegadores, uso de redes sociales y correo. Esta actividad es de las ms importantes pues este es uno de los principales medios de fuga en la informacin en el rea de diseo, lo anterior servir para realizar reportes y posible evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son los formatos de evaluacin para software, Fireworks, computadora, otros.
3.2.4 Recursos humanos

La actividad consistir en evaluar cual es el uso de la informacin en el empleado con base en se utilizar la metodologa CRMR 5 , de que forma desempea su funcin, como interacta con los otros y cual es su nivel de conocimiento sobre seguridad informtica. La informacin recolectada servir para realizar reportes y posible evidencia, el tiempo para esta actividad ser de una semana. Los recursos que se utilizarn son reportes de recursos humanos, cmara fotogrfica, organigrama, computadora, entre otros.
3.3 Examen detallado de reas criticas

El auditor deber reunir de forma precisa las evidencias sobre la auditoria, la finalidad de esta etapa es conocer cuales son las vulnerabilidades de la empresa.
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos.
22
3.3.1 Reunin de evidencias

En esta actividad el auditor realizar la recoleccin y seleccin de las evidencias que considere importantes, para esto se crearan diagramas de caso de uso. El resultado de la evaluacin de riesgos mencionados en las anteriores actividades, el tiempo en desarrollarla es de cinco semanas. Los recursos que se utilizarn todas las evidencias recabadas en actividades anteriores como lo es fotografas, reportes, notas, computadora, otros.
3.3.2 Estudio y anlisis profundo de evidencias

Una de las actividades ms relevantes es el anlisis de la informacin donde se jerarquizar la importancia de las evidencias, aqu se empezar a definir cuales son las causas de la fuga de informacin, no se debe descartar ninguna evidencia, proporciona una visin para la actividad que precede, el tiempo de esta actividad ser de dos semanas. Los recursos que se utilizarn las evidencias recabadas en actividades anteriores como lo es fotografas, reportes, notas, computadora, otros.
3.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin

En este punto es necesario redactar borradores, matriz de riesgos 6 e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado. Esta actividad se pueden descubrir fallos de apreciacin en el auditor quien puede validar sus evaluaciones en las evidencias obtenidas que mostrarn las vulnerabilidades en la seguridad de la informacin, el tiempo de esta actividad ser de tres semanas. Los recursos que se utilizarn las evidencias especficas recabadas en actividades anteriores como lo es fotografas, reportes, notas, computadora, otros.
Identificacin de instituciones que requieren mayor atencin y reas crticas de riesgo.
23
3.4 Resultados
Despus del trabajo de auditoria en esta etapa el encargado de realizarla deber redactar el informe final que incluyen las recomendaciones para mejorar el proceso de seguridad de la informacin, concluyendo con una capacitacin para los recursos humanos.
3.1 Realizacin del informe final y recomendaciones

Para esta actividad se requiere tener las bases suficientes pues es el reporte final, as como las posibles recomendaciones en base a los resultados de auditora que sern bsicamente para mejorar la seguridad de la informacin, el tiempo estimado es de tres semanas. Los recursos que se utilizarn: computadora, Word, Fireworks, entre otros.
3.2 Presentacin del informe final

El auditor presentar su informe final y recomendaciones de mejoras, se retroalimentara sobre la importancia de las auditorias, ventajas para la empresa si aplica las recomendaciones, dar la pauta para la creacin de polticas de seguridad y capacitacin de los empleados para un mejor rendimiento, todo lo anterior se realizar en un da. Los recursos que se utilizarn es el informe final, Prezi 7 , Fireworks, computadora, otros.
3.3 Creacin de material para capacitacin de usuarios

El auditor junto con el encargado de recursos humanos crear el material necesario para la capacitacin a los empleados, por rea y en especial donde se haya detectado mayor vulnerabilidad, tambin servir como introduccin para nuevo personal futuro, para esto se realizar en una semana como mximo y con esto concluir el trabajo del auditor. Los recursos que se utilizarn son: informe final, Prezi, computadora, otros.
7
Prezi es una aplicacin multimedia para la creacin de presentaciones similar a Microsoft Office PowerPoint o Impress de Libre Office pero de manera dinmica y original.
24
Es importante mencionar que el tiempo estimado es de dos semanas, pero puede variar dependiendo de las contingencias en la auditora. En el siguiente cronograma de actividades se muestran los tiempos etapas de la auditoria, actividades a realizar, tiempos, responsables y producto por actividad.
25
3.5 Cronograma de Actividades y producto
Cronograma de actividades y producto. 1
Captulo Implementacin de la auditora
El inicio de la auditora estuvo lleno de nuevas expectativas de encontrar deficiencias en la seguridad informtica, el siguiente proceso muestra cuales fueron los pasos a seguir desde la planeacin estratgica, continuando con la evaluacin en los cuatro aspectos fundamentales (especificados en los objetivos especficos) para la empresa como lo son: instalaciones fsicas, hardware, software y recursos humanos, la metodologa CRMR (nivel medio)8 fue una gran herramienta de apoyo para identificar el proceso de auditora y como se realizan la tareas que determinan la seguridad de la informacin en Propaga. 4.1 Planificacin y estudio preliminar Durante este proceso se inicio la recopilacin de informacin para conocer cual es el contexto en que se encontraba la empresa, el organigrama fue de mucha ayuda pues se logr identificar cuales eran los puestos estratgicos y de forma preliminar plantear los reactivos o cuestionamientos que deberan de incluir los cuestionarios y checklist, todo lo anterior fue basado en la norma ISO/ IEC 27002 la cual especifica los aspectos a evaluar e identificar las vulnerabilidades de SI. 4.1.1 Visitas a la empresa La auditora realiz las visitas previas para conocer sobre el funcionamiento de la empresa, los roles que desempea cada trabajador, como se desplazan los flujos de informacin, si existen jerarquas y responsables por rea.
En este caso el CRMR establecer conclusiones y recomendaciones.
26
Organigrama: Se muestran los puestos estratgicos para Propaga.
4.1.2 Elaboracin de formatos para informe Para elaborar los formatos del informe final fue necesario conocer de que forma la norma ISO/ IEC 27000 era compatible con esta auditora, en el siguiente cuadro se muestra algunos puntos bsicos de la ya mencionada norma enfocado en 27002 donde se indican los aspectos a auditar y se utiliz para conocer que resultados se obtendran, esto fue muy importante ya que es la base para crear los checklist.
27
ISO/IEC 1 27002 Referencia para la elaboracin de chekclist.
Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000 No de Solicitud Periodo de auditora Nombre de la organizacin Etapa 1 auditora Objetivo Criterios de Normas de la Serie ISO/IEC 27000 Auditor rea
Alcance
28
Objetivos especficos
Herramientas a utilizar: Personal contactado Nombre Cargo
Revisin de los elementos de evaluacin especificados en la norma ISO/IEC 27002 Criterio/ Actividad
5 poltica de seguridad 7 Gestin de activos 8 Seguridad ligada a recursos humanos 9 Seguridad fsica y del entorno 10 Gestin de comunicaciones y
Revisin
Resultado
operaciones 11 Control de acceso 12 Adquisicin, en desarrollo sistemas y de
mantenimiento informacin
13 Gestin de incidentes en la seguridad de la informacin
29
Revisin
A: Aplica NA: No aplica
Resultado
C: Cumple NR: No Revisado NM: Necesita mejora
Conclusiones de la auditora Grado de confianza que se le puede dar a la auditora interna en la organizacin
Fortalezas
Necesidades de Mejora
Conclusiones y observaciones del grupo auditor
Disposiciones finales
En caso de queja o apelacin al auditor o comentarios al resultado de este informe, notifquelo por escrito.
Firmas de recepcin de este informe
Fecha
Auditor
Gerente General Propaga

Formatos 1 Informe final.
30
Este proceso se estar realizando durante las evaluaciones de riesgos en los SI9. Para este proceso se identificaron las reas ms importantes a abarcar, quedando de la siguiente forma: 4.1.2.1 Check-List Instalaciones fsicas
Con base en la norma ISO/ IEC 27002: 2005 No. Tipo de seguridad a evaluar Responsable Nombre del Proyecto reas seguras No. Caracterstica Si 1 Permetro de seguridad fsica Cumple No Observaciones Firma Fecha de elaboracin Instalaciones Fsicas
1.1 2 2.1
El espacio es suficiente para trabajar Controles fsicos de entrada Las entradas y puertas de salida cuentan con algn tipo de seguridad
2.2
Las entradas y puertas de salida se encuentran en perfecto funcionamiento
Seguridad de oficinas, despachos e
Seguridad de la Informacin.
31
instalaciones. 3.1 Las instalaciones cuentan con extintores estratgicos 3.2 Los pasillos son adecuados para cada rea de trabajo 4 Proteccin contra las amenazas externas y de origen ambiental. 4.1 Las instalaciones son resistentes a fenmenos naturales 4.2 Existe un plan de contingencia que incluye sealamientos y rutas de evacuacin 4.3 El edificio cuenta con seguro en caso de siniestros 5 5.1 Trabajo en reas seguras. El mobiliario se encuentra instalado estratgicamente para evitar perdida de informacin 5.2 El mobiliario se encuentra instalado estratgicamente para evitar cadas o derrumbes. 6 reas de acceso pblico y de carga y descarga. 6.1 El rea de recepcin es independiente a las oficinas
32
6.2
Existe estacionamiento para clientes y trabajadores

Formatos 2 Checklist Instalaciones Fsicas.
4.1.2.2 Check-List Hardware Con base en la norma ISO/ IEC 27002: 2005 No. Tipo de seguridad a evaluar Responsable Nombre del Proyecto No. Caracterstica Si 1 1.1 1.2 1.3 2 2.1 2.2 2.3 2.4 2.5 Responsabilidad sobre los activos. Inventario de activos. Propiedad de los activos. Uso aceptable de los activos. Seguridad de los equipos. Emplazamiento y proteccin de equipos. Instalaciones de suministro. Seguridad del cableado. Mantenimiento de los equipos. Seguridad de los equipos fuera de las instalaciones. Firma Fecha de elaboracin Cumple No Observaciones Hardware
33
2.6
Reutilizacin o retirada segura de equipos.
2.7
Retirada de materiales propiedad de la empresa.
3 3.1 3.2 4 4.1 4.2
Gestin de la seguridad de las redes. Controles de red. Seguridad de los servicios de red. Control de acceso a la red. Poltica de uso de los servicios en red. Autenticacin de usuario para conexiones externas.
4.3
Identificacin de los equipos en las redes.
4.4
Proteccin de los puertos de diagnstico y configuracin remotos
5 5.1 5.2 6
Copias de seguridad Respaldo fsico Respaldo en la nube Seguridad en caso de desastres naturales y accidentes
6.1 7
Seguro de activos Control de acceso al cdigo fuente de los programas.
7.1
Control de las vulnerabilidades tcnicas.

Formatos 3 Checklist Hardware.
34
4.1.2.3 Check-List Software Con base en la norma ISO/ IEC 27002: 2005 No. Responsable Nombre del Proyecto No. Caracterstica Cumple Si GESTIN DE COMUNICACIONES Y OPERACIONES 1 Proteccin contra el cdigo malicioso y descargable. 1.1 1.2 Controles contra el cdigo malicioso. Controles contra el cdigo descargado en el cliente. 2 2.1 Intercambio de informacin Polticas y procedimientos de intercambio de informacin. 2.2 2.3 2.4 2.5 3 3.1 3.2 Acuerdos de intercambio. Soportes fsicos en trnsito. Mensajera electrnica. Sistemas de informacin empresariales. Servicios de comercio electrnico. Comercio electrnico. Transacciones en lnea. No Observaciones Tipo de seguridad Firma Fecha de elaboracin Software
35
3.3
Informacin pblicamente disponible.
CONTROL DE ACCESO. 4 4.1 4.2 4.3 4.4 Gestin de acceso de usuario. Registro de usuario Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de usuario. 5 5.1 5.2 5.3 Control de acceso a la red. Segregacin de las redes. Control de la conexin a la red. Control de encaminamiento (routing) de red. 6 6.1 Control de acceso al sistema operativo. Procedimientos seguros de inicio de sesin. 6.2 6.3 6.4 6.5 6.6 7 Identificacin y autenticacin de usuario. Sistema de gestin de contraseas. Uso de los recursos del sistema. Desconexin automtica de sesin. Limitacin del tiempo de conexin. Control de acceso a las aplicaciones y a la informacin. 7.1 7.2 Restriccin del acceso a la informacin. Aislamiento de sistemas sensibles.
36
8 8.1
Ordenadores porttiles y teletrabajo. Ordenadores porttiles y comunicaciones mviles.
8.2
Teletrabajo.
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN. 9 Tratamiento correcto de las aplicaciones. 9.1 9.2 9.3 9.4 10 Validacin de los datos de entrada. Control del procesamiento interno. Integridad de los mensajes. Validacin de los datos de salida. Controles criptogrficos.
10.1 Poltica de uso de los controles criptogrficos. 10.2 Gestin de claves. 11 Seguridad de los archivos de sistema. Control del software en explotacin. 11.1 Proteccin de los datos de prueba del sistema. 11.2 Control de acceso al cdigo fuente de los programas.
Formatos 4 Checklist Software.
37
4.1.2.4 Check-List Recursos Humanos Con base en la norma ISO/ IEC 27002: 2005 No. Responsable Nombre del Proyecto No. Caracterstica Cumple Si No Observaciones Tipo de seguridad Firma Fecha de elaboracin Recursos Humanos
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 1 1.1 1.2 1.3 Antes del empleo Funciones y responsabilidades. Investigacin de antecedentes. Trminos y condiciones de contratacin. 2 2.1 2.2 Durante el empleo. Responsabilidades de la Direccin. Concienciacin, formacin y capacitacin en seguridad de la informacin. 2.3 3 3.1 3.2 Proceso disciplinario. Cese del empleo o cambio de puesto de trabajo. Responsabilidad del cese o cambio. Devolucin de activos.
38
3.3
Retirada de los derechos de acceso.
GESTIN DE COMUNICACIONES Y OPERACIONES 4 4.1 Responsabilidades y procedimientos de operacin. Documentacin de los procedimientos de operacin. 4.2 4.3 4.4 Gestin de cambios. Segregacin de tareas. Separacin de los recursos de desarrollo, prueba y operacin. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN 5 5.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. Notificacin de los eventos de seguridad de la informacin. 5.2 Notificacin de puntos dbiles de seguridad. 6 6.1 6.2 Gestin de incidentes y mejoras de seguridad de la informacin. Responsabilidades y procedimientos. Aprendizaje de los incidentes de seguridad de la informacin. 6.3 Recopilacin de evidencias.
Formatos 5 Checklist Recursos Humanos.
4.2 Evaluacin de riesgos en la Seguridad de la Informacin

En esta parte de la auditoria lo primordial es conocer e identificar las vulnerabilidades de la SI. Para esto nos apoyaremos en los checklist creados, tambin se tendr como apoyo
39
evidencias registradas por medio de la observacin, siendo en la evaluacin de recursos humanos donde hay mas posibilidades de interactuar con los empleados, es en sta fase donde se recopilar la mayor informacin posible.
4.2.1 Instalaciones Fsicas

Check-List Instalaciones fsicas, en la Empresa PROPAGA, con base en la norma ISO/ IEC 27002: 2005. No. 1 Tipo de seguridad a evaluar Responsable Nombre del Proyecto reas seguras No. Caracterstica Si 1 Permetro de seguridad fsica Cumple No Existen algunos fallos en Observaciones Roxana Fuentes Auditoria Informtica Firma Fecha de elaboracin Instalaciones Fsicas 20/01/14 Instalaciones Fsicas
x
1.1 El espacio es suficiente para trabajar
la seguridad de las instalaciones Cada empleado cuenta
x
2 Controles fsicos de entrada
con un rea de trabajo especfica No existe un vigilante y en
ocasiones la recepcin se encuentra sin vigilancia
40
2.1
Las entradas y puertas de salida cuentan con algn tipo de seguridad
La entrada cuenta con una reja que impide que
terceras personas acceder de forma directa, las salidas secundarias se encuentran cerradas
2.2
Las entradas y puertas de salida se encuentran en perfecto funcionamiento
x x
Las entradas y salidas son funcionales en su totalidad Alarmas contra introduccin de terceros Los extintores se encuentran en la parte de
Seguridad de oficinas, despachos e instalaciones.
3.1
Las instalaciones cuentan con extintores estratgicos
la recepcin y en el estacionamiento de la empresa
3.2
Los pasillos son adecuados para cada rea de trabajo
Existe una armona y
x X
espacios razonables para cada trabajador
Proteccin contra las amenazas externas y de origen ambiental.
La empresa no cuenta con un plan de contingencias Por la zona geogrfica cabe destacar que las
4.1
Las instalaciones son resistentes a fenmenos naturales
instalaciones son seguras en su construccin y acabado de pisos
41
4.2
Existe un plan de contingencia que incluye sealamientos y rutas de evacuacin
No existe plan de
contingencias pues hasta la fecha no se ha registrado algn percance
4.3
El edificio cuenta con seguro en caso de siniestros
No existe un seguro para
X X
cubrir el pago de inmuebles
Trabajo en reas seguras.
5.1
El mobiliario se encuentra instalado estratgicamente para evitar perdida de informacin
La copiadora se encuentra en rea de recepcin,
donde un tercero podra tener acceso a la informacin
5.2
El mobiliario se encuentra instalado estratgicamente para evitar cadas o derrumbes.
El mobiliario se encuentra
estratgicamente ubicado para evitar daos y accidentes
reas de acceso pblico y de carga y descarga.
En casos de carga y
descarga de materiales existe un rea especfica
6.1
El rea de recepcin es independiente a las oficinas
Las oficinas donde se
lleva la contabilidad, facturacin, almacn y creacin de campaas
42
publicitarias se encuentran lejos de la recepcin 6.2 Existe estacionamiento para clientes y trabajadores La empresa cuenta con
espacios para estacionamiento de clientes o proveedores
Checklist 1 Instalaciones fsicas.
4.2.2 Hardware
No.
Tipo de seguridad a evaluar
Hardware
Responsable Nombre del Proyecto No. Caracterstica
Roxana Fuentes Auditoria Informtica
Firma Fecha de elaboracin Cumple Si No Observaciones 05/02/14
Responsabilidad sobre los activos.
x x x
La administradora es la encargada de los activos
1.1
Inventario de activos.
Existe un inventario desactualizado
1.2
Propiedad de los activos.
Los activos son propiedad de Propaga
43
1.3
Uso aceptable de los activos.
Los activos se encuentran
x
2 Seguridad de los equipos.
funcionado en reas estratgicas La informacin en los
x
2.1 Emplazamiento y proteccin de equipos.
equipos puede ser de fcil acceso para terceros
x x x
Existe una proteccin bsica
2.2
Instalaciones de suministro.
Los equipos cuentan con suministros
2.3
Seguridad del cableado.
El cableado se encuentra sin las especificaciones

TIA/EIA-568
2.4
Mantenimiento de los equipos.
x x
Los equipos no reciben un mantenimiento peridico
2.5
Seguridad de los equipos fuera de las instalaciones.
Los equipos cuentan con alarmas Los equipos son utilizados hasta su merma, siempre
2.6
Reutilizacin o retirada segura de equipos.
que sean funcionales y no pongan en peligro a los usuarios o instalaciones
2.7
Retirada de materiales propiedad de la empresa.
Los materiales y cableado no se almacenan
44
Gestin de la seguridad de las redes.
Las redes no cuentan con algn sistema de seguridad
3.1
Controles de red.
No existen los controles
necesarios para evitar la infiltracin de terceros en la informacin
3.2
Seguridad de los servicios de red.
Los servicios de red no
x
4 Control de acceso a la red.
cuentan con seguridad en sus conexiones
x x
No existen privilegios o jerarqua de usuarios
4.1
Poltica de uso de los servicios en red.
No existen polticas o reglas de acceso a los servicios de red
4.2
Autenticacin de usuario para conexiones externas.
Existen restricciones para
evitar las conexiones externas
4.3
Identificacin de los equipos en las redes.
Los equipos son
x x x
identificados entre los usuarios de la red
4.4
Proteccin de los puertos de diagnstico y configuracin remotos
No existe un control establecido No existe un respaldo de informacin
Copias de seguridad
45
5.1
Respaldo fsico
x x
No se cuenta con algn
5.2
Respaldo en la nube
Seguridad en caso de desastres naturales y accidentes
x x x
plan de contingencias en caso de desastres naturales
6.1
Seguro de activos
No se cuenta con algn seguro
Control de acceso al cdigo fuente de los programas.
El cdigo del software utilizado es controlado por empresas externas
7.1
Control de las vulnerabilidades tcnicas.
Las vulnerabilidades
x
Checklist 2 Hardware.
tcnicas se encuentran sin control
4.2.3 Software No. Responsable Nombre del Proyecto No. Caracterstica 1 Roxana Fuentes Auditoria Informtica Cumple Si GESTIN DE COMUNICACIONES Y OPERACIONES No Observaciones Tipo de seguridad Firma Fecha de elaboracin 12/02/14 Software
46
Proteccin contra el cdigo malicioso y descargable.
Utiliza una suite de antivirus avast versin de pago
1.1
Controles contra el cdigo malicioso.
x x x x x x x
Existe un software dedicado
1.2
Controles contra el cdigo descargado en el cliente.
Existe un software dedicado No existen reglas de intercambio de archivos
Intercambio de informacin
2.1
Polticas y procedimientos de intercambio de informacin.
2.2
Acuerdos de intercambio.
2.3
Soportes fsicos en trnsito.
Nunca se instalo algn soporte fsico
2.4
Mensajera electrnica.
La mayora de la informacin se transfiere por correo electrnico
2.5
Sistemas de informacin empresariales.
La empresa cuenta con sistemas online dedicados
Servicios de comercio electrnico.
x X
En proceso de creacin
3.1
Comercio electrnico.
47
3.2
Transacciones en lnea.
X x
Existe informacin en directorios, redes sociales y ms
3.3
Informacin pblicamente disponible.
CONTROL DE ACCESO. 4 Gestin de acceso de usuario.
x x x x
No existe un control de usuarios
4.1
Registro de usuario
Ningn usuario se encuentra registrado
4.2
Gestin de privilegios
No existen privilegios por usuarios
4.3
Gestin de contraseas de usuario
Las contraseas de usuario solo aplican para aplicaciones online
4.4
Revisin de los derechos de acceso de usuario.
x x
Todos los usuarios tienen acceso No existe un software o dispositivo que controle la seguridad en la red
Control de acceso a la red.
5.1
Segregacin de las redes.
x x
No se configuro
5.2
Control de la conexin a la red.
Solo por la contrasea del proveedor de Internet
48
5.3
Control de encaminamiento (routing) de red.
x x x x x
No se configuro
Control de acceso al sistema operativo.
De forma Bsica
6.1
Procedimientos seguros de inicio de sesin.
Contraseas bsicas de inicio de sesin No existe la autentificacin
6.2
Identificacin y autenticacin de usuario.
6.3
Sistema de gestin de contraseas.
Las contraseas son gestionadas por los usuarios de forma independiente
6.4
Uso de los recursos del sistema.
Si se utilizan varios sistemas de intercambio de informacin
6.5
Desconexin automtica de sesin.
Solo existe desconexin cuando el usuario lo requiere
6.6
Limitacin del tiempo de conexin.
x x x x
No existen limitantes
Control de acceso a las aplicaciones y a la informacin.
7.1
Restriccin del acceso a la informacin.
Filtro bsico
7.2
Aislamiento de sistemas sensibles.
Los sistemas tienen contraseas
49
Ordenadores porttiles y teletrabajo.
x x
Si aplica
8.1
Ordenadores porttiles y comunicaciones mviles.
Son varios los dispositivos utilizados en el intercambio de informacin
8.2
Teletrabajo.
En mantenimiento
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN. 9 Tratamiento correcto de las aplicaciones.
Las aplicaciones cuentan con candados de seguridad
9.1
Validacin de los datos de entrada.
x x x
Solo datos reales tienen acceso al usuario
9.2
Control del procesamiento interno.
Existe un control de nivel medio
9.3
Integridad de los mensajes.
Los mensajes llegan de forma integra, hasta la fecha no se han registrado casos
9.4
Validacin de los datos de salida.
Los datos son rectificados de forma personal por el usuario remitente
10
Controles criptogrficos.
No existen
50
10.1 Poltica de uso de los controles criptogrficos. 10.2 Gestin de claves.
x x
No conocen acerca de este tipo de polticas Las claves son a nivel bajo-medio no son gestionadas
11
Seguridad de los archivos de sistema.
x x x x
En cuanto al sistema la seguridad depende de
Control del software en explotacin.
terceros que son los encargados de mantener
11.1 Proteccin de los datos de prueba del sistema. 11.2 Control de acceso al cdigo fuente de los programas.
Checklist 3 Software.
en funcionamiento los sistemas online
4.2.4 Recursos Humanos

No. Responsable Nombre del Proyecto No. Caracterstica 1 Roxana Fuentes Auditoria Informtica Cumple Si No Observaciones Tipo de seguridad Firma Fecha de elaboracin 20/02/14 Recursos Humanos
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 1 Antes del empleo
51
1.1
Funciones y responsabilidades.
Los usuarios conocen sobre cuales sern sus responsabilidades dentro de la empresa antes de ser contratados
1.2
Investigacin de antecedentes.
No existe un amplia investigacin en la mayora de los candidatos, solo cartas de recomendacin
1.3
Trminos y condiciones de contratacin.
Antes empezar a laborar el empleado y el encargado de recursos humanos firman un contrato para establecer las responsabilidades de trabajador y obligaciones de la empresa
2 2.1 Responsabilidades de la Direccin.
Durante el empleo.
La direccin es responsable de las funciones dentro de la empresa
2.2
Concienciacin, formacin y capacitacin en seguridad de la informacin.
La capacitacin referente a seguridad de la informacin no es aplicada
2.3
Proceso disciplinario.
Los empleados son disciplinados y enfocados a cumplir con la misin de Propaga
Cese del empleo o cambio de puesto de trabajo.
52
3.1
Responsabilidad del cese o cambio.
X X
En la mayora de los casos los empleados cambian de ciudad
3.2
Devolucin de activos.
Los empleados estn obligados por el contrato a devolver cualquier informacin o insumo de la empresa
3.3
Retirada de los derechos de acceso.
Las contraseas son cambiadas, se retiran las credenciales y el exempleado ya no tendr acceso de forma directa a la empresa
GESTIN DE COMUNICACIONES Y OPERACIONES 4 4.1 Responsabilidades y procedimientos de operacin. Documentacin de los procedimientos de operacin.
Existe un plan de trabajo para cumplir con sus actividades segn el rea y puesto del empleado
4.2
Gestin de cambios.
X X X
Dependiendo de la carga de trabajo, los empleados conocen
4.3
Segregacin de tareas.
las tareas de la semana, clientes y proveedores.
4.4
Separacin de los recursos de desarrollo, prueba y operacin.
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN 5 Notificacin de eventos y puntos dbiles de seguridad de la informacin.
53
5.1
Notificacin de los eventos de seguridad de la informacin.
x x
No de forma directa
5.2
Notificacin de puntos dbiles de seguridad.
No se tienen la herramientas para identificarlos
6 6.1
Gestin de incidentes y mejoras de seguridad de la informacin. Responsabilidades y procedimientos.
Los empleados saben que parte de su trabajo es cuidar la informacin privada
6.2
Aprendizaje de los incidentes de seguridad de la informacin.
x x
No se recopilaron, ni se cuenta con plan para enfrentar incidentes en la SI
6.3
Recopilacin de evidencias.
Checklist 4 Recursos Humanos.
4.3
Examen detallado de reas criticas
Durante la auditora se identificaron varias reas que podran significar un alto riesgo en la seguridad de la informacin: Las instalaciones fsicas, software, hardware y recursos humanos dentro de la evaluacin se enfoco en encontrar donde esta fallando el resguardo de la informacin, la norma 27000 nos indica los aspectos a evaluar, para esto se realizaron las siguientes actividades extras: Se analiz los sistemas de informacin operados por la administracin. Las garantas y nivel de funcionalidad de los antivirus. Revisin del SO y correo electrnico.
54
Las entradas y salidas de la empresa. Funcionalidad de extintores. Funcionalidad de las alarmas de las instalaciones. Cableado y configuracin de redes inalmbricas. Contrato con proveedor de telefona e internet. Funcionalidad de los equipos de cmputo. Formatos de contratacin de empleados.
4.3
Reunin de evidencias
Despus de evaluar a la empresa se reuni las evidencias retomando las ms importantes y desechando las que no sean relevantes para la norma ISO/IEC 27000, por disposicin de la empresa existen evidencias confidenciales y no podrn ser mostradas en el presente protocolo, a continuacin se hace un listado de las evidencias reunidas: Checklist de Instalaciones fsicas, hardware, software y recursos humanos. Fotografas. Organigrama. Testimonios de empleados. Diagramas de actividades. Contratos e informes de la empresa.
4.3.2 Estudio y anlisis profundo de evidencias

Este proceso ha tenido como objetivo adentrase en las funciones de la empresa, conocer cual es el flujo de la informacin, responsables, mejoras que se podran aplicar en los procesos para hacer ms efectiva la seguridad de la informacin. Mismo que se detalla a continuacin:
55
Diagrama 2 Flujo de informacin.
4.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin

En las instalaciones fsicas de obtuvieron los siguientes resultados:
56
Diagrama 3 Croquis de evaluacin fsica.
57
Grfica 1Resultados de auditora en Instalaciones Fsicas.
58
La evaluacin del software arrojo lo siguiente:
Grfica 2 Resultado de Auditora en Hardware.
59
El hardware cuenta con vulnerabilidades mostradas en la siguiente grafica:
Grfica 3 Resultado de auditora en Software.
60
En los recursos humanos se encontr las siguientes vulnerabilidades:
Grficas 4 Resultado de Auditora en Recursos Humanos.
61
4.4 Resultados
En esta ultima fase de la auditora los interesados conocen los resultados, es importante mencionar que se realiz un informe final que incluye las vulnerabilidades, fortalezas y reas de oportunidad de mejora para la empresa.
4.4.1 Realizacin del informe final y recomendaciones

El informe final incluye un resumen de todos los aspectos evaluados, es el resultado final de todo el proceso de auditora y da la pausa para crear nuevas polticas y planes de contingencia para bien de la empresa.
Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000 No de Solicitud Periodo de auditora Nombre de la organizacin Etapa 1 auditora Objetivo
Realizar una auditora interna en la seguridad de la informacin en la empresa Propaga, con base en las normas de la serie ISO/IEC 27000, con el fin mejorar la gestin de informacin en la infraestructura, hardware, software y recursos humanos.
1 Enero-Abril
Auditor rea Propaga
Roxana Fuentes
General
Criterios de Normas de la Serie ISO/IEC 27000
Alcance
El proyecto de estada que ser realizado el periodo de Enero-Abril del 2014 abarcar una auditoria informtica interna en la seguridad de la informacin con base en las
62
normas de la serie ISO/IEC 27000 en la empresa Propaga, con el objetivo de realizar recomendaciones de mejora las cuales se vern reflejados en posibles polticas de seguridad y plan de contingencias. Los puntos a auditar sern los siguientes: De las instalaciones fsicas se evaluar: Instalaciones elctricas y cableadas de la red de datos. Sistemas de proteccin a dispositivos de almacenamiento. Sistemas contra desastres naturales. Control de accesos a las instalaciones.
De hardware se evaluar: Seguridad fsica del equipo de cmputo. Inventarios.
De software se evaluar: Antivirus, antiespas y otros. Navegadores. Uso de redes sociales. Correo.
De recursos humanos se evaluar: Uso de la informacin. Desempeo de su funcin. Trabajo e interaccin con los otros. Nivel de conocimiento sobre seguridad informtica.
Objetivos especficos
Visitar a Propaga para realizar un estudio preliminar. Crear un plan de trabajo para llevar a cabo la auditora.
63
Creacin de formatos para la evaluacin de la auditora (informes) y cheklist. Evaluacin de instalaciones fsicas para detectar posibles vulnerabilidades en la infraestructura de la empresa.
Evaluacin del Hardware para conocer las caractersticas y estado fsico del equipo de cmputo.
Evaluacin del Software para determinar posibles faltas o fallos de seguridad. Evaluacin de los recursos humanos para determinar su necesidad de formacin y proponer los cambios necesarios del comportamiento, conocimientos. actitud, habilidades, o
Identificar la causa de problemticas derivadas de la falta de control en la informacin para encontrar soluciones que ayuden a erradicarlas.
Recomendaciones generales para la creacin de planes de contingencia y polticas de seguridad.
Documentar un informe final para incluir una propuesta de mejora. Creacin de material para capacitacin de usuarios.
Herramientas a utilizar: Personal contactado10 Nombre Roco Rodrguez M. Rubn Meja Cosco Edith Coleman Hernndez Citlalli Blanco Valerio Bladimir Meja Mariscal
Computadora, informacin de la empresa, otros.
Cargo Directora General Gerente General Administracin Secretaria Operativa Supervisor
10
Solo se entrevisto a personal estratgico.
64
Antonio Montes Domnguez Pedro Herrera Romero Valentn Girn Miramontes
Transporte Mensajero Mensajero
Revisin de los elementos de evaluacin especificados en la norma ISO/IEC 27002 Criterio/ Actividad
5 Poltica de seguridad 7 Gestin de activos 8 Seguridad ligada a recursos humanos 9 Seguridad fsica y del entorno 10 Gestin de comunicaciones y
Revisin
A A A A A
Resultado
NM C C NM C
operaciones 11 Control de acceso 12 Adquisicin, en desarrollo sistemas y de A A

NM NM
mantenimiento informacin
13 Gestin de incidentes en la seguridad de la informacin
NM
Revisin
A: Aplica NA: No aplica
Resultado
C: Cumple NR: No Revisado NM: Necesita mejora
Conclusiones de la auditora Grado de confianza que se le puede dar a la auditora interna en la organizacin Satisfactorio
65
Fortalezas
Propaga cuenta con un gran espacio para realizar sus actividades, por este motivo es menos propenso a recibir perdidas causa de desastres naturales. Utiliza extintores en caso de incendio. Existen alarmas en puertas. La empresa utiliza sus activos de forma idnea. Se utiliza software especializado para evitar perdidas de informacin por causa de cdigo malicioso o virus. Se utilizan contraseas para tener acceso al correo electrnico, sistemas de informacin, redes sociales y otras aplicaciones. Los recursos humanos son contratados bajo un contrato y conociendo las obligaciones y responsabilidades del trabajador y Propaga. Ante la baja de algn empleado se toman las acciones correspondientes para evitar la fuga de informacin o mal uso de esta. El personal utiliza identificaciones para evitar robo de identidad.
Necesidades de Mejora
En descargas de software en administracin y recepcin. Aplicar polticas de seguridad de la informacin de la red interna. Control sobre acceso y configuracin de red. Las PC necesitan mayor ventilacin e iluminacin. Los cables de los equipos de cmputo se encuentran sueltos. El cableado de datos no se encuentra instalado de acuerdo a la norma de tendido de cable de datos. Instalar un sistema puesto a tierra (basado en algn estndar). Respaldar la informacin como proteccin fuera de la empresa o por medio de la
66
nube. Crear manuales para implementar software, actualizaciones, para cada equipo de cmputo. Plan de contingencias en caso de accidentes o desastres naturales, creando una ruta de evacuacin y sealamientos.
Conclusiones y observaciones del auditor

Con base a los resultados obtenidos mediante la presentacin de la evidencia ante los criterios de la auditora se recomienda:
Capacitar a los usuarios de forma permanente para que estos conozcan tcnicas para salvaguardar la informacin y mejoren as su desempeo en la empresa.
Crear los planes de contingencia y polticas de la SI enfocados a salvaguardar la informacin de clientes, con lo anterior mejorara la calidad y servicio de Propaga.
Disposiciones finales
En caso de queja o apelacin al auditor o comentarios al resultado de este informe, notifquelo por escrito.
Firmas de recepcin de este informe
Fecha Representante de Auditor Propaga

Informe Final 1
67
4.4.2 Presentacin del informe final
Durante el proceso de la auditora se encontraron varios aspectos positivos dentro de la SI, los sistemas de vigilancia y algunos otros controles han logrado mantener hasta cierto punto la privacidad en informacin confidencial. La tecnologa y las nuevas aplicaciones traen consigo nuevos retos para Propaga, implementar las mejoras mencionadas en el informe final es necesario pues de lo contrario dentro de algunos aos nuevos competidores podran a provechar la falta de seguridad informtica, sobre todo en el aspecto de contraseas y redes. Se acord realizar las mejoras y crear las polticas de seguridad dentro de la empresa, para esto se utilizarn los resultados y recomendaciones del informe final.
4.4.3 Creacin del material para capacitacin de usuarios Para tener un mejor desempeo y buenos resultados en un plazo medio, fue creado un material que ayudar al personal y nuevas contrataciones, a realizar su trabajo en base a la seguridad informtica y polticas de la empresa. El gerente general ha incluido dentro del plan de prximas contrataciones partes de la norma ISO/IEC 27000 (incluidas en el checklist de recursos humanos).
68
Bibliografa
Domnguez, H. (2010). El puente hacia el futuro. Logstica y Operaciones, 32. Jos Antonio Echenique Garca (2005) Auditoria en Informtica Segunda edicin, Capitulo 1. Pgs. 21-22. Jos Antonio Echenique Garca (2005) Auditoria en Informtica Segunda edicin, Capitulo 3. Pgs. 58-86. Expansin, Control Interno, Auditora y Seguridad Informtica. (1996)Tomos II-IV.
Piattini, M., E. Del Peso, Auditora Informtica: un enfoque prctico (1997), Ra-Ma, Capitulo 4. Pgs. 96-127.
Referencias Web
(2013, 11). An Introduction to ISO 27001, ISO 27002....ISO 27008. The ISO 27000 Directory. Recuperado 01, 2014, de http://www.27000.org/ (2012, 11). Portal de soluciones tcnicas y organizativas a los controles de ISO/IEC 27002 ISO/IEC 27002 ES. Recuperado 11, 2013, de http://www.iso27002.es/
69
Glosario
Alcance (Ingls: Scope). mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin. Amenaza (Ingls: Threat). Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Auditor (Ingls: Auditor). Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha realizado en un rea particular. Auditora (Ingls: Audit). Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin. Checklist Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su desarrollo.
70
Desastre (Ingls: Disaster). Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera significativa. ISO 27001 Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicacin en 2005. ISO 27002 Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799). No es certificable. Cambio de oficial de nomenclatura de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007. Poltica de seguridad (Ingls: Security policy). Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn [ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la Direccin. Riesgo (Ingls: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus consecuencias.
71
SGSI (Ingls: ISMS). Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin, polticas, planificacin de actividades, responsabilidades,
procedimientos, procesos y recursos.) Vulnerabilidad (Ingls: Vulnerability). Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
72

Auditoría Interna en La Seguridad de La Información Con Base en Las Normas de La Serie ISO/IEC 27000 Por: Roxana Fuentes

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoría Interna en La Seguridad de La Información Con Base en Las Normas de La Serie ISO/IEC 27000 Por: Roxana Fuentes

Încărcat de

Drepturi de autor:

Formate disponibile

Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Universidad Tecnolgica del Centro de Veracruz

Proyecto de estada realizado en la empresa Propaga

Presenta: Roxana Fuentes Colorado Cuitlhuac Ver., a 07 de abril de 2014

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Universidad Tecnolgica del Centro de Veracruz

Nombre del Asesor Acadmico: ISC. Eira Leonor Gonzles Lucho

Presenta: Roxana Fuentes Colorado

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Examen detallado de reas criticas ...........................................................22

3.1 Realizacin del informe final y recomendaciones ................................................ 24

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

4.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin ........... 56 4.4 Resultados...................................................................................................62

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Diagrama 3 Croquis de evaluacin fsica. _______________________________ 57

Informe Final _______________________________________________________ 67

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Captulo 2 Planteamiento del problema

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Evaluacin del Software para determinar posibles faltas o fallos de seguridad.

Recomendaciones generales para la creacin de planes de contingencia y polticas de seguridad.

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Control de accesos a las instalaciones.

De hardware se evaluar: Seguridad fsica del equipo de cmputo. Inventarios.

De software se evaluar: Antivirus, antiespas y otros. Cuentas de correo.

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

3.1 Planificacin y estudio preliminar

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Diagrama 1 CRMR: reas de aplicacin de la auditora.

3.1.1 Visitas a la empresa

3.1.2 Elaboracin de formatos para informe

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

3.1.3 Realizacin de checklist

3.2 Evaluacin de riesgos en la seguridad de la informacin en: 3.2.1 Instalaciones fsicas

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

3.2.4 Recursos humanos

3.3 Examen detallado de reas criticas

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

3.3.1 Reunin de evidencias

3.3.2 Estudio y anlisis profundo de evidencias

3.3.3 Identificacin de vulnerabilidades en la seguridad de la informacin

Identificacin de instituciones que requieren mayor atencin y reas crticas de riesgo.

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

3.1 Realizacin del informe final y recomendaciones

3.2 Presentacin del informe final

3.3 Creacin de material para capacitacin de usuarios

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Auditora Interna en la SI con base en las normas de la serie ISO/IEC 27000

Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000

3.5 Cronograma de Actividades y producto

Cronograma de actividades y producto. 1

Informe Final de la Auditora Interna en Seguridad de la Informacin ISO/IEC 27000

Captulo Implementacin de la auditora