1. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA MODALIDAD A DISTANCIA CENTRO SAN RAFAEL
PRUEBA DE ENSAYO II BIM AUDITORÍA INFORMÁTICA
Revise el punto 10.4 del capítulo 10 del libro base. Proponga en cada aspecto de esta norma, una
política necesaria que debería tener la organización (20 aspectos).
10.4 ISO 27002:2005 – SEGURIDAD FÍSICA Y DEL ENTORNO
10.4.1 Seguridad Física y del Entorno
1. Perímetro de seguridad.- Todo el perímetro debe estar controlado por cámaras de vigilancia las
cuales deben ser monitoreadas por personal de seguridad que permanecerá vigilando todo el tiempo.
2. Controles físicos de entrada.- El acceso a las instalaciones donde se encuentran los sistemas
informáticos debe ser controlado por un sistema biométrico; este método de control es el que brinda un
óptimo resultado en la actualidad.
3. Seguridad de oficinas, despachos e instalaciones.- La seguridad debe estar diseñada por un
sistema de serraduras y candados combinados además un sistema de alarmas; las puertas estarán
fabricadas de metal reforzado que impida su violación con cualquier herramienta.
4. Protección contra amenazas externas y ambientales.- Las paredes exteriores deben ser sólidas,
las instalaciones deben tener una salida de emergencia y los extintores deben estar cargados y
actualizados.
5. Trabajo en áreas de seguridad.- El personal que trabaja en estas áreas deben ser técnicos
especializados y experimentados en este tipo de labores además deben utilizar la vestimenta adecuada y
las herramientas que les permita desarrollar su trabajo con eficiencia y eficacia.
6. Áreas de acceso público, áreas de carga y descarga.- Se debe restringir el acceso de personal no
autorizado a áreas de carga y descarga solo pueden acceder personal autorizado con su respectiva
identificación.
7. Instalaciones y protección de los equipos.- Para la instalación de equipos informáticos hay que
cumplir con las normas de seguridad y proteger los equipos de los accesos de personal no autorizado,
con un password.
8. Suministro eléctrico.- Instalar equipos de protección contra las variaciones de corriente eléctrica.
Además contar con una planta eléctrica en caso de cortes de energía para garantizar la continuidad del
trabajo.
9. Seguridad del cableado.- Tableros y acometidas eléctricas adecuadas, con todas las conexiones en
cada lugar específico de acuerdo a las necesidades; conexiones para voz, datos, switches, video,
routers, equipos de computación y comunicación y sus implementos.
10. Mantenimiento de equipos.- Realizar mantenimiento preventivo periódicamente con la herramienta
necesaria y adecuada a cada uno de los equipos y componentes y dar a conocer a los usuarios el
cuidado preventivo que hay que tener.
11. Seguridad de los equipos fuera de los locales de la organización.- Los equipos que son
utilizados fuera de las instalaciones deben estar en un lugar que tenga las condiciones físicas y
ambientales que garanticen el buen funcionamiento y resguardo de los mismos; además los accesos
deben tener las mismas reglas y políticas que son para los que se utilizan dentro de la organización.
12. Seguridad en la reutilización, enajenación o desecho de equipos.- Los equipos que ya no se
utilizan y que todavía pueden ser utilizados pueden ser donados a organizaciones educativas. Para el
desecho de equipos hay que tomar las medidas necesarias para minimizar la contaminación ambiental.
13. Salida de las instalaciones.- Prohibir la salida de los equipos de cómputo e información de las
instalaciones solo pueden salir con autorización de la gerencia para ser reparados o inspeccionados por
especialistas y técnicos de alguna empresa especializada o para ser utilizados en otra agencia.
10.4.2 Control de Acceso
1. Políticas de control de acceso.- Documentar las políticas de acceso para asegurar el acceso de
personal autorizado para lo cual cada colaborador utilizará una credencial que debe portar en una parte
INGENIERÍA EN CONTABILIDAD Y AUDITORIA VÍCTOR LUMANÍA
2. UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA MODALIDAD A DISTANCIA CENTRO SAN RAFAEL
PRUEBA DE ENSAYO II BIM AUDITORÍA INFORMÁTICA
visible mientras permanece en las instalaciones físicas y para el ingreso a los sistemas computarizados
utilizará un usuario y contraseña que será suministrado por el jefe del Departamento TI.
2. Gestión de accesos de usuarios.- Establecer un procedimiento para tener actualizado los usuarios
activos y los inactivos los cuales deben ser dados de baja para garantizar el acceso únicamente de
usuarios autorizados.
3. Gestión de privilegios.- Establecer normas para que no se conceda el acceso de personal
privilegiado. Estas normas deben ser vigiladas por control interno.
4. Revisión de derechos de acceso a usuarios.- Documentar y dar a conocer a todos los miembros de
la organización los procedimientos y reglas formales sobre la designación del personal que tiene acceso.
Los usuarios designados deben ser actualizados periódicamente para dar de baja los usuarios inactivos.
5. Equipo informático de usuario desatendido.- Los equipos desatendidos deben estar protegidos. El
usuario debe cerrar las sesiones, desconectar el equipo y tomar todas las medidas de protección para
evitar el acceso de personal no autorizado y la pérdida o sustracción de la información que viene a ser
propiedad de la empresa.
6. Políticas de escritorio y pantalla.- Documentar una política de escritorio limpio la cual debe ser
redactada y firmada por cada usuario con el compromiso de cumplirla a cabalidad para evitar la pérdida y
contaminación de información.
7. Información móvil y comunicaciones.- Documentar una política para que los usuarios que utilizan
aparatos móviles tengan en cuenta al momento de utilizar sus equipos especialmente en red de acceso
público para evitar perdida de información y daños de los equipos.
Fuentes de consulta:
Texto Básico: AUDITORÍAS DE TECNOLOGÍAS Y SISTEMAS DE INFORMACIÓN Mario Plattini Verthuis,
Emilio del Peso Navarro, Mar del Peso Ruiz
Guía Didáctica de Auditoría Informática
INGENIERÍA EN CONTABILIDAD Y AUDITORIA VÍCTOR LUMANÍA