1 / 39

AUDITORIA INTEGRAL DE SEGURIDAD

AUDITORIA INTEGRAL DE SEGURIDAD. Ing . Luis Eduardo Gomez securitygerencia@gmail.com CPP.PSP.MBA. AUDITORIA. Es un proceso que busca identificar vulnerabilidades que puedan comprometer la operación , como resultado se proponen medidas de mitigación ante los hallazgos identificados .

myra
Download Presentation

AUDITORIA INTEGRAL DE SEGURIDAD

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AUDITORIA INTEGRAL DE SEGURIDAD Ing. Luis Eduardo Gomez securitygerencia@gmail.com CPP.PSP.MBA

  2. AUDITORIA • Es un proceso que busca identificar vulnerabilidades que puedan comprometer la operación , como resultado se proponen medidas de mitigación ante los hallazgos identificados. • Auditoria Interna • Auditoria externa • Primera vez • Consecutiva • Referencial basada en listas de chequeo

  3. TIPOS DE AUDITORIA • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo gramas. • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. • Auditoria Contable y financiera : la que hace énfasis en la operación administrativa y contable de la organización http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

  4. ESTANDARES • ITIL Information Technology Infrastructure Library (ITIL) is a set of practices for IT service management (ITSM) that focuses on aligning IT services with the needs of business. • COBIT Control Objectives for Information and Related Technology is a framework created by ISACA for information technology management and IT governance. • ISO 27002 ISO/IEC 27002 is a popular, internationally-recognized standard of good practice for information security • PCI Payment Card Industry Data Security Standards, • ASIS American Society for industrial Security

  5. FASES DE LA AUDITORIA • Considerando la metodología de ISACA (InformationSystemsAudit and Control Association) • Fase 1 Alcance de la Auditoría • Fase 2 Adquisición de Información general • Fase 3 Administración y Planificación • Fase 4 Plan de auditoría • Fase 5 Resultados de las Pruebas • Fase 6 Conclusiones y Comentarios • Fase 7 Borrador del Informe • Fase 8 Discusión con los Responsables de Area • Fase 9 Informe Final • Informe – anexo al informe – carpeta de evidencias • Fase 10 Seguimiento de las modificaciones acordadas YESSICA GOMEZ G.

  6. HERRAMIENTAS • Observación • Realización de cuestionarios • Entrevistas a auditados y no auditados • Muestreo estadístico • Flujogramas • Listas de chequeo • Mapas conceptuales http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

  7. EJ : LISTA DE CHEQUEO

  8. QUIENES PARTICIPAN?

  9. EXPERTISE

  10. CONCEPTOS TEORICOS PRESENTES • REDUNDANCIA • MINIMA CONSECUENCIA DE FALLO • PROTECCION EN PROFUNDIDAD • CONFIDENCIALIDAD, INTEGRALIDAD,DISPONIBILIDAD • NO REPUDIO • NECESIDAD DE SABER

  11. PROPOSITO NEGATIVO

  12. PROPOSITO POSITIVO

  13. QUE INVOLUCRA?

  14. RECURSO HUMANO

  15. TECNOLOGIA

  16. POLITICAS Y PROCEDIMIENTOS

  17. ENTORNO ARQUITECTONICO

  18. POR DONDE EMPEZAR?

  19. AREAS TECNICAS VINCULADAS ASOCIADAS A LA INFRAESTRUCTURA • PLANTA ELECTRICA • CUARTO TRANSFORMADOR • CUARTO TABLEROS ELECTRICOS • CUARTO UPS • CUARTO COMUNICACIONES • AGUA POTABLE • PARARRAYOS • AGUAS NEGRAS O RESIDUALES • SISTEMAS DE AIRE ACONDICIONADO • REDES DE DATOS Y POTENCIA • SUMINISTRO GAS PROPANO, METANO, NATURAL • SISTEMAS DE CALDERAS

  20. ESTRUCTURA FISICA DONDE SE ALOJA LA OPERACION • ASPECTO EXTERIOR DE FACHADAS • ENTRADAS DE AGUA • DILATACIONES, CAMBIOS DE NIVEL • CAMBIO DE COLOR O ASPECTO EN LOS MATERIALES • ESTANDARES SISMORESISTENCIA • ACCESOS

  21. CENTRO DE COMPUTO • SISTEMAS DE DETECCION Y EXTINCION DE INCENDIO • MALLA DE PUESTAS A TIERRA • ACCESO DE PERSONAS • MANEJO DE MEDIOS DIGITALES • DESTRUCCION DE MEDIOS DIGITALES • MANEJO DE COPIAS DE RESPALDO • PLANOS DE RUTA DE EVACUACION • EXISTENCIA DE SISTEMA DE PERIFONEO • REDES INALAMBRICAS

  22. OFICINAS, SALAS DE REUNIONES • MANEJO DE IMPRESION FISICA DE DOCUMENTOS • MANEJO DE DOCUMENTOS FISICOS SENSIBLES • MANEJO DE VALORES • MANEJO DE ARCHIVOS • ACCESO Y USO DE DISPOSITIVOS MOVILES PERSONALES • SEGURIDAD EN SALAS DE JUNTAS

  23. SEGURIDAD INDUSTRIAL • CUBRIMIENTO Y LOGICA DEL SISTEMA DETECCION DE INCENDIO • EXISTENCIA Y CAPACIDAD DEL SISTEMA DE EXTINCION DE INCENDIO • CAPACIDAD Y ESTADO DE LAS ESCALERAS DE EVACUACION • SEÑALIZACION • EQUIPOS DE EXTINCION MANUALES

  24. SALONES Y AREAS CON MULTIPLES PROPOSITOS • BODEGAS • GIMNASIO • BOVEDAS • CUARTO DE BASURAS • CAFETERIAS • AREA RECEPCION • PARQUEADEROS • BAÑOS

  25. COMMAND CENTER • MANEJO DE LLAVES • TIEMPO DE GRABACION DEL CCTV • TRAZABILIDAD DEL CONTROL DE ACCESO • ERGONOMIA • PANEL DETECCION INCENDIO • EXTRACCION MONOXIDO • TURNOS DE TRABAJO • COMUNICACIONES • PERIFONEO • SEGURIDAD FISICA DEL AREA

  26. DOCUMENTACION • PLAN DE EMERGENCIA • PLANOS DE LA ESTRUCTURA • PLAN DE CONTINUIDAD DEL NEGOCIO • PLAN CONTINGENCIA • ANALISIS DE RIESGO • ANALISIS DOFA • AUDITORIAS ANTERIORES • POLIZAS DE SEGUROS • LEGISLACION PROPIA DEL SECTOR

  27. EJ: HALLAZGO 1 HALLAZGO: LA POSICION DE LOS MONITORES NO PERMITE UNA VISUALIZACION NATURAL DE LAS CAMARAS RECOMENDACIÓN: REUBICAR EL ESCRITORIO DE LOS OPERADORES 3 MT DE LA PARED PARA LOGRAR MEJOR VISUAL Y UN AMBIENTE DE TRABAJO ERGONOMICO.

  28. EJ: HALLAZGO 2 HALLAZGO: EL RACK DE COMUNICACIONES ESTA EXPUESTO A MANIPULACION COMPROMETIENDO LAS SEGURIDAD DE LA INFORMACION. RECOMENDACIÓN: REUBICAR EL RACK EN UN AREA CERRADA CON VENTILACION Y CON ACCESO RESTRINGIDO

  29. EJ : HALLAZGO 3 HALLAZGO: EL SISTEMA DE REGISTRO ES DE FACIL MANIPULACION MEDIANTE IMITACION COMPROMETIENDO LOS REGISTROS SE ACCESO . RECOMENDACIÓN: RETIRAR EL SISTEMA DE REGISTRO DE FIRMA E IMPLEMENTAR SISTEMA DE BIOMETRIA DE HUELLA

  30. EJ : HALLAZGO 4 HALLAZGO: EL PERSONAL ENCARGADO DE LA SEGURIDAD DE LA BODEGA ESTA TRABAJANDO TURNOS DE 24 HORAS LO QUE GENERA AGOTAMIENTO , COMRPOMETIENDO LOS PROCESOS DE SEGURIDAD. RECOMENDACIÓN: IMPLEMENTAR TURNOS DE 12 HORAS Y BRINDAR UN SITIO DE DESCANSO PARA LOS GUARDAS

  31. EJ: HALLAZGO 5 HALLAZGO: LA CAJA QUE ALOJA EL REGISTROS PRINCIPAL DE GAS NATURAL CARECE DE PROTECCION RECOMENDACIÓN: ASEGURAR CON CANDADO Y RESTRINGIR EL ACCESO UNICAMENTE A PERSONAL AUTORIZADO

  32. EJ: DOCUMENTO RESUMEN • RECURSO HUMANO se evidencia la duplicación de cargos en el área de carga por lo que se recomienda reducir en 2 personas este proceso • POLITICAS Y PROCEDIMIENTOS Los protocolos de incorporación se encuentran desactualizados , es necesario ajustarlos a la nueva ley laboral 4522 del 2013 • ENTORNO ARQUITECTONICO Se evidencia la existencia de dos puertas contiguas en el área de laboratorios cumpliendo el mismo propósito , por lo que se recomienda dejar una sola en funcionamiento • TECNOLOGIA La capacidad de almacenamiento de video es de tan solo 3 días por lo que se recomienda la ampliación del disco duro del grabador digital para lograr 30 días de almacenamiento

  33. EJ : DOCUMENTO RESUMEN INMEDIATO • Cierre de la puertanumero del laboratorio • Aumentar la capacidad de la grabadora digital en 4 terabytes INTERMEDIO • Reduccion del personal del area de carga • Adquisicion de plataforma de comunicaciones uhf LARGO PLAZO • Reforzamientoestructural del command center • Aislamientotermico de la plantaelectrica

  34. PRESUPUESTO

  35. ACTUALIZACION DEL ANALISIS DE RIESGO

  36. ACTUALIZACION DOFA

  37. MAPA MENTAL

  38. PROCESO MEJORA CONTINUA

  39. BIBLIOGRAFIA • Imágenes tomadas de googleimage • Videos tomados de youtube.com • ACIS asociacion colombiana de ingenieros de sistemas • ASIS American Societyfor Industrial Security • ISACA Information Systems Audit and Control Association • United States Department of State Overseas Security Advisory Council • USDA physical security inspection checklist

More Related