Académique Documents
Professionnel Documents
Culture Documents
seguridad. Fase 1. Estrategia y logstica del ciclo de seguridad. Fase 2. Ponderacin de sectores del ciclo de seguridad. Fase 3. Operativa del ciclo de seguridad. Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad. 1. Designacin del equipo auditor. 2. Asignacin de interlocutores, validadores y decisores del cliente. 3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial. LOS PLANES SE DESARROLLAN DE LA SIGUIENTE MANERA:
2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores
3.Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin
1. 2. 3.
Asignacin de pesos tcnicos. Asignacin de pesos polticos. Asignacin de pesos finales a los Segmentos y Secciones.
Ciclo de Seguridad. Suma Pesos Segmentos = 100 (con independencia del nmero de segmentos consideradas)
Segmentos Tcnico Polticos Finales Seg1. Normas y Estndares 12 8 10 Seg2. Sistema Operativo 10 10 10 Seg3. Software Bsico 10 14 12 Seg4. Comunicaciones 12 12 12 Seg5. Bases de Datos 12 12 12 Seg6. Procesos 16 12 14 Seg7. Aplicaciones 16 16 16 Seg8. Seguridad Fsica 12 16 14 TOTAL 100 100 100
Secc1. Datos Secc2. Control de Accesos 5 Secc3. Equipos Secc4. Documentos Secc5. Suministros TOTAL
3
6 2 1 20
4
4 4 3 20 5 3 2 20
A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica: Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones: 1.Autorizaciones 2. Controles Automticos 3. Vigilancia 4. Registro
Control de Accesos: Autorizaciones Preguntas Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Clculo? Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa? Quines saben cuales son las personas autorizadas? Adems de la tarjeta magntica de identifica-cin, hay que pasar otra especial? Se pregunta a las visitas si piensan visitar el Centro de Clculo? Se preveen las visitas al Centro de No, basta que vayan Clculo con 24 horas al menos? acompaados por el Jefe de Explotacin o Director 3 No, vale la primera autorizacin. 3 El personal de vigilancia y el Jefe de Explo-tacin. No, solamente la primera. 4 5 Respuestas Si, el Jefe de Explotacin, pero el Director puede acceder a la Sala con acompaantes sin previo aviso. Una sola. El tcnico permanente de la firma suministradora. 5 Puntos 4
Control de Accesos: Controles Automticos Preguntas Cree Ud. que los Controles Automticos son adecuados? Respuestas Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Quedan registradas todas las entradas y salidas del Centro de Clculo? Al final de cada turno, Se controla el S, y los vigilantes los nmero de entradas y salidas del personal de Operacin? Puede salirse del Centro de Clculo Si, porque existe otra puerta de sin tarjeta magntica? emergen-cia que puede abrirse desde adentro TOTAL CONTROLES AUTOMATICOS 14/20 70% 3 reverifican. 5 No, solamente las del personal ajeno a Operacin. 3 Puntos 3
Control de Accesos: Vigilancia Preguntas Hay vigilantes las 24 horas? Existen circuitos cerrados de TV exteriores? Identificadas las visitas, Se les acompaa hasta la persona que desean ver? Conocen los vigilantes los terminales que deben quedar encendidos por la noche? TOTAL VIGILANCIA 14/20 70% No, sera muy complicado. 2 No. 2 S. S. Respuestas Puntos 5 5
Control de Accesos: Registros Preguntas Existe una adecuada poltica de registros? Respuestas No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Se ha registrado alguna vez a una persona? Se abren todos los paquetes dirigidos a personas concretas y no a Informtica? Hay un cuarto para abrir los paquetes? TOTAL REGISTROS 6/20 30% Si, pero no se usa siempre. 3 Casi nunca. 1 Nunca. 1 Puntos 1
Ciclo de Seguridad: Segmento 8, Seguridad Fsica. Secciones Seccin 1. Datos Seccin 2. Control de Accesos Seccin 3. Equipos Seccin 4. Documentos Seccin 5. Suministros Peso 6 4 5 3 2 Promedio 57,5% 62,5% 70% 52,5% 47,2%
Seg. 8 = A/B A = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso B = (peso1 + peso2 + peso3 + peso4 + peso5) Seg. 8 = (57,5 * 6)+(62,5 * 4)+(70 * 5)+(52,5 * 3)+(47,2 * 2) / 20 Seg. 8 = 59,85%
2.Discusin del borrador con el cliente. 3.Entrega del Informe y Carta de Introduccin.
CICLO DE SEGURIDAD
50,5
59,8
61 90 72
51,2 77,5
55
SEGMENTO: CONTROL DE SEGURIDAD NORMAS Y ESTANDARES 61 SISTEMA OPERATIVO 90 SOFTWARE BASICO 72 COMUNICACIONES 55 BASES DE DATOS 77,5 PROCESOS 51,2 APLICACIONES 50,5 SEGURIDAD FISICA 59,8
RESUMEN
SECCION: SEGURIDAD FISICA SEG. FISICA DE DATOS CONTROL DE ACCESO EQUIPOS DOCUMENTOS SUMINISTROS
6 4 5 3 2