UNIVERSIDAD TECNOLOGICA DE TABASCO

Manual de la Auditoria del Diseo e Instalacin de la Red para

Comunicaciones Unificadas del Edificio Colaborativo del Activo
PIA-SAMARIA
Que presenta
T.S.U. Mario Magaa oyosa

Para la materia de Auditora de Sistemas TI

ASESOR ACADMICO
Salvador Prez Garca
Parrilla, Villahermosa Tabasco. Mxico. Diciembre 2014

ACTA CONSTITUTIVA

Contrato de servicios Auditoria del Diseo e Instalacin de la Red para Comunicaciones

Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA
Contrato N 0002356 de Prestacin de Servicios de la empresa denominada
TOTALSYSTEM INFORMATICO
Contrato de Servicios Profesionales que proporciona, por una parte TOTALSYSTEM
INFORMATICO a la que en lo adelante se le denominara prestador de Servicios,
debidamente

representado

por

el

C.

Xavi

Hernndez

Ocaa

con

RFC

MOMA860113HTCRDL06 con direccin en C. Arista nmero 423., con cdigo postal

86300, colonia Centro, Villahermosa Tabasco y por otra parte La Empresa PEMEX,
ubicado en ACTIVO SAMARIA representado por el C. Salvador Rodrguez Morales
con domicilio en Av. 27 de Febrero Altura Paseo Tabasco, ubicada en Villahermosa
Tabasco, a quien en lo sucesivo se le denominara como Cliente, conforme al tenor de
las siguientes declaraciones y clusulas:
D EC LA R AC ION ES
I. Declaracin del prestador de servicios
Para los efectos de este contrato se celebra como domicilio en la ciudad de Villahermosa,
ciudad donde se encuentra registrada la empresa TOTALSYSTEM

INFORMATICO

con domicilio actual en Av. Gregorio Mndez 3211, Col ATASTA CP. 86100
Villahermosa, Tabasco.
a) La empresa TOTALSYSTEM

INFORMATICO se compromete mediante este

contrato a llevar a cabo los siguientes trabajos:

Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas

del Edificio Colaborativo del Activo PIA-SAMARIA.

b) El tiempo establecido para la realizacin de los servicios antes mencionados pactados a

realizarse es a partir del JUEVES 02 de Enero de 2014 al EL JUEVES 03 de abril de 2014.

II. Declaracin del cliente.

PEMEX con Ubicacin en ACTIVO SAMARIA, teniendo como representante del contrato
al Seor C. Salvador Rodrguez Morales se acredita a cumplir los siguientes puntos,
derechos y obligaciones tanto fsicas como morales.
a) Solicitan auditar el Diseo e Instalacin de la Red para Comunicaciones Unificadas del
Edificio Colaborativo del Activo PIA-SAMARIA, que realizo la empresa INSITE
INFORMATICA
b) PEMEX se compromete a pagar el costo del servicio al entregar la auditoria, en el
trmino establecido.

Expuesto lo anterior, las partes sujetan sus compromisos a los trminos y condiciones
insertos en las siguientes:
CLUSULAS.
PRIMERA: Ambas partes se comprometen a dar cumplimiento a este contrato en todos
sus efectos morales y legales, tomando en cuenta el tiempo y costo establecidos.
SEGUNDA: TOTALSYSTEM se compromete a enviar informes al C. Xavi Hernandez
Ocaa para mantener la comunicacin sobre los avances y resultados obtenidos.
TERCERA: TOTALSYSTEM se compromete a desarrollar las actividades para dejar
plenamente satisfecho a PEMEX, obligndose a aportar toda su experiencia y capacidad,
dedicando todo el tiempo que sea necesario para dar cumplimiento al presente contrato,
realizando un proyecto de calidad.

CUARTO: Concluida la vigencia del presente contrato, no podr haber prrroga

automtica por el simple transcurso del tiempo y terminar sin necesidad de darse aviso
entre las partes.
QUINTO: Para el caso de que PEMEX tuviera necesidad de contar nuevamente con los
servicios de TOTALSYSTEM INFORMATICO, se requerir la celebracin de un nuevo
contrato.
SEXTO: TOTALSYSTEM INFORMATICO queda expresamente convenido que la falta
de cumplimiento a cualquiera de las obligaciones que aqu se contraen, y aquellas otras que
dimanan del Cdigo Civil vigente para el Estado de Tabasco , ser motivo de rescisin del
presente contrato, y generar el pago de los daos y perjuicios que el incumplimiento cause
a la contraparte cumplida.
SPTIMO: En caso de que la CLAUSULA SEXTA se vea infringida por TOTLSYSTEM
INFORMATICO sta se har acreedora a una sancin econmica de 30 salarios mnimos
vigentes en el estado de Tabasco por cada da de retraso.
OCTAVO: PEMEX queda expresamente convenido que la falta de cumplimiento a
cualquiera de las obligaciones que aqu se contraen, y aquellas otras que dimanan del
Cdigo Civil Vigente para el Estado De Tabasco, ser motivo de una sancin penal
establecida por la parte daada, que en este caso es TOTALSYSTEM INFORMATICO.
NOVENO: PEMEX se compromete a pagar la cantidad de $ 500,000.00 a
TOTALSYSTEM INFORMATICO al finalizar AUDITORIA por el cual fue solicitado.
Quedando estipulado este contrato entre las partes, TOTALSYSTEM INFORMATICO
representado por el C. Xavi Hernandez Ocaa con RFC MOMA860113HTCRDL06 con
direccin en C. Arista N 423., con cdigo postal 86300 colonia Centro, Comalcalco
Tabasco y por otra parte PEMEX, ubicada ACTIVO SAMARIA, debidamente
representado por el C. Salvador Rodrguez Morales con direccin en Av. 27 de Febrero
Altura Paseo Tabasco, ubicada en Villahermosa, con RFC CMFI800415HTCPXG03.

Ledo que fue el presente contrato y enteradas las partes del contenido y alcances de todas y
cada una de las clusulas que en el mismo se precisan, lo firman por duplicado y con
asistencia de sus testigos, en la Ciudad de Villahermosa, Tabasco a los treinta das del mes
de noviembre de dos mil Trece.
El Cliente

El Prestador de Servicios

_____________________

_______________________

C. Salvador Rodrguez Huerta

C. Xavi Hernndez Ocaa.

Testigo 1

Testigo 2

__________________

_________________

C. Oscar Gmez Gutirrez

C. Juliana Pulido Martnez

POLTICAS

Instalacin de software

El software que deber instalarse por defecto en todos los

equipos: Sistema Operativo, Antivirus
Suite de ofimtica de preferencia con tecnologa OpenDocument
o cualquier otro compatible con los sistemas informticos
internamente desarrollados.
Cliente de Correo Electrnico, en el caso de usuarios con
cuentas de correo oficial y/o usuarios autorizados.
Sistemas de Consultas de Jurisprudencia, si correspondiera.
Sistemas de Gestin de Expedientes y/o desarrollados a medida
del organismo, si correspondiera.
Producto que gestione base de datos o presentaciones de
diapositivas, si correspondiera.

Bloqueo de sitios a travs de listas negras.

Las listas negras son listados de sitos considerados no adecuados
para
el
acceso
dentro
de
la
red.
Dichas listas son descargadas y aplicadas semanalmente desde la
Universidad
de
Toulouse.
stas se utilizan debido a que son gratuitas, se encuentran
divididas
por
categoras
(adultos,
juegos, apuestas, citas, publicidad, etc.) y son actualizadas
continuamente
gracias
a
la
colaboracin de administradores de todo el mundo.
Al bloquear los sitios de esta manera se evita que el ancho de
banda
se
utilice
para
acceder
a
contenidos que no son de inters acadmico. Tambin para
seguridad
de
los
usuarios
se
filtran
sitios de malware y phishing.

Cuentas de Usuario: Identificadores y contraseas

El nombre de usuario (identificador) y su correspondiente

contrasea proveen acceso a una cuenta de un usuario de la red
del Poder Judicial y a los permisos asociados a ella.
El usuario debe tener una cuenta de red para obtener acceso a los
recursos compartidos de la red del Poder Judicial. Si el usuario
no est dado de alta en el sistema no podr hacer uso de los
recursos ni de los equipos dentro de la institucin dado que de
antemano est restringido por no disponer de una cuenta de
usuario.

Polticas de restriccin de los recursos informtico

Se acepta que los usuarios aprovechen en forma limitada los

elementos informticos para un uso personal que derive en su
mejor capacitacin, jerarquizacin y/o especializacin en sus
conocimientos, prcticas y habilidades o para aprovechar los
beneficios de la Informtica.
El uso aceptable no podr interferir con las actividades o
funciones que el usuario cumple, ni con la misin y gestin
oficial del organismo o dependencia.
Este uso personal podr hacerse siempre que el recurso se
encuentre disponible y no exista otro usuario que precise
emplear el recurso para sus tareas laborales.

Polticas de seguridad fsica y ambiental

Controlar y limitar el acceso a las instalaciones de

procesamiento de informacin, exclusivamente a las personas
autorizadas.
Cuando se trate de instalaciones de procesamiento de
informacin confidencial, slo bajo la vigilancia de personal
autorizado, puede el personal de cualquier organismo entrar a
dichas instalaciones, y durante un perodo de tiempo corto.

Polticas de Escritorios y Pantallas Limpias

Se deber adoptar una poltica de escritorios limpios para

proteger los dispositivos de almacenamiento removibles y una
poltica de pantallas limpias en los equipos informticos, a fin de
reducir los riesgos de acceso no autorizado, prdida y dao de la
informacin, tanto durante el horario normal de trabajo como
fuera del mismo.

Polticas de seguridad del sistema y de la red

Queda prohibida toda vulneracin de la seguridad de los

sistemas o de las redes. Los infractores de esta norma podrn
incurrir en responsabilidad penal y civil. Cable Onda investigar
todo incidente relacionado con tales infracciones y cooperar
con las autoridades competentes en la localizacin de los
sospechosos de tales delitos. Como ejemplos de vulneraciones
de la seguridad de los sistemas o las redes, pueden mencionarse,
entre otros, los siguientes:
El acceso no autorizado a datos, sistemas o redes, incluido
cualquier intento de probar, explorar o comprobar la
vulnerabilidad de un sistema o de una red, o de infringir las
medidas de seguridad o autentificacin, o su utilizacin sin el
consentimiento explcito del propietario del sistema o de la red;

La interceptacin no autorizada de los datos o del trfico de

cualquier red o sistema sin el consentimiento explcito del
propietario del sistema o de la red;
La interferencia en los servicios prestados a cualquier usuario,
host o red, incluidos, entre otros, el bombardeo con correo, la
inundacin con informacin no solicitada, as como los intentos
deliberados de sobrecargar el sistema y de interferir en la
transmisin;
La falsificacin de cualquier cabecera de paquete TCP/IP o de
cualquier parte de la informacin contenida en la cabecera de un
mensaje de correo electrnico o de grupos de noticias.
Al serle presentadas quejas en relacin con cualquiera de las
infracciones arriba mencionadas, Cable Onda cooperar y
ayudar a las autoridades y a los agentes de la ley en sus
investigaciones, con objeto de detener tales abusos y actos
delictivos.

Polticas de servicio de internet

El usuario es consciente de que Cable Onda no puede conocer el

contenido de la informacin que circula a travs de su red y, por
lo tanto, exime a Cable Onda de toda responsabilidad en relacin
con el contenido de los mensajes transmitidos a travs de ella, ya
sean enviados por usuarios de Cable Onda o no.
El servicio de Internet de Cable Onda puede ser utilizado para
conectarse a otras redes de todo el mundo. A este respecto, los
usuarios se comprometen a respetar las polticas de uso
aceptable vigentes para tales redes.
Asimismo, el usuario se compromete a ajustarse a los protocolos
y estndares empleados en Internet.
Al usuario no le est permitido obviar o eludir su identificacin
ante cualquier host, red o cuenta, ni violar las medidas de
seguridad (comnmente llamado "piratera y/o suplantacin de
usuario), ni interferir en el servicio prestado a cualquier usuario,
host, o red (llamado "ataques de denegacin de servicio").

Checklist: Instalacin de Software

1. Identificacin de la auditora
Institucin auditada: Pemex
Proyecto: Auditoria del Diseo e Instalacin de la Red
para Comunicaciones Unificadas del Edificio Colaborativo
del Activo PIA-SAMARIA
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre
e-mail

Fono

3. Checklist
S

No

Se ha establecido una librera del software? Se ha asignado un responsable?

Existen procedimientos adecuados para el acceso y la gestin de la librera del software?
Se documentan apropiadamente las versiones de los productos de trabajo?
Existe un ndice de los tpicos de la librera del software? Actualizado?
Existe un registro del ingreso/salida (check in/chek out) de los entregables de la librera del software?
Se asigna a cada tem un identificador que refleje la versin y el tipo de producto de trabajo?
Se controla la gestin de la librera del software? Cmo ?

Checklist: Identificacin y seguimiento de problemas

1. Identificacin de la auditora
Institucin auditada: Pemex
Proyecto: Auditoria del Diseo e Instalacin de la Red para
Comunicaciones Unificadas del Edificio Colaborativo del
Activo PIA-SAMARIA
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre. Mairo Magaa Oyosa
e-mail. mayinoyosa@hotmail.com

Fono

3. Checklist
S

No

Existen procedimientos que aseguren la deteccin y correccin de los problemas y/o discrepancias
detectadas?
Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?
Se analiza la relacin entre las diferentes actividades de desarrollo para prevenir disconformidades en
los productos?
Se definen y planifican acciones correctivas? Se asignan los recursos adecuados?
Las acciones correctivas son registradas y documentadas minuciosamente?
Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y
complacencia respecto de los estndares?
El nivel de gestin apoya las acciones correctivas?
Los desarrolladores estn de acuerdo en generar informes de problemas y de discrepancias? Los
utilizan?

10

Checklist: Estado del proyecto

4. Identificacin de la auditora
Institucin auditada: Pemex
Proyecto: Auditoria del Diseo e Instalacin de la Red para
Comunicaciones Unificadas del Edificio Colaborativo del
Activo PIA-SAMARIA
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

5. Auditor
Nombre: Mario Magaa Oyosa
e-mail: mayinoyosa@hotmail.com

Fono

6. Checklist
S

No

El estado real del proyecto concuerda con la planificacin? Si no es as, que tan grande es la brecha?
De acuerdo con el plan de proyecto: cul es el estado de las actividades, recursos, productos de trabajo,
hitos?
Determinar: (a) fase de desarrollo actual, (b) estado de avance de las actividades, (c) conformacin y
organizacin del equipo desarrollador, (d) productos de trabajo, (e) hitos, y (f) resultados de las
revisiones.

Checklist: Proceso de Documentacin

1. Identificacin de la auditora
Institucin auditada: Pemex
Proyecto: Auditoria del Diseo e Instalacin de la Red para
Comunicaciones Unificadas del Edificio Colaborativo del
Activo PIA-SAMARIA
Iniciador:
Tipo de auditora: Interna
Externa

Fase del ciclo de vida

Planificacin
Esp. de Requerimientos
Diseo
Implementacin

Integracin y pruebas
Aceptacin y entrega
Mantencin

2. Auditor
Nombre: Mario Magaa Oyosa
e-mail: mayinoyosa@hotmail.com

Fono

3. Checklist
S

No

Existen estndares definidos para preparar la documentacin de los productos de trabajo?

La documentacin existente se ajusta a dichos estndares?
Existen procedimientos documentados para asegurar la adherencia a estos estndares?
Estos procedimientos distinguen los cambios a los documentos bajo control de configuracin del
software? Este tipo de cambios es revisado?
El contenido de la documentacin de los productos de trabajo es clara, concisa, completa y
comprensible?
Los miembros de las revisiones de esta documentacin se encuentran lo suficientemente familiarizad os
con ella como para detectar inconsistencias fcilmente?
Existe una autoridad competente para la aprobacin de la documentacin de los entregables (productos
de trabajo)? Es visible para los desarrolladores?
Se entrega oportunamente la documentacin solicitada por el cliente?
Existen suficientes copias de los documentos?
La documentacin es desarrollada paralelamente a las otras actividades del desarrollo de software?
Refleja el estado real del proyecto y de los productos de tra bajo?

11

EVALUACIN DE RIESGOS

Hoja 1

Evaluacin:

Localizacin: Pemex

Puestos de trabajo: Sistemas

N de trabajadores: 20

Inicial
Adjuntar relacin nominal

Peridica

Fecha Evaluacin:
Fecha ltima evaluacin:

Probabilidad
Peligro Identificativo
B
1.-Falta de Seguridad

LD

ED

Estimacin del Riesgo

T

TO

IN

2.-War-driving
3.-Riesgos de Seguridad

Consecuencias

4.-Intercepcion de datos
5.-Intrusion de red

6.-Interferencia Radial
7.-Degeneracion del servicio

x
X

8.-

Evaluacin realizada por: Mario Magaa Oyosa

Firma:

Fecha:

Plan de accin realizado por: Jose Ernesto Arias

Firma:

Fecha:

FECHA PRXIMA EVALUACIN: 01 enero 2015

12

EVALUACIN DE RIESGOS

Hoja

PLAN DE ACCIN
Peligro

Accin requerida

Responsable

Fecha
finalizacin

Firewalls

Anastacio Diaz

15/12/2014

Buscar
Interferencias

Anastacio Diaz

15/12/2014

Comprobacin eficacia de
la accin
(Firma y Fecha)

Evaluacin realizada por: Mario Magaa Oyosa

Firma:

Fecha:

Plan de accin realizado por: Jose Ernesto Arias

Firma:

Fecha:

FECHA PRXIMA EVALUACIN: 01 enero 2015

13

Matriz de Riesgos

NOMBRE DE LA AUDITORIA:
Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del
Activo PIA-SAMARIA
AUDITOR: Mario Magaa Oyosa
AUDITADO: Pemex
Fecha
de
Auditoria:
10/Diciembre/2014
MATRIZ DE RIESGOS
ESCALA DE AMENAZAS
RIESGO

#
eventos

Se cancela la auditoria
una semana despus de
haber empezado
No saben qu hacer en la
auditoria
Perdida
de
energa
elctrica
No
se
tienen
las
herramientas adecuadas
para la auditoria.
Falta de comunicacin
entre las divisiones del
enlace
Estado del tiempo
Comportamiento de los
encargados
Personal no capacitado

0
%

1 al 21
20
al
%
40
%

6
7
8

61
al
80
%
x

81 al FOLIO:
100
%
AU2500023

3
4

41
al
60
%

AU2500024
x

AU2500022

AU2500028

x
x

AU2500029

AU2500021
AU2500023
AU2500025

14

Director General
Auditoria

ORGANIGRAMA

Secretaria

Supervisor Auditoria
Financiera

Supervisor Auditoria
Operativa

Supervisor Auditoria
TI

Auditor de
Campo 1

Auditor de
Campo 2

Auditor de
Campo 1

Auditor de
Campo 2

Supervisor
Auditoria
REDES
Auditor de
Campo 1

Auditor de
Campo 2

15

ROLES Y RESPONSABILIDADES

Puesto:

Director General

Funciones:

Definir los objetivos del proyecto, manejar los recursos, ajustarse al presupuesto,
administrar los costos, administrar la calidad del proyecto, gestionar los plazos,
garantizar que la informacin fluya entre el personal necesario, analizar y manejar los
riesgos, manejar el recurso humano, negociar con proveedores, hacer un seguimiento
oportuno.

Formacin:

Ing. Tecnologas de la Informacin

Perfil:

Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.

Experiencia:

Minina de 2 meses en el puesto.

ROLES Y RESPONSABILIDADES

Puesto:

Secretaria

Funciones:

Persona encargada de supervisar los asuntos, sobre todo aquellos que requeran
confidencialidad, de personas de cierto poder, en este caso entre el director general y
los auditores Supervisores. Recepcin de documentos., Atender llamadas telefnicas,
Atender visitas, Archivo de documentos, Clculos elementales.

Formacin:

Carrera Tecnica.

Perfil:

Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.

Experiencia:

Minina de 6 meses en el puesto.

16

ROLES Y RESPONSABILIDADES

Puesto:

Supervisor Auditor Operativa

Funciones:

En este contexto que el sistema de control asume un rol relevante porque a travs de
sus evaluaciones permanentes posibilitan maximizar resultados en trminos de
eficiencia, eficacia, economa, indicadores que fortalecen el desarrollo de las
empresas

Formacin:

Lic. Sistemas o afn

Perfil:

Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.

Experiencia:

Minina de 6 meses en el puesto.

ROLES Y RESPONSABILIDADES

Puesto:

Supervisor Auditor TI

Funciones:

Los auditores en el campo de Tecnologas de Informacin trabajan con organizaciones

para asegurar que sus procesos tecnolgicos son seguros y beneficiosos con respecto a
la funcionalidad de la empresa

Formacin:

Lic. Sistemas o afn

Perfil:

Conocimiento en el rea de TI, manejo adecuado del personal, excelente presentacin.

Experiencia:

Minina de 6 meses en el puesto.

17

TOTALSYSTEM OUTSOURSING INFORMATICO

tem

1
1
2
2.1
2.2
2.3
2.4
3
4
4.1
4.2
4.3
5
6
7
8
9
10

CRONOGRAMA DE ACTIVIDADES
Auditoria del Diseo e Instalacin de la Red para Comunicaciones Unificadas del Edificio Colaborativo del Activo PIA-SAMARIA
TIEMPO
AO XXXX
AUDITOR RESPONSABLE
ACTIVIDAD
(MES)
(MES)
FASE DE PLANEACIN
P 3 4 7 8 9 10 11 14 15 16 17 18 21 22 23 24 25 28 1 2 3 4 7 8 9
Conocer y analizar la Asignacin de Trabajo AT, P
objetivo general y objetivos Especficos
E
P
Conocer la Entidad a Examinar (Actividad A2)
E
Conocimiento en detalle del Ente objeto de control P
fiscal o asunto a auditar
E
Identificar personal clave del ente objeto de control P
fiscal o asunto a auditar
E
P
Conocer la funcin de auditora interna
E
P
Evaluar controles
E
P
Realizar pruebas de recorrido
E
P
Identificar Factores de Riesgo
E
P
Asociar materias especficas a procesos
E
Asociar factores de riesgo de auditora a materias P
especficas
E
P
Definir procesos significativos para la auditora
E
Diligenciar Matriz para evaluar el diseo de controles - P
Fase de Planeacin
E
P
Definir estrategia de auditora
E
Elaborar el Plan de Trabajo y Programas de Auditora P
(Actividad A4)
E
Elaborar los Planes de Trabajo por parte de otros P
Equipos de Auditora -si los hayE
Determinar la Coherencia del Plan de Trabajo P
Conjunto.
E
P
Aprobar el Plan de Trabajo Conjunto
E
P

(ESTE FORMATO ES UN REFERENTE Y PUEDE SER AJUSTADO, DE ACUERDO CON LAS CONDICIONES Y NECESIDADES DEL
18
PROCESO AUDITOR)

ACTIVIDADES
Caractersticas del Servicio
La metodologa seguida por Internet Security Auditors para el desarrollo de las Auditoras
de Seguridad Fsica tiene como objetivo permitir la revisin exhaustiva de los aspectos de
seguridad de las infraestructuras fsicas de la empresa, cubriendo, entre otros, los siguientes
aspectos:

Acondicionamiento. Revisin de las caractersticas de construccin y componentes

de edificacin e instalaciones del recinto con la revisin y actualizacin de planos
de elementos principales, dimensiones y ubicacin; suelos, techos y estado general
de las instalaciones tcnicas, etc.

Sistemas anti intrusin Revisin de los sistemas que impiden y/o detectan un
acceso no autorizado a las instalaciones como la ubicacin de los elementos de
vigilancia y control de presencia, su proteccin del sistema y tolerancia a fallos;
revisin de los procedimientos de tratamiento y respuesta a alarmas, etc.

Sistemas de grabacin y vigilancia. Revisin de todos los componentes que

garantizan la grabacin de la actividad dentro de las zonas de acceso restringido o
de seguridad, etc.

Instalacin elctrica, SAIs y generadores. Revisin del sistema de suministro

elctrico y su resistencia estudiando el esquema de suministro elctrico hasta el
propio CPD, cobertura, anlisis de los cableados, etc.

Cableado Estructurado. Revisin del estado del sistema de cableado estructurado

as como

el contenido

de los diferentes bastidores (telefona,

servidores,

comunicaciones de datos...), etc.

Control ambiental. Revisin de las condiciones ambientales del CPD y que estas
no supongan un propio riesgo para el funcionamiento de los sistemas alojados,
instalaciones y faciliten su propio mantenimiento en referencia a ventilacin,
temperatura, humedad, agua, humos, detectores ssmicos, etc.: equipos de deteccin
y/o medicin de estos parmetros, etc.

Si tiene cualquier consulta sobre los detalles del mbito de la Auditora de

Seguridad Fsica contacte con nosotros.

19

Resultados
Como resultado de todo el trabajo de Anlisis de las Infraestructuras y el posterior Anlisis
de Resultados y Documentacin, en el informe se expondrn los resultados obtenidos en la
Auditora de Seguridad Fsica junto con las recomendaciones, en caso necesario (de
acondicionamiento,

sistemas

anti

intrusin,

de

sistemas

elctricos,

etc.).

Algunos de los resultados, que dependern de las caractersticas propias de cado caso, son
los siguientes:

Resumen ejecutivo.

Resultado obtenido en cada uno de los puntos analizados.

Vulnerabilidades detectadas y catalogadas segn su nivel de peligrosidad, as como

las recomendaciones para su eliminacin.

Cambios de configuracin recomendados en las infraestructuras para mejorar la

seguridad.

Cambios recomendados en los denominados permetros de seguridad.

Recomendaciones sobre nuevas aplicaciones, servicios y procesos que ayuden a

aumentar el nivel de seguridad.

Indicaciones para mejorar los controles fsicos de entrada.

Cambios recomendados en los emplazamientos y proteccin de los equipos.

Identificacin de puntos crticos donde es recomendable mejorar la seguridad del

cableado.

Cambios recomendados en las instalaciones de suministros.

Recomendaciones para mejorar la seguridad de los equipos fuera de las

instalaciones.

Cambios recomendados reutilizacin o retirada segura de equipos.

Mejoras a aplicar en relacin a la proteccin contra las amenazas externas y de

origen ambiental.

Recomendaciones, salvedades y acciones correctivas de los aspectos tcnicos

definidos por el dominio 9 de la ISO-27002

20

21