TESIS SIS94 - Vil
TESIS SIS94 - Vil
TESIS SIS94 - Vil
HUAMANGA
A mis padres por apoyarme día a día en mi crecimiento como persona y profesionalmente.
Por todo el apoyo brindado y que confiaron en mi a pesar de tantas dificultades.
A mis hermanos, por haber fomentado en mí el deseo de seguir estudiando frente a cualquier
limitación.
A mis amigos que compartieron las experiencias, consejos y los años de aprendizaje.
ii
AGRADECIMIENTO
A Dios por darme la vida, salud y fortaleza para cumplir con esta meta.
A todos los profesores que me enseñaron con amor y dedicación compartieron sus
conocimientos para desempeñar con satisfacción mi profesión. En especial al Ing. Karel, por
la paciencia y dedicación brindada para realizar un buen trabajo.
A los trabajadores del Área informática del Hospital Regional de Ayacucho por dedicar su
tiempo para concluir con mi investigación.
A todos mis amigos, los cuales compartimos grandes momentos en el viaje de esta carrera.
iii
CONTENIDO
DEDICATORIA .................................................................................................................... ii
CONTENIDO ....................................................................................................................... iv
INTRODUCCIÓN ................................................................................................................ ix
CAPÍTULO I
PLANTEAMIENTO DE LA INVESTIGACIÓN
1.1 DIAGNÓSTICO Y ENUNCIADO DEL PROBLEMA ......................................... 1
CAPÍTULO II
REVISIÓN DE LITERATURA
2.1 ANTECEDENTES DE LA INVESTIGACIÓN ..................................................... 6
A. AMENAZA ........................................................................................................... 10
B. RIESGO................................................................................................................. 11
C. VULNERABILIDAD ........................................................................................... 11
iv
2.2.6 Data Center ............................................................................................................ 13
A. Identificación de Activos....................................................................................... 27
v
2.3.7 MUESTRA ............................................................................................................ 44
CAPÍTULO III
METODOLOGÍA DE LA INVESTIGACIÓN
3.1 TIPO Y NIVEL DE INVESTIGACIÓN .............................................................. 46
B NIVEL DE INVESTIGACIÓN............................................................................. 47
C DISEÑO DE LA INVESTIGACIÓN.................................................................... 48
CAPÍTULO IV
vi
4.2.2.2 Levantamiento y/o Recolección de Evidencias para la Auditoría ......................... 62
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES .............................................................................................. 106
vii
RESUMEN
Palabras claves: Auditoría en seguridad Física, Riesgo, Amenaza, COBIT 5.0, Análisis de
Riesgo, criterios de seguridad y La Norma Técnica Peruana NTP-ISO/IEC 17799.
viii
INTRODUCCIÓN
Actualmente el Data Center del Hospital Regional de Ayacucho no cuenta con ningún
procedimiento de auditoría, y por lo tanto se plantea los siguientes problemas: ¿De qué
manera los activos físicos están implicados en la seguridad física del Data Center del
Hospital Regional de Ayacucho?; ¿Cuáles son las Amenazas y riesgos comunes que atentan
contra los activos físicos del Data Center de Hospital Regional de Ayacucho?; ¿Cómo
evaluar los activos físicos mediante los criterios de seguridad física en el Data Center del
Hospital Regional de Ayacucho?.
Y sus posibles soluciones con los siguientes: a) Identificar y planear la seguridad de los
activos físicos implicados en la seguridad Física del Data Center del Hospital Regional de
Ayacucho, b) Mencionar cuáles son las amenazas y riesgos comunes que atentan contra los
activos físicos del Data center del Hospital Regional de Ayacucho; c) Evaluar los activos
físicos mediante criterios de seguridad física basada en controles de COBIT 5.0 y la NTP-
ISO/IEC 17799, del Data center del Hospital Regional de Ayacucho.
ix
CAPÍTULO I
PLANTEAMIENTO DE LA INVESTIGACIÓN
Hoy por hoy vivimos en una sociedad donde uno de los principales activos de
cualquier organización, institución o empresa es la información, no importa su tamaño o giro
del negocio. A nivel mundial la auditoría informática constituye un pilar fundamental en las
organizaciones, porque tanto los sistemas como las estructuras físicas deben estar sometidos
a controles de calidad. En la actualidad este enfoque es necesario para poder alertar a las
empresas de la importancia que tiene la protección de sus equipos de Data center, para
prevenir o evitar daños físicos.
1
Figura N° 1 Data center de Google. (Google, 2018)
Por ello, considerando que el área de informática en específico el área de Data center del
Hospital Regional de Ayacucho, es una entidad estatal que brinda servicios públicos de
salud; especializada, de calidad y con tecnología actualizada. Siendo una entidad importante
para la ciudad de Ayacucho. los cuales benefician a toda la población de la región y a las
regiones vecinas, entre otros cuenta con importantes recursos tecnológicos, que pueden ser
víctimas de amenazas, pudiendo ocasionar pérdidas económicas a la institución, por lo tanto,
necesita someterse a una evaluación técnica objetiva basado en estándares internaciones,
para conocer el nivel de seguridad alcanzado por sus actividades de control y mantener
mecanismos de seguridad sobre ellos.
Por lo expuesto, la auditoría sobre la seguridad física, permitirá determinar el nivel de riesgo
y el grado de confianza que mantienen los recursos tecnológicos del Data Center del Hospital
Regional de Ayacucho, respecto a los controles de seguridad que se están utilizando, con el
fin de incrementar la confiabilidad en los procesos y reducir los riesgos.
2
1.2 FORMULACIÓN DEL PROBLEMA DE INVESTIGACIÓN
PROBLEMA PRINCIPAL
¿Cómo realizar una auditoría para evaluar la seguridad física del Data Center del Hospital
Regional de Ayacucho?
PROBLEMAS ESPECÍFICOS
a) ¿De qué manera los activos físicos están implicados en la seguridad física del Data
Center del Hospital Regional de Ayacucho?;
b) ¿Cuáles son las Amenazas y riesgos comunes que atentan contra los activos físicos
del Data Center de Hospital Regional de Ayacucho?;
c) ¿Cómo evaluar los activos físicos mediante los criterios de seguridad física en el Data
Center del Hospital Regional de Ayacucho?
Diseñar procedimientos de auditoría para evaluar la seguridad física del Data Center del
Hospital Regional de Ayacucho, Mediante el marco de control COBIT 5.0 y la norma técnica
peruana NTP-ISO/IEC 17799.
OBJETIVOS ESPECÍFICOS
b) Mencionar cuáles son las amenazas y riesgos comunes que atentan contra los activos
físicos del Data center del Hospital Regional de Ayacucho;
c) Evaluar los activos físicos mediante criterios de seguridad física basada en controles
de COBIT 5.0 y la NTP-ISO/IEC 17799, del Data center del Hospital Regional de
Ayacucho.
3
1.4 JUSTIFICACIÓN Y DELIMITACIÓN DE LA INVESTIGACIÓN
JUSTIFICACIÓN
Los Data Center son ubicaciones en donde se localizan todos los elementos
necesarios para el cálculo y procesamiento de datos de una organización, teniendo como
objetivo de procesar y resguardar uno de los bienes más importantes, valiosos e
irremplazables que tiene una organización, que es su información. La seguridad física en un
Data Center asegura el buen funcionamiento y la disponibilidad de los procesos y de los
servicios de Tecnología de Información. En efecto, surge la necesidad realizar la evaluación
de la Seguridad Física en el Data Center del Hospital Regional de Ayacucho, porque aparte
de verificar las falencias, se podrían aplicar controles y políticas en base a las
recomendaciones obtenidas para minimizar en el futuro que ocurran estos problemas, y como
una forma de prevención para el tratamiento adecuado de Datos y el cuidado de la
información.
En lo social la presente investigación tiene como objetivo de hacer una auditoría en seguridad
física, que colabore con la institución u organización auditada en la prevención de
eventualidades no deseadas, en la definición de las futuras líneas de actuación y en la
eliminación de algunos riesgos más críticos, teniendo como referencia el Data Center del
Hospital Regional de Ayacucho.
DELIMITACIÓN
4
las diferentes actividades a realizar durante el desarrollo del mismo. Los conceptos que se
van a manejar en este proyecto se van a relacionar con la Seguridad Física del Data Center
basados en marco de control COBIT, la norma técnica peruana NTP-ISO/IEC 17799, en esta
investigación no se tomará en cuenta la seguridad Lógica.
5
CAPÍTULO II
REVISIÓN DE LITERATURA
Según Loor & Espinoza (2015), en su tesis “Auditoría de seguridad física y lógica a
los recursos de tecnología de información en la carrera informática de la espam mfl”,
concluyeron que la aplicación de técnicas en auditoría, resultaron de gran utilidad, y la
ausencia de una normativa de seguridad para una adecuada evaluación y control de los
recursos de TI, trae como consecuencias que estos operen en ambientes poco seguros y
confiables.
(Tongo, 2017), en la tesis “Diagnóstico situacional del Data Center bajo cumplimiento
normativo y de estándar en el Hospital II ESsalud de Huaraz” concluye, con la descripción
del diagnóstico situacional de Data center se logró identificar controles tanto de
estandarización y normalización que se deben de tener en cuenta al planificar el diseño de
un Data Center, lo cual ayudara a futuras investigaciones e implementación de un data center.
(Marulanda, 2014) en sus tesis “Evaluación mediante el estándar ISO 27001 de la seguridad
Física y Lógica de la infraestructura tecnológica de la clínica san José S.A.S de la ciudad de
Barranca Bermeja – Santander” afirma que la auditoría informática se encarga de gestionar
y evaluar las vulnerabilidades que pudieran estar presentes en los sistemas de información.
Una vez enfocada las inconsistencias de las empresas se documentan, se reportan los
resultados a los gerentes o responsables de las instalaciones y se sugieren medidas que
permitan mejorar la seguridad.
(Huerta, 2015) en su tesis “Procedimientos para la auditoría en seguridad física del Data
Center de la Municipalidad Provincial de Huamanga”, concluye Los procedimientos de
auditoría en seguridad física, incluyen en una de sus etapas, el análisis de riesgo, con ello se
alcanza identificar los riesgos que ponen en peligro la continuidad y disponibilidad de un
Data Center, en concreto del Data Center de la MPH.
6
(Aguirre & Palacios, 2014), en su investigación “Evaluación técnica de seguridades del Data
Center del Municipio de Quito según las Normas ISO/IEC 27001:2005 SGSIE ISI/IEC
27002:2005.” Concluyen que al no realizar auditorías a los procesos de seguridad no se posee
una idea clara de cómo se encuentran y el estado de cumplimiento si se ha mejorado o
empeorado el cumplimiento de los controles, también La falta de un Data Center alterno
puede ser la causa de que, si se da un evento fortuito con el Data Center, se tenga tiempos
muy altos o en el peor de los casos catastróficos la restauración de los servicios para la
atención al público.
Según (Seoane, Saiz, Fernández, & Fernández, 2010) La seguridad física es aquella
que trata de proteger el hardware (los equipos informáticos, el cableado ...) de los posibles
desastres naturales (terremotos, tifones ...), de incendios, inundaciones, sobrecargas
eléctricas, de robos y un sinfín de amenazas más. Los planes de seguridad física se basan en
proteger el hardware de los posibles desastres naturales, de incendios, inundaciones,
sobrecargas eléctricas, robos y otra serie de amenazas.
Para (Costas, 2011) Así, la seguridad física consiste en la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante amenazas a
los recursos e información confidencial. Se refiere a los controles y mecanismos de
seguridad, dentro y alrededor de la ubicación física de los sistemas informáticos, así como
los medios de acceso al mismo, implementados para proteger el hardware y medios de
almacenamiento de datos.
Según (Roa, 2013). La seguridad física cubre todo lo referido a los equipos informáticos:
ordenadores de propósito general, servidores especializados y equipamiento de red. Las
amenazas contra la seguridad física son: desastres naturales, robos y fallos de suministros.
Para (Piattini & Del peso, 2001), La seguridad física garantiza la integridad de los activos
humanos, lógicos y materiales de un CPD. Si se entiende la contingencia o proximidad de
un dato como la definición de Riesgo de Fallo, local o general, tres serían las medidas a
preparar para ser utilizadas en relación con la cronología del fallo: antes durante y después.
7
La Seguridad Física para (Huerta Villalón, 2000) consiste en la "aplicación de barreras
físicas y procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos
de seguridad dentro y alrededor del Centro de Datos, así como los medios de acceso remoto
al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento
de datos.
“La auditoría de la seguridad física analiza todos los procesos referentes a la protección de
los componentes hardware, dispositivos, instalaciones y entornos de los distintos sistemas
informáticos. Los auditores deberán analizar la correcta protección y actualización de estos
componentes, además de la protección de datos que forman parte del sistema” (Chicano,
2015).
8
AUDITORIA
COMPARACIONES
IDEAL REAL
DIFERENCIA
OBSERVACIONES
“Los activos también son fundamentales para lograr los objetivos definidos por la
organización y requieren de una especial protección: cualquier amenaza que pueda afectar a
un activo puede poner en peligro la actividad de la organización y su servicio al cliente”
(Chicano, 2015).
Un activo “es un elemento impreso o digital que contenga información, así como todo
sistema - conformado por software, hardware y su documentación pertinente - que cree,
maneje y procese información para una organización; también se puede incluir a la
infraestructura tecnológica donde se desenvuelven dichos sistemas”. (Tupia, 2010).
(ISO 27001:2013, 2015), Los activos son los recursos del Sistema de Seguridad de la
Información, necesarios para que la empresa funcione y consiga los objetivos que se ha
propuesto la alta dirección. los activos se encuentran relacionados, directa o indirectamente,
con las demás entidades según el siguiente esquema:
9
Figura N° 3 Relación de los activos (ISO Tools Excellence, 2013)
A. AMENAZA
Según (Costas, 2011) las amenazas a un sistema pueden provenir desde un hacker
remoto que entra a un sistema, pasando por un programa descargado desde internet. La
amenaza lógica es un software o código que de una forma u otra puede dañar un sistema
informático, mientras que las amenazas físicas afectan a las instalaciones y/o hardware
contenido en ella. Las amenazas pueden ser provocados por: personas, condiciones físico-
ambientales y software.
10
Para (Piattini & Del peso, 2001), la amenaza es una(s) persona(s) o cosa(s) vista(s) como
posible fuente de peligro o catástrofe. Ejemplos: inundación, incendio, robo de datos,
sabotaje, agujeros públicos, falta de procedimiento de emergencia, divulgación de datos,
implicaciones con la ley, aplicaciones mal diseñadas, gastos incontrolados, etc.
B. RIESGO
Para (Piattini & Del peso, 2001), el riesgo es “la probabilidad de que una amenaza llegue a
acaecer por una vulnerabilidad. Ejemplo: Jos datos estadísticos de cada evento de una base
de datos de incidentes”
“El riesgo es la probabilidad de que una amenaza explote una vulnerabilidad. En los sistemas
de la información se pueden asumir riesgos si el coste de la pérdida es bajo, pero existen
entornos en los que el riesgo es muy alto y se han de implantar medidas para mitigarlo”
(Cilleros, 2012)
Según (Nogueira, 2014), un riesgo “es el potencial de que exista una amenaza que pueda
explotar una de las vulnerabilidades de los activos de la organización, produciéndole daño”.
C. VULNERABILIDAD
Para (Piattini & Del peso, 2001) La situación creada, por la falta de uno o varios
controles, con la que la amenaza pudiera acaecer y así afectar al entone informático.
Ejemplos: falta de control de acceso lógico, falta de control de versiones, inexistencia de un
control de sopones magnéticos, falta de separación de entorno en el sistema, falta de cifrado
en las telecomunicaciones, etc.
“Las vulnerabilidades de un sistema son una puerta abierta para posibles ataques, de ahí que
sea tan importante tenerlas en cuenta; en cualquier momento podrían ser aprovechadas”
(Seoane, Saiz, Fernández, & Fernández, 2010).
2.2.4 Impacto
11
“Es la magnitud del daño que provoca un ataque exitoso. Dependiendo de los daños causados
y los activos afectados, el impacto será mayor o menor” (Chicano, 2015)
Según la (NTP - ISO/IEC 17799 , 2007), La información es un activo que, como otros activos
importantes del negocio, tiene valor para la organización y requiere en consecuencia una
protección adecuada. La seguridad de la información protege a ésta de un amplio rango de
amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades de negocio. La información
adopta diversas formas. Puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o
hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparta o almacene.
12
2.2.6 Data Center
Según (Seoane, Saiz, Fernández, & Fernández, 2010), un data center es aquella
ubicación en donde se concentran los recursos necesarios para el procesamiento de la
información de una organización, dichos recursos consisten esencialmente en unas
dependencias debidamente acondicionadas con toda la infraestructura necesaria en cuanto a
Computadoras y Redes de Comunicaciones. También se le conoce con el nombre de Centro
de Procesamiento de Datos (CDP) o simplemente su traducción del inglés, Centro de Datos
(CD).
Según (Nogueira, 2014) un Data Center se compone de las siguientes áreas principales:
13
norma requiere al menos un MDA y especifica la instalación de bastidores separados para
fibra, UTP y cable coaxial en esta ubicación (Tongo, 2017).
Está ubicada en la parte central del Centro de Datos, contiene el Core o núcleo de las
conexiones de red. En esta nace toda la operatividad de la red local y está conformada por
los equipos principales de la red: Routers, módems y Switches. El Estándar establece a esta
área como fundamental, puede haber más de una (en Centros de Datos grandes) y su
implementación es obligatoria. (Dávila Cervantes & Ramírez Viteri, 2018).
Área que incluye los Switches de LAN/SAN y los del hardware como teclado, video
y mouse para los equipos. En casos donde el centro de datos es pequeño, suele encontrarse
incorporado al MDA. La HDA sirve como punto de distribución para el cableado horizontal
y casas conexiones cruzadas y equipos activos de distribución de cable en el área de
distribución de equipos. Al igual que la MDA, la norma específica la instalación de
bastidores separados para fibra, UTP y cable coaxial en esta ubicación. También recomienda
ubicar los interruptores y paneles de conexión para reducir al mínimo las longitudes de
cordón de parcheo y facilitar la gestión de cables. La HDA se limita a 2.000 conexiones, y
el número de HDAS es dependiente de la cantidad de cableado y el tamaño total del centro
de datos (Tongo, 2017).
Esta área sirve para interconectar el cableado horizontal a los equipos que se encuentran en
el Área de Distribución Principal. Es un punto de organización del cableado horizontal con
conexiones directas y cruzadas entre los equipos de la red. El Estándar recomienda localizar
esta área cerca los Switches y Patch panels de tal forma que se minimice la longitud de los
Patch Cords y facilite su manejo y ordenamiento. (Dávila Cervantes & Ramírez Viteri,
2018).
Sala de Almacenamiento:
Sala de Eléctrica/Mecánica:
Área que alberga los servicios primarios como son los circuitos de distribución.
14
Sala de Telecomunicaciones:
Área que mantiene lo equipos que abastecen los datos locales, video y voz necesario
para las oficinas de soporte de las operaciones del centro de datos y otras áreas de trabajo.
Subsistema donde se encuentra todas las áreas funcionales, así como las partes conformadas
por el cable estructurado del centro de datos, cada una de estas áreas cumple con funciones
ya definidas que aseguran una funcionabilidad óptima de toda la infraestructura. (Tongo,
2017)
Centro de Operaciones:
Centro de monitoreo del centro de datos. Son centros en el cual se encuentran los
técnicos que monitorean el funcionamiento de las redes.
Sala de Entrada:
Sala que delimita con los equipos. Interface entre el proveedor de acceso y el
cableado estructurado del centro de datos.
Sala de Cómputo:
Área donde se albergan sólo los equipos pasivos. Se utiliza en caso de salas de
cómputo amplias y debe tener una distancia determinada al HDA.
Esta área hace las veces de punto de organización que facilitará la reconfiguración de
“equipos libres” tales como servidores o mainframes, es decir, es una zona donde se
interconectan el Área de Distribución Horizontal y el Área de Distribución de Equipos. Esta
área no contiene conexiones cruzadas o equipos activos de red. El Estándar define a esta área
como opcional. (Dávila Cervantes & Ramírez Viteri, 2018).
15
Figura N° 5 Distribución de áreas de un Centro de Datos (Tongo, 2017, pág. 38)
Según (Nogueira, 2014), los elementos físicos de un Data Center son los siguientes:
Servidores Dedicados: Los servidores dedicados son aquellas computadoras designada para
satisfacer determinadas necesidades de los sistemas o de los datos del negocio.
16
Cableado: El cableado es el elemento más importante de un Data Center, porque es a través
de él que se transmite la energía que permitirá el funcionamiento de los distintos dispositivos
tecnológicos, así como la comunicación entre diferentes medios.
17
así como a la reducción de consumo energético. Todos los servidores y equipos de los Data
Center están diseñados de manera que los ventiladores con los que se cuentan aspiren aire
por la parte delantera y lo expulse por la parte trasera. La primera y la segunda fila de racks
que contienen los servidores se colocan de manera que las partes frontales de ambas
coincidan en un pasillo, por el cual se expulsará aire frío que enfriará la parte frontal de los
servidores (pasillo frio). Si se incorpora otra fila, esta deberá ser colocada de forma que la
parte trasera coincida en un pasillo con la parte trasera de la fila anterior, de manera que
ambas líneas de rack expulsen el aire ya caliente al mismo pasillo (pasillo caliente)
a) Redundancia y Disponibilidad
La expectativa de un centro de datos es que cuente con una disponibilidad del 100%
sin embargo, todos los centros de datos, sin importar cuan cuidadosamente hayan sido
planificados, construidos y manejados, sufrirán de un período de tiempo de indisponibilidad,
bien sea intencional o no intencional. La redundancia es una de las formas de reducir la
indisponibilidad, pues no se cuenta con un solo elemento que provee servicios, por ejemplo,
eléctricos, sino que se contará con alguna medida que permitirá que, de fallar un servicio, el
otro pueda asumir el trabajo y así el negocio no sienta el efecto de la falla. (Nogueira, 2014).
Los Data Centers que están equipados con diversas instalaciones de telecomunicaciones
deben ser capaces de continuar su función bajo condiciones catastróficas, puesto que de otra
manera se interrumpirían los servicios de telecomunicaciones del mismo (Tongo, 2017).
18
b) Fiabilidad
c) Manejabilidad
d) Espacio
Es uno de los elementos más valiosos para el diseño, pues se necesita asegurar que
se cuenta con el espacio suficiente y que sea utilizado de la forma correcta. De la misma,
para el cálculo del espacio se deberá considerar la posibilidad de la expansión del Data
Center, considerando amplias áreas de espacio flexible libre para que se pueda reasignar a
una función en particular.
e) Distribución
f) Administración de Cables
g) Edificio
Los edificios en los que se establecerá el Data Center pueden ser de dos tipos de
acuerdo a las necesidades y solvencia de la empresa. Muchas de ellas cuentan con el dinero
adecuado para construir el centro de datos a su medida, con las características que necesita
para manejar su negocio, mientras otras adecuan edificios para esta actividad.
La medida más adecuada para la construcción de un edificio para el Data Center, es que éste
cuente con el espacio suficiente para colocar, de manera ordenada y definiendo en zonas,
todos los equipos necesarios. De la misma forma, es importante definir su ubicación, que no
solo van de la mano con consideraciones de tipo estratégico y económico, sino que debe
precisar seguridad de la zona frente a riesgos impredecibles de la naturaleza, siendo la sala
que alberga los equipos que precisan de mayores cuidados como la existencia de falso piso,
falso techo, insonorización, climatización y suministro de energía.
h) Falso Piso
Para el acceso y movimiento de materiales a la zona, los accesos a la sala deben estar
equipados de una rampa de desnivel variable, rampa recubierta de goma estriada anti
derrapante.
i) Ruido
20
eliminar al máximo las vibraciones sonoras en el interior del local del Data Center y al mismo
tiempo evitar su propagación al exterior. Las medidas más comúnmente adoptadas son la
insonorización del techo, suelo y paredes es con materiales como el corcho aglomerado, que
reducirá las ondas que vienen o van al exterior, así como la insonorización de las máquinas
por medio de carcasas de insonorización o bloques anti vibraciones.
j) Paredes
Las paredes deben ser pintadas con pintura ignífuga, cuya misión será retardar la
acción destructora en caso de incendio, formando un aislamiento multicelular al reaccionar
con la presencia de llamas. Los tipos de pintura ignífuga pueden ser:
k) Ubicación de gabinetes
Los gabinetes deben ser ubicados de manera que el aire acondicionado oriente los
flujos para realizar un intercambio adecuado de calor. Los patrones recomendables para la
orientación son en bloques y conformando figuras geométricas, permitiendo extraer el calor
generado por los equipos.
l) Temperatura
m) Humedad
21
Figura N° 6 Diseño de red de datos y eléctrico del Data Center del Hospital Regional de Ayacucho -2019
22
2.2.7 Auditoría del Data Center
Los servicios de Auditoría garantizan la seguridad y continuidad del negocio. Es una parte
estratégica de la actividad de la empresa y, por tanto, su seguridad y disponibilidad son
esenciales. Un fallo en la infraestructura puede acarrear graves consecuencias. Para
garantizar su operatividad, determinar su nivel de fiabilidad y seguridad, y conseguir su
perfecto funcionamiento es indispensable realizar auditorías que permitan conocer con
exactitud el “estado de salud” de la infraestructura del centro de datos, que identifiquen los
posibles riesgos, las carencias o debilidades, así como los problemas de capacidad (Goal's,
2014).
23
• Sistema de seguridad para prevenir y detectar incendios, inundaciones, control de
accesos.
• Eficiencia energética.
• Procesos de operaciones
Una de las metodologías más recomendables para mejorar un Data Center es la de comenzar
por realizar una auditoría de las instalaciones que incluya mediciones reales durante periodos
de tiempo significativos. Toda esta información permite saber dónde se está realmente, con
lo que es mucho más fácil tomar las decisiones correctas que permiten llegar al punto donde
queremos estar (Cliatec, 2018).
Según (Mtnet, 2018), La seguridad física de los data centers implica proteger la
infraestructura crítica de amenazas externas o intrusiones que atenten contra las actividades
de una empresa. Elementos de alto valor y sumamente importantes, tales como servidores,
Switches y unidades de almacenamiento.
El mercado global de seguridad física para data centers se segmenta en cuatro niveles en
base a las capas de seguridad:
(Piattini & Del peso, 2001), señalan a continuación algunas fuentes que deben estar
accesibles en todo Data Center al realizar una auditoría:
24
5. Actas e informes de técnicos y consultores (que diagnostiquen el estado físico del
edificio, estado de operatividad de los sistemas de seguridad y alarma, agencias de
seguridad que proporcionan a los vigilantes jurados, bomberos, etc).
6. Plan de contingencia y valoración de las pruebas.
7. Informes sobre accesos y visitas.
8. Informes sobre pruebas de evacuación ante diferentes tipos de amenaza: incendio,
catástrofe natural, terrorismo, etc.
9. Informes sobre evacuaciones reales.
10. Política de personal. revisión de antecedentes personales y laborales, procedimientos
de cancelación de contratos y despidos, rotación en el trabajo, planificación y
distribución de tareas, contratos fijos y temporales.
Para (Universidad Juárez Autónoma de Tabasco, 2006), “El análisis de riesgo puede
ser considerado como, la identificación, el análisis, la evaluación, el control y la
minimización de las pérdidas asociadas con eventos de riesgo, es una revisión constante y
permanente debido a que se trata de un proceso continuo”
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos
pasos pautados: 1. determinar los activos relevantes para la Organización, su interrelación y
su valor, en el sentido de qué perjuicio (coste) supondría su degradación 2. determinar a qué
amenazas están expuestos aquellos activos 3. determinar qué salvaguardas hay dispuestas y
cuán eficaces son frente al riesgo 4. estimar el impacto, definido como el daño sobre el activo
derivado de la materialización de la amenaza 5. estimar el riesgo, definido como el impacto
ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
(Consejo Superior de Administración Electrónica de España., 2012)
25
Figura N° 7 Elementos de análisis de riesgos potenciales. Magerit v.3 (2012)
26
Los métodos principales para el análisis y la gestión de riesgos de los SI son:
Según (Marulanda, 2014), De acuerdo con el estándar ISO/IEC 27001 el análisis del riesgo
contempla lo siguiente:
A. Identificación de Activos
Según el (NTP - ISO/IEC 17799 , 2007), un activo de información es: “Algo a lo que
una organización directamente le asigna un valor y, por lo tanto, la organización debe
proteger”.
• Activos de información
• Documentos del papel
• Activos de software
27
• Activos físicos
• Personal
• Imagen de la compañía y reputación
• Servicios
B. Tasación de Activos
Tabla N° 1
Tasación de activos
Valor Significado
1 Muy bajo
2 Bajo
3 Medio
4 Alto
5 Muy alto
Tasación de activos según la escala de Likert (Chamorro, 2013)
28
C. Identificación de Amenazas y Vulnerabilidades
“En esta definición, los autores se refieren a una situación en la cual una persona
pudiera hacer algo indeseable o una ocurrencia natural” (como se cita en Marulanda, 2014,
pág. 40).
plantea que una amenaza puede significar muchas cosas, depende del contexto en donde se
le ubique. “Una amenaza es normalmente vista como un intento de hacer algo malo a alguien
o a algo” (Thomas, 2010).
(Chamorro, 2013) indica que, en este punto, la empresa debe tomar decisiones importantes
en relación con el análisis de las amenazas. La decisión sobre cuáles amenazas se descarta
por su baja probabilidad de ocurrencia debe revisarse con detenimiento. Puede ocurrir que
la amenaza con menor probabilidad de ocurrencia tenga las consecuencias más severas para
la empresa.
29
6. Evaluación y análisis del riesgo
2.2.10 LA AUDITORÍA
Para (Piattini & Del peso, 2001), Conceptualmente la Auditoría, toda y cualquier
Auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el
objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas.
La auditoría es un examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado, con frecuencia este término ha sido utilizado
incorrectamente, ya que se ha considerado como una evaluación donde el fin es detectar
errores y señalar fallas, pero el concepto de auditoría va más allá de la detección de errores,
es un examen crítico donde el objetivo es evaluar la eficiencia y la eficacia de un área u
organismo (Martínez, 2012).
Hernández (2010) manifiesta que la auditoría interna es una actividad que tiene por
objetivo fundamental examinar y evaluar la adecuada y eficaz aplicación de los sistemas de
control interno, velando por la preservación de la integridad del patrimonio de una entidad
y la eficiencia de su gestión económica, proponiendo a la dirección las acciones correctivas
pertinentes.
Es la revisión que realiza una profesional auditoría, cuya relación de trabajo es directa y
subordinada a la institución se aplicará la misma, con el propósito de evaluar en forma
interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se
desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en
la emisión de Sus resultados financieros. El objetivo final es contar con un dictamen interno
sobre las actividades de toda la empresa, que permita diagnosticar la actuación
30
administrativa, operacional y funcional de empleados y funcionarios de las áreas que se
auditan (Muñoz, 2012).
Según (Piattini & Del peso, 2001) la auditoría informática también conocida como auditoría
de sistemas de información es la revisión y la evaluación de los controles, de sistemas,
procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y
seguridad de la organización, que participa en el procesamiento de la información, a fin de
31
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente
y segura de la información que servirá para una adecuada toma de decisiones.
(Seoane, Saiz, Fernández, & Fernández, 2010) indican que, tenemos que intentar
lograr un nivel de seguridad razonable y estar preparados para que, cuando se produzcan los
ataques, [os daños puedan ser evitados en unos porcentajes que se aproximen al ciento por
cien o en caso contrario haber sido [o suficientemente precavidos para realizar las copias de
seguridad y de esta manera volver a poner en funcionamiento [os sistemas en el menor
tiempo posible.
Para ello, se deben evaluar y cuantificar los bienes a proteger, y en función de análisis,
implantar medidas preventivas y correctivas que eliminen los riegos asociados o que los
reduzcan hasta niveles manejables (Morlano, 2012).
De acuerdo a las actividades que serán evaluadas, se anotan los procedimientos a seguir para
realizar la evaluación. En esta parte se especifican los pasos y demás instrucciones que
servirán de guía para evaluar lo especificado; se pueden anotar tantos procedimientos como
sean necesarios durante la evaluación. (Muñoz, 2012).
El primer paso para realizar una auditoría en sistemas computacionales es definir las
actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada
planeación de estas; es decir, se deben identificar claramente las razones por las que se va a
realizar la Auditoría y la determinación del objetivo de la misma, así como el diseño de los
métodos, técnicas y procedimientos necesarios para llevarla a cabo y para preparar los
documentos que servirán de apoyo para su ejecución, culminando con la elaboración
documental de los planes. programas y presupuestos para dicha auditoría (Muñoz, 2012).
33
cuando, al conocer el nacimiento de la solicitud de una auditoría bajo este rubro, mucho
ayudaría a valorar la necesidad de evaluar la implementación de los planes, programas y
medidas preventivas de seguridad para el área de sistemas.
Es recomendable, diríamos que casi imprescindible, que el auditor realice una visita
preliminar al área de informática que será auditada, justo después de conocer el origen de la
petición de auditoría, y antes de iniciarla formalmente; el propósito es que tenga un contacto
inicial con el personal de dicha área y que observe cómo se encuentran distribuidos los
sistemas, cuántos y cuáles son los equipos que están instalados en el centro de cómputo,
cuáles son sus principales características, de qué tipo son las instalaciones, cuáles son
medidas de seguridad Visibles que existen, y en Sí, que conozca la temática a la cual se
enfrentará, de manera muy simple y de carácter tentativo
Dentro de esta visita preliminar, el auditor también aprovecha para establecer un contacto
inicial con funcionarios, empleados y usuarios del área de sistemas; el propósito es que
observe sus reacciones ante la realización de la auditoría, y que las posibles limitaciones y
temores que influirán en la cooperación de dicho personal.
Otro aspecto que también se puede obtener de esta visita al área que será auditada, es que Se
puede anticipar cuáles objetivos se pueden satisfacer con la auditoría, o por lo menos tratar
de entender cuáles son las metas que se quieren alcanzar con la evaluación.
Después de haber considerado todos los puntos antes señalados, el siguiente paso es
realizar la planeación formal de la auditoría de sistemas, en la cual se concreten los planes,
programas y presupuestos para dicha auditoría; es decir, se deben elaborar los documentos
34
que contemplen los planes formales para el desarrollo de la auditoría, los programas en
donde Se delimiten perfectamente las etapas. eventos. y los tiempos de ejecución para
cumplir con el objetivo, así como los presupuestos de la auditoría, documentos en donde Se
deben asignar los Costos de los recursos que serán utilizados y el tiempo que serán utilizados
para determinada actividad. A continuación, se señalan los aspectos que deben tener en
cuenta en esta subetapa
El siguiente paso es determinar los documentos y medios con cuales se llevará a cabo
la revisión a sistemas de la empresa, lo cual se logrará a través de la selección o diseño de
métodos. procedimientos. herramientas e instrumentos necesarios: de acuerdo con lo
indicado en los planes. presupuestos y programas establecidos para la auditoría. Para lograr
esto, sugerimos Siguientes puntos:
35
Una vez definidos todos los aspectos señalados en las fases anteriores, el siguiente
paso es asignar los recursos que serán utilizados para realizar la Auditoría, de acuerdo con
los aspectos ya establecidos con anterioridad. Con la asignación de estos recursos sean
humanos, informáticos, tecnológicos o cualesquiera otros que se establecido para la
auditoría, es como se lleva a cabo la misma.
Según (Loor & Espinoza, 2015), Esta etapa de la auditoría consiste en el desarrollo
de los procedimientos contenidos en los programas de auditoría a través de técnicas de
auditoría. Es la estructuración de un proceso uniforme para el desarrollo de las auditorías,
en el cual las actividades están principalmente enfocadas a identificar riesgos de TI y evaluar
la calidad de los controles para la gestión de los riesgos.
De acuerdo con el programa de Auditoría, cada auditor tiene que realizar las
actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue
asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar; el
propósito es ejecutar los eventos programados y el objetico de la Auditoría.
Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno
a uno, los instrumentos y herramientas elegidos para llevar cabo la evaluación. ya se
mediante la recopilación y análisis de la información, la observación. las pruebas y
simulaciones de los sistemas. o mediante cualquier otro instrumento de los que se diseñaron
previamente para esta revisión
36
E.3 Integrar el legajo de papeles de trabajo de la Auditoría
HALLAZGOS DE AUDITORÍA
Los hallazgos en la auditoría, se definen como asuntos que llaman la atención del
auditor y que en su opinión, deben comunicarse a la entidad, ya que representan deficiencias
importantes que podrían afectar en forma negativa, su capacidad para registrar, procesar,
resumir y reportar información confiable y consistente, en relación con las aseveraciones
efectuadas por la administración (Whitten, 2008)
37
Evidencias De Auditoría
Según (Muñoz, 2012), “el último paso de la metodología que hemos estudiado es
emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales”.
Para ello presentamos los siguientes puntos:
38
2.4 COBIT 5
Para (ISACA, 2012), COBIT 5 es un marco de trabajo integral que ayuda a las
empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Ayuda
a las empresas a crear un valor óptimo desde TI manteniendo el equilibrio entre la generación
de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT 5.0
permite a las TI ser gobernadas y gestionadas de un modo holístico, abarcando al negocio
completo de principio a fin y las áreas funcionales de responsabilidad de TI.
COBIT 5.0 se basa en cinco principios para el gobierno y la gestión de las TI empresariales
1.
Satisfacer las
Necesidades
de las Partes
Interesadas
5. 2.
Separar Cubrir la
El Gobierno Empresa Extremo
de la Gestión a Extremo
Principios
de COBIT 5
3.
4.
Aplicar un
Hacer
Marco de
posible un
Referencia
Enfoque
Único Integrado
Holístico
Según (ISACA, 2012), la empresa existe para crear valor entre las partes interesadas
manteniendo el equilibrio entre la realización de los beneficios y la optimización de los
riesgos y el uso de recursos. COBIT 5.0 provee los procesos necesarios para permitir la
creación de valor del negocio mediante el uso de TI. Las empresas pueden personalizar
COBIT 5.0 adaptándolo a su propia realidad mediante la cascada de metas, traduciendo
metas corporativas de alto nivel a metas más específicas relacionadas a TI. 22
39
B. Cubrir la empresa extrema a extremo
Según (ISACA, 2012), este principio cubre todas las funciones y procesos dentro de
la empresa; COBIT 5.0 no se enfoca sólo en la función de TI, sino trata a la información y
las tecnologías como activo que deben ser tratados como cualquier otro activo por toda la
empresa. Considera que los Catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin.
Para (ISACA, 2012), COBIT 5.0 estable una clara diferencia entre gobierno y
gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes
estructuras organizativas y sirven diferentes propósitos.
El ciclo de vida de COBIT 5.0 proporciona a las empresas una manera de usar COBIT
para solucionar la complejidad y el desafío que aparece durante la implementación. Hay tres
componentes del ciclo de vida interrelacionados: a) ciclo de vida de mejora continua, b)
habilitación de cambio y c) gestión del programa. Este ciclo de vida cuenta con siete fases
(ISACA, 2012).
40
Figura N° 11 Modelo de procesos COBIT 5.0 (ISACA, 2012)
41
Según (ISACA, 2012), el modelo de referencia de procesos COBIT subdivide los
procesos de gobierno y de gestión de TI en dos principales áreas de actividad; gobierno y
gestión y a su vez dividido en dominios de procesos. El dominio de gobierno tiene cinco
procesos; en cada uno de ellos se define prácticas de Evaluación, Dirección y Supervisión
(EDM, sigla en inglés) y el dominio de gestión tiene 4 procesos alineados con las áreas de
Responsabilidad de planificación, Construcción, Ejecución y supervisión (PBRM, sigla en
inglés).
l. Política de seguridad
42
2. Aspectos organizativos para la seguridad
a. Organización interna.
b. Seguridad en los accesos de terceras partes.
3. Clasificación y control de activos
a. Áreas seguras.
b. Seguridad de los equipos.
6. Gestión de comunicaciones y operaciones
43
g. Informática móvil y teletrabajo.
8. Adquisición, desarrollo y mantenimiento de sistemas
2.4.4 POBLACIÓN
2.4.5 MUESTRA
44
Para (Tamayo & Tamayo, 1997) la muestra es un grupo de individuos que se toma de la
población con un fin de estudio estadístico.
(Ary, 1996). señala que “…si la población posee pequeñas dimensiones, deben ser
seleccionados en su totalidad, para así reducir el error en la muestra…”. Tomando como
fundamento esta definición, podemos determinar que la muestra es aquella que representa
en su totalidad los individuos que permiten obtener información sobre el tema a investigar.
45
CAPÍTULO III
METODOLOGÍA DE LA INVESTIGACIÓN
Según (Supo, s.f), son estudios observacionales en los cuales ningún acto del
investigador modifica los resultados de la medición, incluso si es el propio investigador
quien realizo las mediciones; de esta manera, los datos encontrados y la información
consignada refleja el estado natural de las unidades de estudio.
Según (Supo, s.f), los estudios prospectivos son aquellos que se realizan con datos que
provienen de mediciones controladas, hechas por el propio investigador, de manera que se
asegure contar con datos que provienes de mediciones controladas, donde los sesgos de
medición han sido controlados.
Según Dr. (Supo, s.f), Los estudios con una sola medición son los denominados
transversales, son aquellos estudios donde todas sus variables son medidas en una sola
ocasión, independientemente del tiempo que nos tome realizar las mediciones de todos los
elementos que conformen el grupo de estudio. Esta clasificación nada tiene que ver con la
duración del estudio.
46
Según (Supo, s.f), en el tipo de investigación descriptivo el análisis estadístico, es
univariado porque solo describe o estima parámetros en la población de estudio a partir de
una muestra.
B NIVEL DE INVESTIGACIÓN
Según (Hernández, Fernández, & Baptista, 2010), Los estudios descriptivos buscan
especificar las propiedades, las características y los perfiles de personas, grupos,
comunidades, procesos, objetos o cualquier otro fenómeno que se someta a un análisis.
Describe tendencias de un grupo o población.
Según Dr. (Supo, s.f), el estudio de nivel descriptivo, tiene en su enunciado a la variable de
estudio, que en este caso será única, otras variables participantes se denominan variables de
caracterización y no aparecen en el enunciado del estudio, puesto que no habrá relación entre
variables, pero si aparecen en el cuadro de operacionalización.
(Bernal Torres, 2010), En tales estudios se muestran, narran, reseñan o identifican hechos,
situaciones, rasgos, características de un objeto de estudio, o se diseñan productos, modelos,
prototipos, guías, etcétera, pero no se dan explicaciones o razones de las situaciones, los
hechos, los fenómenos. La investigación descriptiva se soporta principalmente en técnicas
como la encuesta, la entrevista, la observación y la revisión documental.
47
C DISEÑO DE LA INVESTIGACIÓN
MUESTRA. - (Areitio, 2008) señala que “…si la población posee pequeñas dimensiones,
deben ser seleccionados en su totalidad, para así reducir el error en la muestra…”. En efecto
se tomó una muestra por conveniencia conformado por todos los activos físicos del Data
Center del Hospital Regional de Ayacucho en el año 2019.
VARIABLE DE INTERÉS
48
En un Data center: Se refiere a los controles y mecanismos de seguridad dentro y alrededor,
así como los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos
Activo Físico. – son aquellos recursos con las que cuenta una organización, es la base para
la gestión de riesgos de seguridad de la información y para determinar los niveles de
protección requeridos. se define como todo objeto o bien material que posee una persona
natural o jurídica, tales como maquinarias, equipos, edificios, muebles, vehículos, materias
primas, productos en proceso, herramientas, etc.
Amenaza. -la amenaza es una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro
o catástrofe. Una amenaza es normalmente vista como un intento de hacer algo malo a
alguien o a algo
VARIABLE X
X: Seguridad Física
VARIABLES DESCRIPTIVAS
X2: Amenaza
49
X3: Riesgo
Se muestra en el Anexo A.
3.4.1 TÉCNICAS
50
3.4.2 INSTRUMENTOS
(Calderero hernandez & Bernardo Carrasco, 2000), consideran que los instrumentos
es un recurso del que puede valerse el investigador para acercarse a los fenómenos y extraer
de ellos información. Dentro de cada instrumento pueden distinguirse dos aspectos
diferentes: una forma y un contenido. La forma del instrumento se refiere al tipo de
aproximación que establecemos con lo empírico, a las técnicas que utilizamos para esta tarea.
En cuanto al contenido, éste queda expresado en la especificación de los datos concretos que
necesitamos conseguir; se realiza, por tanto, en una serie de ítems que no son otra cosa que
los indicadores bajo la forma de preguntas, de elementos a observar, etc.
(Hurtado & Toro, 2005) Definen que “la validez es el grado en que la medición
representa al concepto medido”, es un concepto del cual pueden tenerse diferentes tipos de
evidencias relacionadas con el contenido, criterio y con el constructo”. La validez de
contenido se refiere al grado en que un instrumento refleja un dominio específico de
contenido de lo que se mide.
51
una obra (libro, folleto, artículo de revista, etc.) ya publicada, para poderla identificar y
distinguir de otras o de sus diferentes ediciones.
Referencia. - Es un instrumento para hacer cita de alguna obra donde él investigador puede
encontrar mayor información de la que se presenta.
Checklist. - La lista de chequeo, como herramienta metodológica está compuesta por una
serie de ítems, factores, propiedades, aspectos, componentes, criterios, dimensiones o
comportamientos, necesarios de tomarse en cuenta, para realizar una tarea, controlar y
evaluar detalladamente el desarrollo de un proyecto, evento, producto o actividad. Dichos
componentes se organizan de manera coherente para permitir que se evalúe de manera
efectiva, la presencia o ausencia de los elementos individuales enumerados o por porcentaje
de cumplimiento u ocurrencia. (citado por Tongo, 2017 pag 80)
52
Tabla N° 2
Técnicas e instrumentos
ELEMENTOS
TÉCNICAS INSTRUMENTOS DE LA DESCRIPCIÓN
POBLACIÓN
53
3.4.3 HERRAMIENTAS PARA LA ELABORACIÓN DEL PROCEDIMIENTO
Tabla N° 3
Herramientas para la elaboración del procedimiento de auditoria
ESTANDARES ELABORADO USO
EDI (Comité Técnico de Es una guía práctica que desarrolla los
Normalización de estándares organizacionales de la seguridad y
codificación e genera prácticas efectivas durante la gestión de
Intercambio Electrónico la Seguridad de la Información. ofreciendo los
NTP-ISO/IEC
de Datos). Tecnología de requisitos necesarios para que los responsables
17799:2007
la Información. Código del área en concreto puedan iniciar, implantar,
de buenas prácticas para mantener y mejorar la seguridad en las
la gestión de la seguridad organizaciones.
de la información.
COBIT fue creado para ayudar a las
organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los
niveles de riesgo asumidos. COBIT 5 posibilita
que TI sea gobernada y gestionada en forma
54
CAPÍTULO IV
Para realizar los procedimientos de Auditoría Física del Data Center del Hospital
Regional de Ayacucho se desarrollarán mecanismos para establecer aspectos clave de
Auditoría como son el alcance, el objetivo general y los objetivos específicos que serán
considerados como criterios.
Cabe aclarar que en cada etapa se presenta un análisis general el cómo se debe hacer la
Auditoría y a continuación la aplicación de los procedimientos de auditoría en seguridad
física para la "Hospital Regional de Ayacucho", con la finalidad de que se sustente las
pruebas realizadas a los procedimientos de auditoría antes detallados en el presente trabajo
de investigación.
55
Siendo el objeto de estudio de Auditoría del Data Center, algunos factores que podrían estar
involucrados en la evaluación son las siguientes:
Es importante conocer cuáles son los elementos de auditoría física y adicional los elementos
ambientales que pueden ser auditados, que ayudan al control de Auditoría Física en un Data
Center por el cual a continuación en la tabla 4, se mencionan los aspectos que pueden ser
auditados.
Alcance: La auditoría física y del entorno (medio ambiente) tendrá un alcance de todo el
Data Center del Hospital Regional de Ayacucho, que está ubicada en parte posterior de dicha
institución, teniendo como guía para el análisis los siguientes ítems:
a) Marco de control COBIT 5 (Dominios, Procesos y Objetivos relacionados a la
seguridad Física)
b) La NTP-ISO/IEC 17799 (Dominio 9-Seguridad física y ambiental)
56
c) El periodo de visita a las instalaciones del Data Center comprende el 21 y 22 de
octubre del 2019, previo acuerdo con el jefe del área de informática del Hospital.
Los activos de seguridad física del Data Center que pueden ser auditados son aquellos
que se relacionan con el cuidado Físico del Data Center, para su funcionamiento continuo,
así como para proteger de incidentes naturales o personas malintencionadas.
A continuación, se detallan en la tabla 4 los aspectos de seguridad física que pueden ser
auditados:
Tabla N° 4
Elementos auditables de seguridad física del Data Center
ELEMENTOS AUDITABLES DE SEGURIDAD FÍSICA
ELEMENTO DEFINICIÓN
La obsolencia en los activos físicos puede ser factor muy perjudicial para la
continuidad de servicios que ofrece el Data Center, ya que el desgaste de los
equipos puede ocasionar problemas técnicos que afecten o indispongan el
servicio. Es importante indicar dos términos relacionados con este punto de
Grado de análisis:
obsolencia • Obsolencia técnica: Se refiere al tiempo excedido por el equipo de acuerdo al
tiempo de vida determinado en la fabricación del mismo o de acuerdo a
prácticas internacionales.
• Obsolencia por su uso: El desgaste del equipo debido al tiempo que ha sido
utilizado.
Acorde a las buenas prácticas de seguridad de información, la ubicación del Data
Center, deben encontrarse alejados en un rango de al menos 2 Km. El objetivo de
las buenas prácticas en la ubicación se da principalmente para evitar que, en un
evento no previsto, como puede ser un incendio o terremoto, se vean
Ubicación comprometidas tanto las áreas funcionales, así como el Data Center, generando
una pérdida total para la organización.
Dentro de este punto, es importante considerar que el Data Center debe ubicarse
en una zona donde se haya realizado previamente un análisis y que no sea riesgosa
con respecto a desastres naturales, vibraciones, entre otros.
57
El tamaño mínimo recomendado para un espacio que funcione como sala de
equipos es de 13.5 m2, en caso de no conocer el valor referencial es con un área
de 0.07 m2 de espacio por cada 10 m2 de área de trabajo
Las puertas deben ser de un material resistente a golpes y maltratos, se
recomienda que sea estructurada con planchas de acero, refuerzos en su parte
interna, cerraduras electromagnéticas, resistencia al calor de por lo menos 1000
Puertas de
˚F por hora, de manera que para que ésta sea abierta deba verificarse que quien
acceso
desea ingresar contar con los permisos necesarios para hacerlo, evitando el paso
del personal mal intencionadas. De la misma forma, debe haber una sola forma
de acceso al Data Center.
Con respecto al cableado, debe contarse con una documentación correcta de los
mismos, que facilite la realización de modificaciones o ampliaciones en el Data
Cableado
Center. Para lograr se pueden usar rack, gabinetes, canaletas, gabinetes y
etiquetas.
La existencia de un falso piso busca proteger tanto a los equipos y como al
Falso piso cableado de incidentes que podría producir una inundación o fuga de agua en el
edificio.
Se debe guardar un registro físico y virtual de las asignaciones de permisos como
Documentación de los dispositivos de seguridad asignados a los trabajadores, de manera que se
de pueda tener control sobre los mismos. Dentro de los dispositivos de seguridad
procedimientos
de asignación para empleados o visitantes (proveedores, reguladores, auditores, clientes, entre
otros.) están las tarjetas de identidad, llaves tipo tokens, contraseñas y demás
Es necesario dotar al Data Center de la seguridad con los dispositivos
biométricos, ya que de ella dependerá que personal no autorizado o capacitado
Dispositivos
ingrese a realizar maniobras en los equipos, lo que pudiese ocasionar fallas en el
biométricos
sistema y con ello brindando mayor seguridad. Estos dispositivos deben ser
capaces, también, de registrar los intentos positivos y fallidos de ingreso.
Los ingresos y salidas deben encontrarse señalizados ubicadas de forma
adecuada, así como las áreas de alto voltaje o que cuentan con algún riesgo. Con
Señalización esto no solo se busca cumplir con las regulaciones dadas por Defensa Civil, así
como por el Ministerio de trabajo, sino también asegurar la salud y bienestar del
personal de la organización.
Se debe contar con un mecanismo de vigilancia permanente que permita controlar
Sistema de
y conocer las acciones que se realizan alrededor y dentro del Data Center. Con
vigilancia
ello se busca controlar las acciones que puedan ser perjudiciales para el mismo.
58
Es recomendable poseer un segmento de red totalmente independiente al del resto
de la empresa para el uso exclusivo del Data Center. Con esto se busca evitar
Sistema de red
problemas que puedan producirse en la red debido a sobrecargas de trabajo,
independiente
ingreso de virus que busquen apoderarse de información importante, entre
otros, que provengan de alguna otra área de la empresa.
Los pasadizos y accesos del Data Center deben encontrarse libres para facilitar el
Desplazamiento
desplazamiento del personal responsable, la salida del Data Center y para la
libre
instalación de nuevos equipos cuando sea necesario.
Se debe contar con un programa que permita un control constante del estado y
Programa de
mantenimiento posibles inconvenientes que puedan producirse en los equipos del Data Center,
correctivo tanto de los funcionales, así como de los equipos de respaldo.
ELEMENTOS AMBIENTALES QUE PUEDEN AFECTAR LA SEGURIDAD
FÍSICA EN UN DATA CENTER
ELEMENTO
MEDIDAS DE SEGURIDAD
AMBIENTAL
Humedad El mal funcionamiento del sistema de refrigeración puede generar la
condensación de agua, esto puede causar el cortocircuito en el equipamiento, y
como consecuencia el daño de os equipos. Por tato los sensores son equipos
• sensores de
ubicados en el piso con el objetivo de poder detectar de forma temprana las
aniego
inundaciones que puedan ocurrir en las instalaciones y que pueden afectar al Data
Center.
Temperatura Se debe contar con sistemas de extinción que permitan resolver de manera rápida
la ocurrencia de un incendio dentro del local del Data Center. Este sistema de
• Sistema de
extinción de extinción debe utilizar una tecnología acorde con la realidad del Data Center
incendios como son los materiales y el personal que trabaja en él.
El estándar recomienda que se instale un sistema detector de humo para brindar
un mejor nivel de protección al Centro de Datos. Los detectores de humo deben
• Detectores de
humo ser enlazados con el sistema de supresión de incendios, de manera que cuando
éste detecte la presencia de partículas de humo se inicie el proceso de supresión
de incendios inmediatamente.
Debido a un mal funcionamiento del sistema de refrigeración el ambiente puede
generar la condensación de agua sobre los componentes, por tanto, estos
dispositivos apoyan en la detección del nivel de humedad con el que cuenta el
• Detectores de
humedad Data Center. El factor humedad puede ser muy perjudicial para el funcionamiento
pues de tener valores muy elevados puede degradar el material de los equipos y
de tener valores muy bajos producir energía estática.
59
Contar con equipos de aire acondicionado que permitan controlar la temperatura
• Refrigeración y humedad dentro de la sala de servidores, así como en las otras salas del Data
Center.
Un incendio en Data Center ocasionaría pérdidas de los bienes y datos, además
conlleva a otras amenazas derivados como calor, humo, gases corrosivos entre
otros por esta razón se debe contar con pintura anti fuego en las paredes permitirá
• Pintura anti
fuego disminuir y retardar los efectos que se generarían de producirse un incendio en el
Data Center. Éste podrá controlar o disminuir el fuego, de acuerdo a sus
características.
Suministro La energía eléctrica es indispensable para el funcionamiento de los equipos
eléctrico
eléctricos y electrónicos en un ambiente Data Center, y la interrupción de este
servicio ocasionaría la paralización del funcionamiento de los servicios del
ambiente, por tal razón es necesario contar con un suministro de electricidad de
• Fluido eléctrico
de respaldo respaldo, como son los grupos electrógenos, para asegurar la continuidad del
negocio y el bienestar del personal que se encuentre dentro del Data Center frente
a un corte eléctrico.
Se debe contar con equipos UPS (sistema de alimentación ininterrumpida) con la
• UPS capacidad suficiente para permitir la autonomía necesaria para el encendido del
grupo electrónico.
Polvo En el ambiente de Data Center se pueden presentar la inadecuada calidad de aire
que puede poner en riesgo al personal y fallas en los quipos por la obstrucción de
filtros, ventiladores por la acumulación de polvo. En efecto estos dispositivos
• Sensores de
permitirán determinar cuándo los equipos están siendo invadidos por el polvo, de
polvo
manera que se pueda tomar acciones y evitar que éste pueda deteriorar los
equipos.
Magnetismo La correcta ubicación y distribución de los cables eléctricos y de red ayudaran a
• Adecuada evitar la interferencia que podría producirse entre ellos, generando pérdida de
ubicación de
cables datos, interferencia en la comunicación o errores en la transmisión.
Elementos auditables de la Seguridad Física y elementos ambientales que pueden afectar la Seguridad Física en
un Data Center.
60
investigación es eminentemente el de verificar la seguridad física del Data Center del Hospital
Regional de Ayacucho.
Objetivo General: Realizar la evaluación de la infraestructura del Data Center del Hospital
Regional de Ayacucho, para verificar la disposición de la Seguridad Física con la que cuenta
sus instalaciones actualmente.
Tabla N° 5
Datos generales de la entidad a Auditar
El Data Center aloja y da soporte a los sistemas de SIGA (Sistema Integrado de Gestión
Administrativa), SIAF (Sistema Integrado de Administración Financiera), Galenhos, Lolcli,
Bbcore Y Biomed. También servicios de telefonía IP e internet. El funcionamiento del Data
Center es requerido de manera crítica los días laborales (lunes a viernes y en horarios de
oficina). Para el mantenimiento no cumple el 24x7x365 porque a veces los domingos un lapso
de media hora se apaga los sistemas que no se utilizan por ejemplo Galenhos.
61
No se cuenta con ninguna documentación de políticas ni de normas de seguridad para el Data
Center. Pero si existe una política interna para el área de informática que se hizo en el año 2010.
Si, el Data Center fue implementado hace 9 años parte de un proyecto, en cuya documentación
se tienen las especificaciones técnicas de los equipos a adquirir en ese entonces; la construcción
del local no fue examinado, la parte posterior del Hospital fue el ambiente asignado, porque
éste era el lugar cerca a las demás oficinas para la implementación del Data Center. La
documentación está a cargo del área.
No, no se cuenta con ningún seguro de riesgo y el mantenimiento se hace tres veces al año
previa acuerdo con área de informática.
En este punto de la auditoría Física se busca los medios o caminos por las cuales se
podrá realizar el levantamiento de evidencias. como propósito se tiene en cuenta los siguientes
aspectos: De acuerdo a los criterios elegidos para dar inicio a la auditoría, según el Control de
Objetivos para Tecnologías de Información y Relacionadas (COBIT 5.0) y la norma NTP-
ISO/IEC 17799, será necesario evaluar los controles relacionados a ellos y proceder con el
62
levantamiento de evidencias. Una vez seleccionados los controles a evaluar se procede a la
recolección y evaluación de evidencias, para lo cual será necesaria la clasificación de los
controles:
Tabla N° 6
Clasificación de los controles
CONTROLES
No existentes Existentes
Son necesarios aplicarlos, pero al Son identificados al momento de realizar la Auditoría
realizar la Auditoría podrían no ser y requieren ser evaluados para verificar si cumplen
identificados con su funcionamiento
Vamos hacer uso de las siguientes técnicas mencionados para evaluar los controles existentes.
• Observación
• Encuesta
• Entrevista
• Análisis documental
• Conciliación; contrastar la información con personas o documentos, como pueden ser:
✓ Los reportes de auditorías pasadas en relación a seguridad Física (en este caso
se va tomar en cuenta los inventarios realizados).
✓ Revisión de documentos acerca de la seguridad física.
Para determinar la validez del instrumento se utilizó la técnica de juicio de expertos, donde se
eligieron 2 especialistas, Ingenieros en Sistemas con títulos de Magíster, versados en el tema,
quienes a través de un formato de validación como se ilustra en el Anexo C: Estructura de la
Entrevista
63
Entrevista realizada al administrador del Data Center:
Tema de Investigación:
“AUDITORÍA PARA EVALUAR LA SEGURIDAD FÍSICA DEL DATA CENTER DEL
HOSPITAL REGIONAL DE AYACUCHO, 2019”
Objetivo:
El cuestionario que se presenta a continuación está orientado a los trabajadores del Área de
Estadística e Informática para determinar la importancia de hacer una Auditoria de Seguridad
Física al Data Center del Hospital Regional de Ayacucho, el impacto de esta investigación
tendrá dentro de Área, la identificación de amenazas-vulnerabilidades y la probabilidad que
estos se materialicen.
1. ¿Existen políticas y procedimientos formales de Seguridad Física del Data Center del
Hospital Regional de Ayacucho?
No, no existe una política sobre seguridad física que contempla el control de accesos al Data
Center, así como el comportamiento dentro de él, pero se tiene una política interna en el área
de interna que se documentó en el año 2010. Para el ingreso y mantenimiento del Data Center
es trato directo con el jefe del área.
Hay dos trabajadores que están permanente en el área. Que ya conocen las políticas del área en
caso que se incorpore un trabajador, practicante o visita de personas externos, se les da a
conocer estas políticas y procedimientos, pero no se cuenta con un documento en digital para
difundirlo a todo el personal, ni tampoco se cuenta con una actualización de dichas políticas
desde el año 2010.
64
Desde el momento en que documentó, este permanece en el área de informática y otro de
respaldo es un área que no se pueden indicar su ubicación por cuestiones de seguridad.
La documentación está almacenada en el área de informática a cargo el jefe del área. Por
cuestiones de confidencialidad no se pueden indicar exactamente ni dar copias de estos
documentos
No, ya que todo lo referente a la seguridad en TI son actividades que debe cubrir mi puesto. Yo
realizo los procedimientos de seguridad y las coordinaciones con terceros para el
mantenimiento preventivo y correctivo.
Ninguna persona puede tener acceso al área del Data Center sin previa autorización del jefe del
área. En la actualidad dos personas tienen la llave de acceso jefe y un personal de confianza
del. Para el acceso de terceras personas se solicita la identificación y la finalidad por la que se
desea ingresar. Y fuera del horario de la oficina hay personal de seguridad merodea el área.
7. ¿Se realiza el monitoreo y revisión de las bitácoras, de ser así cada que tiempo se
realiza?
Nosotros solo almacenamos las bitácoras en carpetas, de ser necesario revisarlas solo se busca
la carpeta requerida como: contrato para el mantenimiento, autorización para el ingreso de los
materiales entre otros.
8. ¿Se evalúa el reporte de accesos al Data Center, de ser así este monitoreo con qué
frecuencia se realiza?
65
No, no contamos con ningún sistema de sensores de controles ambientales. para los servidores
contamos con dos equipos de aire acondicionado dos UPS y los reguladores de energía con
pozo a tierra trifásica
10. ¿Se cuenta con políticas y procedimientos para elegir a los proveedores?
Sí, pero estos solo los maneja el área de abastecimiento, solo para el tema de mantenimiento y
preventivo y correctivo se cuenta con dos proveedores. En caso de que se requiera algún equipo
o servicio nosotros generamos las cotizaciones con los proveedores y realizamos una solicitud
correspondiente para enviarla a abastecimiento ellos se encargan de realizar el contrato.
Después de definir los criterios a continuación se identifican los activos físicos que se
encuentran en el Data Center del Hospital Regional de Ayacucho, dichos activos serán ubicados
en la tabla "activos físicos de un Data Center" Tabla B.1 (ver Anexo B)
66
4.2.2.6 Cálculo de las Amenazas y Vulnerabilidades
Los riesgos se calculan de la combinación de los valores de los activos, que expresan el impacto
de pérdidas por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad de
que amenazas y vulnerabilidades relacionadas se junten y causen un incidente.
Realizamos el análisis de riesgo siguiendo los pasos establecidos en marco teórico en el capítulo
2- sección 2.2.9:
67
Tabla N° 7
Activos físicos del Data Center del Hospital Regional de Ayacucho
ACTIVOS FISICOS QUE SE ENCUENTRAN EN UN DATA CENTER
GRUPO EQUIPO PARA CANTIDAD CARACTERISTICAS/DESCRIPCION
UNIDAD DE
INFORMATICA
Sala de servidores 7 Se cuenta con servidores de Sistema
Gestión Hospitalaria, sistemas de gestión
servidores
administrativa y de cortafuegos
Líneas Telefónicas 2 Características comunes
Central telefónica No se cuenta con un central telefónico
Dispositivos de 5 Disco duro de 1 TB
almacenamiento (HDD
externos)
Racks 2 Soporte metálico que aloja los servidores y
equipos de comunicación.
Ups 4 Potencia de 1000 VA y 5000 VA.
Regulador de energía 4 Es un dispositivo electrónico diseñado
para mantener un nivel de tensión
constante. Los servidores cuentan con uno
cada uno
Gabinete de pared
Aire acondicionado 2 Aire acondicionado con medidor de
temperatura, humedad de ambiente,
laptop Intel Corei5 2.30 Ghz. 8.00 GB. Windows
8.1 32 Bits
Pc Escritorio 2 Disco Duro 500 GB. Intel Corei3 3.40
Ghz. Memoria 4.00 GB. 64 bits
Equipos Switches 4 2 Switches Core y 2 de distribución. de 24
salidas y 16 salidas. Negociación a 10/1
de red
00/1 000 Mbps
Routers 4 Routers de telefónica. 2,4 GHz + 5 GHz
dual concurrente 1,93 Gbps 802.11ac
Patch panels 2 Cat. 5 y 6 Mod. 24 puertos color negro
Cables de red Cable de Fibra óptica, cable UTP de categoría
5 y otras de categoría 6.
B. Tasación de Activos: Para la tasación se realizó la pregunta ¿De qué manera una pérdida,
falla técnica de un activo Físico puede afectar la disponibilidad y servicios que brinda el
Data Center?; para esta evaluación se utiliza la tabla E.2 (del anexo E), para el valor del
activo se hace referencia a la tabla E.3 del anexo E
Dado que el objetivo principal de la Auditoria, es evaluar la seguridad Física del Data Center,
se considera únicamente el atributo “Disponibilidad” en la tasación de activos, con el propósito
de asignar un grado de valor según la importancia que representa que se encuentre disponible
68
dicho activo para los objetivos de la entidad, el cual se asignará acorde a la tabla E.4 del anexo
E:
Tabla N° 8
Tasación de activos físicos del Data Center
N° ACTIVOS FÍSICOS DEL DATA CENTER VALOR
1 Servidores 5
2 Líneas Telefónicas 2
3 Dispositivos de Almacenamiento (HDD externos) 5
4 Racks 2
5 Ups 5
6 Regulador de Energía 5
7 Aire Acondicionado 5
8 Laptop 3
9 Switches 4
10 Routers 4
11 Patch Panels 3
12 Cables De Red 3
13 pc escritorio 1
Tasación de activos físicos del Data Center del Hospital Regional de Ayacucho.
Estos valores asignados a la Disponibilidad de cada uno de los activos físicos del Data Center
se deducen del análisis de la importancia de dicho activo para la realización de las funciones o
procesos indispensables para las actividades que realiza el Hospital Regional de Ayacucho.
Tabla N° 9
Amenazas al entorno del Data Center - HRA
N° AMENAZAS
01 Temperatura inadecuada
02 Presencia de Humedad
03 Falta de refrigeración y fallas de circulación de aire
04 Acceso de personal no autorizado
05 Incendios
69
06 Tormentas/rayos
07 Perdida de energía
08 Filtraciones de agua (lluvias, tuberías averiadas), inundaciones entre otros
09 Sismos
10 Huelga y vandalismo
11 Polvo y suciedad
12 Error humano y/o Pérdida del personal
13 Contaminación de gases y/o partículas
14 Documentación insuficiente del cableado
Amenazas para el Data Center del Hospital Regional de Ayacucho.
Tabla N° 10
Principales vulnerabilidades del Data Center-HRA
N° VULNERABILIDADES
01 Infraestructura ubicada en la parte posterior del establecimiento de salud HRA
02 Espacio y distribución de equipos no diseñados correctamente
03 Paralización de aire acondicionado por perdida de energía
04 Existe material peligroso (cartones apilados) dentro del Data Center
05 Falta de mantenimiento periódico de los UPS
06 Falta de Extintores del incendio en los pasadizos.
07 Falta de cámaras de seguridad
08 Paredes sin protección contra la humedad
09 Paredes revestidas sin elementos ignífugos
10 Aire acondicionado con antecedentes de fallas
11 Puerta del Data center sensible a actos violentos
12 Paredes sin condiciones de estabilidad térmica
13 Paredes, pisos y techos no sellados ni pintados con un material de reducción y aparición
de polvo
14 No existe un dispositivo de detección de polvo
15 Elementos almacenados en la entrada (cajas de cartón, armarios de madera), sensibles
a desprender fibras o polvo al ser manipulados
16 Administrador del Data Center con exceso de trabajo
17 Personal con insuficiente formación en administración técnica del Data center, sensible
a cometer negligencia o equivocaciones.
18 No existe detectores de elementos químicos como gases
19 No existe sistema de circuito cerrado de televisión.
70
20 No existe equipo detector de humo.
21 No existe equipo sensor de humedad.
22 Falta de mantenimiento y limpieza frecuente en el local y equipos del Data Center
23 No existe bocas de incendio equipadas próximas a la entrada del Data Center
24 Piso, paredes, equipos y techos con acumulación de polvo
25 Existencia de grabaciones de CD y DVD
26 Condiciones e instalación del cableado eléctrico y de red.
27 Control personal de limpieza en locales con servidores.
28 Switches, Pantalla de configuración y Routers inestables
29 Etiquetado inadecuado de medios de energía y de datos
30 Descarga eléctrica en los equipos, Desprendimiento de instalaciones en azoteas, techos
débiles que caen y cortan cables.
31 No existe control biométrico para el acceso la data center
Principales vulnerabilidades encontradas en el Data Center del Hospital Regional de Ayacucho
71
D. Cálculo de las Amenazas y Vulnerabilidad
Tabla N° 11
Cálculo de las Amenazas y Vulnerabilidades del Data Center-HRA
Probabilidad
N° AMENAZAS VULNERABILIDADES de Total
Ocurrencia
Aire acondicionado con antecedentes de fallas 3
Temperatura Paralización de aire acondicionado por perdida de energía 4
01 inadecuada 10
Equipos de aire acondicionado de confort sensible a fallas. 2
Paredes sin condiciones de estabilidad térmica 1
Presencia de No existe equipo sensor de humedad. 2
02 humedad 4
Paredes sin protección contra la humedad 2
Falta de Espacio y distribución de equipos no diseñados correctamente 2
refrigeración y Aire acondicionado con antecedentes de fallas 3
03 fallas de 11
circulación de Piso, paredes, equipos y techos con acumulación de polvo 2
aire Falta de mantenimiento y limpieza frecuente en el local y equipos del Data center 4
No existe sistema de circuito cerrado de televisión 2
Acceso del Falta de cámaras de seguridad 3
04 personal no Existencia de grabaciones de CD y DVD 2 12
autorizado No existe control biométrico para el acceso la data center 3
Control personal de limpieza en locales con servidores 2
Existe material peligroso (cartones apilados) dentro del Data Center 3
Paredes revestidas sin elementos ignífugos 2
Falta de Extintores del incendio en los pasadizos. 3
05 Incendios 15
Elementos almacenados en la entrada (cajas de cartón, armarios de madera), sensibles a desprender
2
fibras o polvo al ser manipulados
No existe equipo detector de humo 2
72
No existen bocas de incendio equipados próximas a la entrada del Data center 3
Tormentas/rayo Descarga electrica en los equipos, Desprendimiento de instalaciones en azoteas, techos débiles que
06 s 2 2
caen y cortan cables.
Pérdida de Condiciones e instalación del cableado eléctrico 3
07 energía 7
Falta de mantenimiento periódico de los UPS 4
Filtraciones de Infraestructura ubicada en parte posterior del establecimiento 2
agua (lluvias,
tuberías
08 averiadas), 5
3
inundación
entre otros No existe equipo sensor de humedad.
Aire acondicionado con antecedentes de fallas 2
09 Sismos Falta de mantenimiento y limpieza frecuente en el local y equipos del Data Center 3 8
Paredes, pisos y techos no sellados ni pintados con un material de reducción y aparición de polvo 2
73
Contaminantes Elementos almacenados en la entrada (cajas de cartón, armarios de madera), sensibles a desprender
4
de gases y/o fibras o polvo al ser manipulados
partículas No existe detectores de elementos químicos como gases 1
Documentación
14 insuficiente del Etiquetado inadecuado de medios de energía y de datos 2 2
cableado
Cálculo de la probabilidad de que una amenaza ejecute una vulnerabilidad del Data Center del Hospital Regional de Ayacucho.
74
Gráfico 1: cálculo de posibilidad de ocurrencia Amenazas y Vulnerabilidades del Data Center-HRA
18 17
16 15
14
12
12
Total de posibilidad
11
10
10
8
8 7 7 7
6 5 5
4
4
2 2
2
Amenzas y vulnerabilidades
75
E. Análisis De Riesgo y su Evaluación.
Tabla N° 12
Matriz de riesgos del Data Center
AMENAZAS
Filtracio
nes de
Falta de agua Error
Acceso
refrigera (lluvias, huma Documenta
MATRIZ DE Tempera Presen del Pérdi Huelgas Polvo Contamin
ción y tuberías no y/o ción
RIESGOS tura cia de persona Incend Tormentas/ da de Sism y y antes de
falta de averiad pérdi insuficiente
inadecua humed l no ios rayos energ os vandalis sucied gases y/o
circulaci as), da del del
da ad autoriz ía mo ad partículas
ón de inundac perso cableado
ado
aire ión nal
entre
otros
Probabilidad de
10 4 11 12 15 2 7 5 8 5 17 7 7 2
amenaza
Impa
Activo VALORACION DE LOS RIESGOS
cto
Servidores 5 50 20 55 60 75 10 35 25 40 25 85 35 35 10
Líneas
Telefónicas
2 20 8 22 24 30 4 14 10 16 10 34 14 14 4
Dispositivos
de
Almacenam 5 50 20 55 60 75 10 35 25 40 25 85 35 35 10
iento (HDD
externos)
Racks 2 20 8 22 24 30 4 14 10 16 10 34 14 14 4
Ups 5 50 20 55 60 75 10 35 25 40 25 85 35 35 10
76
Regulador
5 50 20 55 60 75 10 35 25 40 25 85 35 35 10
de Energía
Aire
Acondicion 5 50 20 55 60 75 10 35 25 40 25 85 35 35 10
ado
Laptop 3 30 12 33 36 45 6 21 15 24 15 51 21 21 6
Switches 4 40 16 44 48 60 8 28 20 32 20 68 28 28 8
Routers 4 40 16 44 48 60 8 28 20 32 20 68 28 28 8
Patch
3 30 12 33 36 45 6 21 15 24 15 51 21 21 6
Panels
Cables De
3 30 12 33 36 45 6 21 15 24 15 51 21 21 6
Red
pc escritorio 1 10 4 11 12 15 2 7 5 8 5 17 7 7 2
Matriz de riesgos del Data Center del Hospital Regional de Ayacucho.
Se estableció en función de los resultados que se obtuvo en la tabla 12 “Matriz de riesgos del Data Center”, las amenazas pueden ser priorizadas
en orden descendente con base en su factor de exposición al riesgo.
77
Tabla N° 13
Priorización de Riesgos
Error Filtraciones
Acceso Falta de
huma de agua Documenta
Polvo del refrigerac Temperat Pérdi Contamina Huelgas
no y/o (lluvias, Presencia ción
y Incend persona ión y falta ura Sism da de ntes de y Torment
Amenazas sucied ios l no de inadecuad os energ
pérdid
gases y/o
tuberías
vandali
de
as/rayos
insuficiente
a del averiadas), humedad del
ad autoriza circulació a ía partículas smo
perso inundación cableado
do n de aire
nal entre otros
Priorización
Activos
1 2 3 4 5 6 7 7 7 8 8 9 10 10
Servidores 85 75 60 55 50 40 35 35 35 25 25 20 10 10
Dispositivos
de
85 75 60 55 50 40 35 35 35 25 25 20 10 10
Almacenami
ento
Ups 85 75 60 55 50 40 35 35 35 25 25 20 10 10
Regulador de
85 75 60 55 50 40 35 35 35 25 25 20 10 10
Energía
Aire
Acondiciona 85 75 60 55 50 40 35 35 35 25 25 20 10 10
do
Switches 68 60 48 44 40 32 28 28 28 20 20 16 8 8
Routers 68 60 48 44 40 32 28 28 28 20 20 16 8 8
Laptop 51 45 36 33 30 24 21 21 21 15 15 12 6 6
Patch Panels 51 45 36 33 30 24 21 21 21 15 15 12 6 6
Cables De
51 45 36 33 30 24 21 21 21 15 15 12 6 6
Red
Líneas
34 30 24 22 20 16 14 14 14 10 10 8 4 4
Telefónicas
Racks 34 30 24 22 20 16 14 14 14 10 10 8 4 4
pc escritorio 17 15 12 11 10 8 7 7 7 5 5 4 2 2
Priorización de los riesgos del Data Center del Hospital Regional de Ayacucho. Fuente: Autor
78
4.2.3 3ra ETAPA: DICTAMEN DE LA AUDITORÍA
Las evidencias a buscar para la obtención de los hallazgos deben ser, cumplir los objetivos, las
cuales corresponden ser evaluadas siguiendo los criterios de auditoría definidos anteriormente.
Hallazgos de Auditoría
En efecto los hallazgos encontrados durante la auditoría podrán ser clasificados, en los
siguientes grupos:
79
2. No conformidad: Cuando el criterio evaluado no ha sido cumplido en su totalidad.
Después de clasificar los hallazgos en los tres grupos, también es necesario identificar la
evidencia para los grupos “No conformidad” e “Insuficiente” de acuerdo a la criticidad, para
demostrar la importancia del levantamiento de los hallazgos correspondientes.
El documento de hallazgos será la guía que permita al cliente identificar las desviaciones de los
objetivos de control que inicialmente se estableció, por otro lado, planificar las actividades de
carácter correctivo que se consideren convenientes para subsanarlas.
Tabla N° 14
Dominio y Criterios NTP-ISO/IEC 17799
DOMINIO 9. SEGURIDAD FÍSICA Y DEL ENTORNO (AMBIENTAL)
9.1 Áreas Seguras
Evitar accesos no autorizados, daños e interferencias contra los locales y la
información de la organización.
CRITERIOS
9.2 Seguridad de los equipos
Evitar pérdidas, daños o comprometer los activos, así como la interrupción de las
actividades de la organización.
Dominio y Criterios de NTP-ISO/IEC 17799 para levantamiento de evidencias del Data Center del Hospital
Regional de Ayacucho. Fuente: (ISO/IEC - INDECOPI, 2014)
80
Tabla N° 14. 1
Evidencias y Hallazgos del control-perímetro de Seguridad Física
9.1.1 Perímetro de seguridad Física
CONTROL Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deben ser usados para
proteger el área
a) El perímetro de un edificio o un lugar que contenga recursos de tratamiento de información debería tener solidez física. Los muros externos del lugar
deberían ser sólidos y todas las puertas exteriores deberían estar convenientemente protegidas contra accesos no autorizados;
Evidencias Cumplimiento Hallazgo Recomendación
La infraestructura es de material solido
Si cumple
(Concreto)
b) Se debería instalar un área de recepción manual u otros medios de control del acceso físico al edificio o lugar. Dicho acceso se debería restringir sólo al
personal autorizado;
Evidencias Cumplimiento Hallazgo Recomendación
Tener un área de recepción manual manejado
No existe ninguna área de recepción manual Data Center sin ninguna área de por el área de informática, para registrar ya sea
No cumple
para el Data Center. recepción manual para el acceso la fecha, hora del ingreso, entre otros datos de las
personas ajenos que ingresan al Data Center
c) Las barreras físicas se deberían extender, si es necesario, desde el suelo real al techo real para evitar entradas no autorizadas o contaminación del entorno;
Evidencias Cumplimiento Hallazgo Recomendación
Se recomienda si en un futuro se decide realizar
No existen barreras físicas, porque el
Data center sin barreras físicas en el traslado de todo el Data Center a una
ambiente del Data Center fue adecuado en No cumple
su Edificación. infraestructura nueva, se debe tener en cuenta la
una infraestructura ya existente.
construcción de barreras.
d) Todas las puertas para incendios del perímetro de seguridad deberían tener alarma, ser monitoreadas y probadas;
Evidencias Cumplimiento Hallazgo Recomendación
81
Data center sin alarma de En caso de hacer una nueva infraestructura tener
No existe puertas con alarmas de incendio No cumple
incendios en cuenta la instalación de estos equipos
e) Se debe instalar sistemas adecuados de detección de intrusos. de acuerdo a estándares regionales, nacionales o internacionales
Evidencias Cumplimiento Hallazgo Recomendación
No existe ningún dispositivo de detección de Data center sin sistema de Se debe instalar el sistema de detección de
No cumple
intrusos. Solo es el personal de seguridad detección de intrusos intrusos
TOTAL =CP*PT 20% Cumplimiento: Optimo (CP= (100*100%) /5), No cumple (0%) y parcial (10%)
Control-Perímetro de seguridad Física, para Levantamiento de evidencias y hallazgo del Data Center del HRA
Tabla N° 14. 2
Evidencias y Hallazgos del control- Controles físicos de entradas
9.1.2 Controles físicos de entradas
CONTROL Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso sólo al
personal autorizado.
a) Las visitas a las áreas seguras se deberían supervisar, a menos que el acceso haya sido aprobado previamente, y se debe registrar la fecha y momento de
entrada y salida. Los visitantes sólo tendrán acceso para propósitos específicos;
Evidencias Cumplimiento Hallazgo Recomendación
Las visitas a las áreas se realizan en
Debe existir un mecanismo de control. Contar
compañía del personal encargado del área; Se entra al área con un acuerdo
Parcial (16.67%) con registro de visitas, previa solicitud al área
pero no existe un registro de fecha/hora de verbal
especifico
ingreso y salida de las visitas.
b) Se debería controlar y restringir sólo al personal autorizado el acceso a la información sensible y a los recursos de su tratamiento; usar controles de
autenticación, mantener un rastro auditable de todos los accesos;
Evidencias Cumplimiento Hallazgo Recomendación
82
El ingreso que se hizo al Data Center
No cuenta con control de ingreso
mediante un candado. Cuya llave está a Parcial (16.67%) Se recomienda control de acceso biométrico
auditable
cargo del administrador
c) Se debería exigir a todo el personal que lleve puesta alguna forma de identificación visible y se le pedirá que solicite a los extraños no acompañados y a
cualquiera que no lleve dicha identificación visible, que se identifique;
Evidencias Cumplimiento Hallazgo Recomendación
No hay exigencia de identificación visible. Personal no identificado Se recomienda al personal, identificación visible
Pero si se identifican verbalmente al jefe del Parcial (16.67%) visiblemente no genera confusión como: fotocheck de la misma manera a las
área con el personal de la institución personas ajenas de la institución
TOTAL =CP*PT 50% Cumplimiento: Optimo (CP= (100*100%) /3), No existe (0%) y parcial (16.67%)
Control- Controles físicos de entradas, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
83
Tabla N° 14. 3
Evidencias y Hallazgos del control- Protección contra amenazas externas y ambientales
9.1.4 Protección contra amenazas externas y ambientales
CONTROL Se debe designar y aplicar protección física del fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastre
natural o humana, del Data Center del Hospital Regional de Ayacucho.
a) Los materiales peligrosos y combustibles se deberían almacenar en algún lugar distante de las áreas seguras;
Evidencias Cumplimiento Hallazgo Recomendación
Se observó del material inflamable (papeles, Los materiales fácilmente Se recomienda en un corto plazo buscar otro
maderas, cajas de cartón) a la entrada del Parcial (16.67%) inflamables no están distantes del espacio para los materiales inflamables que se
Data Center. Data Center. encuentran a la entrada del Data Center.
b) El equipo y los medios de respaldo deberían estar a una distancia de seguridad conveniente para evitar que se dañen por un desastre en el área principal;
Evidencias Cumplimiento Hallazgo Recomendación
No existe otro ambiente para los medios de El encargado indica la importancia
Tener un medio de respaldo fuera del área
respaldo (está en estudio). El respaldo se Parcial (16.67%) de albergar los medios de respaldo
principal
guarda en la misma área. en nuevo local.
c) Equipo apropiado contra incendio debe ser provisto y ubicado adecuadamente
Evidencias Cumplimiento Hallazgo Recomendación
Contar con equipos contra incendios como:
No existe un equipo adecuado contra
Parcial (16.67%) Hay un extintor en el Data Center detector de humo, extintores ubicados
incendios.
adecuadamente
TOTAL =CP*PT 50% Cumplimiento: Optimo (CP= (100*100%) /3), No existe (0%) y parcial (16.67%)
Control- Protección contra amenazas externas y ambientales, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
84
Tabla N° 14. 4
Evidencias y Hallazgos del control- El trabajo en el Data Center
9.1.5 El trabajo en el Data Center
CONTROL
Se debería diseñar y aplicar protección física y pautas para trabajar en el área de Data Center
a) Debería evitar el trabajo no supervisado en áreas seguras tanto por motivos de salud como para evitar oportunidades de actividades maliciosas;
Evidencias Cumplimiento Hallazgo Recomendación
Todos los trabajos son supervisados por el
Si cumple
personal del área
b) No se debería permitir la presencia de equipos de fotografía, vídeo, audio u otras formas de registro salvo autorización especial.
Evidencias Cumplimiento Hallazgo Recomendación
No se permiten fotografiar, filmar. Pero en
ocasiones especiales permite con la Si cumple
autorización del administrador
TOTAL =CP*PT 100% Cumplimiento: Optimo (CP= (100*100%) /2), No existe (0%) y parcial (25%)
Control- El trabajo en el Data Center, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
Tabla N° 14. 5
Evidencias y Hallazgos del control- Acceso público, áreas de carga y descarga
9.1.6 Acceso público, áreas de carga y descarga
CONTROL Se deberían controlar las áreas de carga y descarga, y si es posible, aislarse de los recursos de tratamiento de información
para evitar accesos no autorizados.
a) deberían restringir los accesos al área de carga y descarga desde el exterior únicamente al personal autorizado e identificado;
Evidencias Cumplimiento Hallazgo Recomendación
La compra de equipos está a cargo de unidad
de abastecimiento del Hospital Regional de Si cumple
Ayacucho
a) El área de carga y descarga se debería diseñar para que los suministros puedan descargarse sin tener acceso a otras zonas del edificio;
Evidencias Cumplimiento Hallazgo Recomendación
85
El área esta al lado de otras áreas del El área de abastecimiento está
Diseñar un área específica para la recepción de
establecimiento de salud Parcial lejos del Data Center, pero si cerca
suministros
a otras áreas
TOTAL =CP*PT 75% Cumplimiento: Optimo (CP= (100*100%) /2), No existe (0%) y parcial (25%)
Control- Acceso público, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
Tabla N° 14. 6
Evidencias y Hallazgos del control- Instalación y protección de equipos
9.2.1 Instalación y protección de equipos
CONTROL El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las oportunidades de accesos no
autorizados.
a) Los controles deben ser adoptados para minimizar los riesgos de posibles amenazas como robo, incendio, explosivos, humo, agua (o fallo de suministro),
polvo, vibraciones, efectos químicos, interferencias en el suministro eléctrico, radiaciones electromagnéticas y vandalismo;
Evidencias Cumplimiento Hallazgo Recomendación
No registra documentos de controles de los Desarrollar mecanismos de controles físicos
No cumple
equipos para los equipos
b) La organización debería incluir en su política cuestiones sobre fumar, beber y comer cerca de los equipos de tratamiento de información;
Evidencias Cumplimiento Hallazgo Recomendación
Incluir en las políticas de seguridad de la
No existe políticas de comportamiento Institución, los modos de comportamientos
No cumple
establecidas para el Data Center. sobre fumar, beber y comer entre otros, dentro o
próximos del Data Center
c) Se deberían vigilar las condiciones ambientales, como temperatura y humedad, que puedan afectar negativamente al funcionamiento de los equipos de
tratamiento de información;
Evidencias Cumplimiento Hallazgo Recomendación
Existe un dispositivo para controlar la El encargado verifica la
Poner un horario en el día para la revisión de la
temperatura del medio ambiente mas no la Parcial temperatura del Data Center cada
temperatura en los ambientes del Data Center.
humedad cierto tiempo
TOTAL =CP*PT 16.67% Cumplimiento: Optimo (CP= (100*100%) /3), No existe (0%) y parcial (16.67%)
Control- Instalación y protección de equipos, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
86
Tabla N° 14. 7
Evidencias y Hallazgos del control- Suministro eléctrico
9.2.2 Suministro eléctrico
CONTROL Se deberían proteger los equipos contra fallos de energía u otras anomalías eléctricas en los equipos de apoyo.
a) Todas las instalaciones de apoyo, como la electricidad, el suministro de agua, desagüe, calefacción/ventilación y aire acondicionado debe ser adecuado;
Evidencias Cumplimiento Hallazgo Recomendación
Hay un tablero de distribución de energía Las fallas del aire acondicionado
Eléctrica en la puerta. El administrador establecer en un corto plazo los periodos de
podrían ocasionar mayores
mencionó que no existe suministro de agua mantenimiento del aire acondicionado, aunque
conflictos a futuro. La ubicación
ni desagüe en el Data center; el aire Parcial (10%) presente o no falla y en un en largo plazo se
del Aire acondicionado no ayuda a
acondicionado está ubicado en parte central recomienda renovar el equipo de aire
superior del área. El aire acondicionado que haya una correcta circulación
acondicionado.
tiene algunas fallas a la fecha del aire.
b) Se recomienda instalar un Sistema de Alimentación Ininterrumpida (U.P.S.) para apoyar un cierre ordenado o el funcionamiento continuo de los equipos
que soporten operaciones críticas del área;
Evidencias Cumplimiento Hallazgo Recomendación
Si existe un UPS para contrarrestar los cortes
de energía inesperado. También existe un Si cumple (20%)
generador de energía.
c) Además, se deberían instalar interruptores de emergencia cerca de las puertas de emergencia de las salas de equipos para facilitar una desconexión rápida
en caso de emergencia;
Evidencias Cumplimiento Hallazgo Recomendación
No existen interruptores de emergencia. No hay instalaciones de Instalar interruptores de emergencia que estén
Parcial (10%)
Pero si las luces de emergencia. interruptores de emergencia. ubicados en zonas de rápido y fácil acceso.
d) El suministro de agua debe ser estable y adecuado para suministrar aire acondicionado, equipos de humidificación y sistemas contra incendios (donde
sean utilizados);
Evidencias Cumplimiento Hallazgo Recomendación
hacer un análisis de las instalaciones de
suministro de agua en el Data Center, para que
No existe el suministro de agua. No cumple (0%) en un futuro se adquieren equipos que requieran
de agua y contemplar en dicho análisis que sus
instalaciones sean estables.
87
e) Los equipos de telecomunicación deben ser conectados al proveedor al menos por dos rutas para prevenir la falla en una conexión eliminando el servicio
de voz
Evidencias Cumplimiento Hallazgo Recomendación
Hay proveedor de línea de
Solo existe una línea proveedor de datos Parcial (10) Contar con dos líneas de proveedor de datos
telefónica
TOTAL =CP*PT 50% Cumplimiento: Optimo (CP= (100*100%) /5), No existe (0%) y parcial (10%)
Control- Suministro eléctrico, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
Tabla N° 14. 8
Evidencias y Hallazgos del control- Seguridad del cableado
9.2.3 Seguridad del cableado
CONTROL Se debería proteger contra interceptaciones o daños el cableado de energía y telecomunicaciones que transporten datos o soporten
servicios de información.
a) Las líneas de energía y telecomunicaciones en el Data Center, se deberían enterrar, cuando sea posible, o adoptarse medidas alternativas de protección;
Evidencias Cumplimiento Hallazgo Recomendación
Algunos cables de energía y
No todas las líneas de energía y de
telecomunicaciones se encuentran al aire Organizar el cableado estructurado haciendo uso
Parcial (10%) telecomunicaciones están con
libre, pero otros están con protección de del piso falso y/o canaletas.
protección adecuada
corrugado.
b) Se deberían separar los cables de energía de los de comunicaciones para evitar interferencias;
Evidencias Cumplimiento Hallazgo Recomendación
Las instalaciones de los cables de energía y
Si cumple (20%)
de datos están separada
c) Cables claramente identificados y marcas de equipo deben ser utilizadas con el fin de minimizar errores de manejo como el de parchar cables de una red
incorrecta;
Evidencias Cumplimiento Hallazgo Recomendación
Los cables no se encuentran etiquetadas. el Se recomienda etiquetar los cables para
La falta de identificación de los
administrador indica que lo reconocen por el Parcial (10%) minimizar errores en caso que ocurriese una falla
cables. (sin etiqueta)
color inesperada
d) Una lista documentada de parches debe utilizarse con el fin de reducir la posibilidad de errores;
Evidencias Cumplimiento Hallazgo Recomendación
88
No existe un documento de los
Tener un registro documentado de los parches
mantenimientos que se hizo en cuanto a los No cumple (0%)
realizados en el cableado de datos o de energía
parches d ellos cables
e) Se deberían considerar medidas adicionales como: uso de rutas o de medios de transmisión alternativos; uso de cableado de fibra óptica; uso de un escudo
electromagnético para proteger los cables, entre otros.
Evidencias Cumplimiento Hallazgo Recomendación
El cableado desordenado no
El cableado estructurado no se encuentra permitirá apreciar claramente que Tener una administración adecuada del cableado
muy ordenada, el material del cable si es Parcial (10%) cables transitan de forma paralela, manteniendo el tipo de organización de cableado
resistente (cable de datos de categoría 6). y éstas pueden producir horizontal y vertical.
interferencia de datos.
TOTAL =CP*PT 50% Cumplimiento: Optimo (CP= (100*100%) /5), No existe (0%) y parcial (10%)
Control- Seguridad del cableado, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
Tabla N° 14. 9
Evidencias y Hallazgos del control- Mantenimiento de equipos
9.2.4 Mantenimiento de equipos
CONTROL
Los equipos deberían mantenerse adecuadamente para asegurar su continua disponibilidad e integridad.
a) Los equipos se deberían mantener de acuerdo a las recomendaciones de intervalos y especificaciones de servicio del suministrador;
89
c) Se deberían registrar documentalmente todos las fallos, reales o sospechados, así como todo el mantenimiento preventivo y correctivo;
Evidencias Cumplimiento Hallazgo Recomendación
Se realiza documentación del No registran documentos de
Se debería elaborar un plan de mantenimiento
mantenimiento realizado por los terceros no acciones correctivos y
Parcial (12.5%) preventivo y correctivo y también se debe
se documenta el mantenimiento correctivo y preventivos; tampoco se registran
registrar un todas las fallas reales y sospechosos.
preventivo los fallos reales y sospechosos
d) Se debería implementar controles apropiados cuando el equipo es programado para mantenimiento, tomando en cuenta si este mantenimiento es realizado
por personal interno o externo del área; donde sea necesario, debe despejarse la información sensible del equipo;
Evidencias Cumplimiento Hallazgo Recomendación
Elaborar controles de mantenimiento para los
equipos como:
El mantenimiento de equipos del Data El mantenimiento lo realiza el • Intervalos de visitas técnicas:
Center se realiza tres veces al año indica el Parcial (12.5%) personal del área y también • Personal de mantenimiento.
administrador. terceros mediante una contrata. • Verificación del estado y funcionamiento de
los equipos.
• Periodos de Limpieza de los equipos.
TOTAL =CP*PT 62.5% Cumplimiento: Optimo (CP= (100*100%) /4), No existe (0%) y parcial (12.5%)
Control- Mantenimiento de equipos, para Levantamiento de evidencias y hallazgo del Data Center del HRA
Tabla N° 14. 10
Evidencias y Hallazgos del control- Seguridad en el rehúso o eliminación de equipos
9.2.6 Seguridad en el rehúso o eliminación de equipos
CONTROL Todos los elementos del equipo que contengan dispositivos de almacenamiento deben ser revisados con el fin de asegurar que
cualquier dato sensible y software con licencia haya sido removido o sobrescrito con seguridad antes de la eliminación.
a) Los dispositivos de almacenamiento con información sensible se deberían destruir físicamente o la información debe ser destruida, borrada o sobrescrita
usando técnicas para hacer que la información original sea no recuperable y no simplemente usando la función normalizada de borrado (delete) o la
función formato;
Evidencias Cumplimiento Hallazgo Recomendación
Los dispositivos de almacenamiento Incluir en las políticas de seguridad del Data del
Los equipos como CD. Disco duro
dañados se almacenan en el área para Center procedimientos que contemplen técnicas
Parcial (25%) entre otros dispositivos, están a
después ser entregados al área de seguras de resguardo o de destrucción física de
cargo del área de informática,
patrimonio. No existe procedimientos que los dispositivos de almacenamiento.
90
contemplen las acciones técnicas de algunos ya entregado al área de
destrucción física de los dispositivos de patrimonios
almacenamiento (hasta la
fecha no se ha realizado ninguna depuración
de ningunos dispositivos de
almacenamiento.
b) Los dispositivos dañados que contienen data sensible pueden requerir una evaluación de riesgos para determinar si es que los ítems deben ser destruidos
físicamente en lugar de ser reparados o descartados.
Evidencias Cumplimiento Hallazgo Recomendación
No existe ningún documento de evaluación cuando se dé el caso, realizar una evaluación de
de riesgos de dispositivos dañados. No cumple (0%) riesgos de aquellos dispositivos dañados que
tengan da sensible; antes de ser descartados
TOTAL =CP*PT 25% Cumplimiento: Optimo (CP= (100*100%) /2), No existe (0%) y parcial (25%)
Control- Seguridad en el rehúso o eliminación de equipos, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
Tabla N° 14. 11
Evidencias y Hallazgos del control- Retiro de la propiedad
9.2.7 Retiro de la propiedad
CONTROL
El equipo, información o software no debe ser sacado fuera del local sin autorización
a) El equipo, información o software no debe ser sacado fuera del local sin autorización;
Evidencias Cumplimiento Hallazgo Recomendación
La extracción y retiro de cualquier equipo
del Data Center es realizada previa
Si cumple (25%)
autorización del jede de área de informática
b) Los empleados, contratistas y usuarios de terceros que tengan autoridad para permitir el retiro de la propiedad de los activos deben ser claramente
identificados;
Evidencias Cumplimiento Hallazgo Recomendación
El encargado del área y el personal de
Si cumple (25%)
seguridad tienen conocimiento del personal
91
que laboran en caso de personas ajenas
entran previa autorización del administrador
c) Los tiempos límite para el retiro de equipos deben ser fijados y el retorno del equipo verificado para asegurar la conformidad;
Evidencias Cumplimiento Hallazgo Recomendación
Los tiempos límites para el retorno de los
equipos son fijados, y el responsable es Si cumple (25%)
directamente el administrador.
d) El equipo debe ser registrado, si es necesario y apropiado, cuando este sea removido fuera del local, así como cuando sea devuelto.
Evidencias Cumplimiento Hallazgo Recomendación
El registro d ellos equipos es realizado por el
encargado del área y otros por el área de Si cumple (25%)
patrimonio del establecimiento
TOTAL =CP*PT 100% Cumplimiento: Optimo (CP= (100*100%) /4), No existe (0%) y parcial (12.5%)
Control- Retiro de la propiedad, para Levantamiento de evidencias y hallazgo del Data Center del HRA.
92
Tabla N° 15
Listado de Dominio y Criterios NTP-ISO/IEC 17799
DOMINIO 9. SEGURIDAD FÍSICA Y DEL
Cumplimiento (%)
ENTORNO (AMBIENTAL)
9.1.1 Perímetro de seguridad Física
9.1.2 Controles físicos de entradas
9.1.4 Protección contra amenazas
externas y ambientales
9.1.5 El trabajo en el Data Center
9.1.6 Acceso público, áreas de carga y
descarga
Controles 9.2.1 Instalación y protección de
equipos
9.2.2 Suministro eléctrico
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos
9.2.6 Seguridad en el rehúso o
eliminación de equipos
9.2.7 Retiro de la propiedad
Lista de controles del NTP-ISO/IEC 17799 y su porcentaje de cumplimiento de los activos
del Data Center – Hospital Regional de Ayacucho -2019
93
Gráfico 2
Cumplimeinto de controles basados en NTP-ISO/IEC 17799 del Hospital Regional de Ayacucho -
2019
120%
100% 100%
100%
80% 75%
Cumplimiento
63%
60%
50% 50% 50% 50%
40%
25%
20%
20% 16.67%
0%
9.1.4
9.1.6 Acceso 9.2.6
9.1.1 9.1.2 Protección 9.2.1
9.1.5 El público, 9.2.2 9.2.3 9.2.4 Seguridad en 9.2.7 Retiro
Perímetro de Controles contra Instalación y
trabajo en el áreas de Suministro Seguridad Mantenimien el rehúso o de la
seguridad físicos de amenazas protección
Data Center carga y eléctrico del cableado to de equipos eliminación propiedad
Física entradas externas y de equipos
descarga de equipos
ambientales
% de Cumplimiento 20% 50% 50% 100% 75% 16.67% 50% 50% 63% 25% 100%
Controles NTP-ISO/IEC 17799
94
A continuación, desarrollo los criterios basados en COBIT 5
Tabla N° 16
Dominio de COBIT 5- Evaluar, Orientar y Supervisar (Gobierno)-EDM
Dominio Evaluar, Orientar y Supervisar (Gobierno)-EDM
Asegura que los objetivos del Data Center sean logrados, evaluando las necesidades
de los interesados
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia
de gobierno
Verificar la existencia de un gobierno de seguridad física y ambiental en el Data
Procesos Center de la institución
EDM05 Asegurar la transparencia hacia las partes interesadas
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y
desempeño de las TI de la empresa son transparentes
EDM05.02 Orientar la comunicación con las partes interesadas y la
elaboración de informes.
Objetivos
Verificar la existencia de contratos que detallen los niveles de seguridad que el Data
Center ofrecerá a los clientes.
Descripción Cumplimiento Recomendación
Es de suma importancia programar las
El Data Center del Hospital No cumple capacitaciones en seguridad física para el
Regional de Ayacucho no No existe personal que administra el data center. La
cuenta con políticas de políticas de formación es esencial, porque los empleados
seguridad física. Por su seguridad que que son capaces de reaccionar a los eventos no
propia cuenta se capacitaron contribuyan con planificados pueden ayudar a evitar el tiempo
en temas comunes. el gobierno de TI de caída; por ello se recomienda entrenamiento
y certificación formal.
10% Cumplimiento: Optimo (CP= (100*100%) /1),
TOTAL =CP*PT
No existe (0%) y parcial (50%)
Dominio de COBIT 5- Evaluar, Orientar y Supervisar (Gobierno)-EDM -procesos y objetivos de control para
levantamiento de evidencias y hallazgos, del Data Center del Hospital Regional de Ayacucho
Tabla N° 17
Dominio de COBIT 5- Alinear, Planificar y Organizar (Gestión)-APO
Dominio Alinear, Planificar y Organizar (Gestión)-APO
Este dominio proporciona la dirección para la entrega de soluciones y la entrega de
servicios
APO01 Gestionar el Marco de Gestión de TI
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
Proceso gobierno corporativo e incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y
competencias.
APO01.02 Establecer roles y responsabilidades.
Objetivos Verificar el establecimiento de roles y responsabilidades en seguridad física del Data
Center del HRA.
Descripción Cumplimiento Recomendación
95
El establecimiento de roles y No cumple (0%) Asignar un personal
responsabilidades en La asignación de los roles y exclusivo para la
seguridad física del Data responsabilidades no son administración del Data
Center es asignado de manera formales. Center.
verbal para el jefe del área en
caso de ausencia asume otro
personal del área.
APO01.07 Gestionar la mejora continua de los procesos.
Verificar la ejecución de capacitaciones al personal encargado sobre las
Proceso
consideraciones de seguridad física del Data Center, cómo afectan a las operaciones
del Hospital Regional de Ayacucho y las acciones a tomar en situaciones de riesgo.
Descripción Cumplimiento Recomendación
No cumple (0%) Programar capacitaciones en
El personal no recibió una
El personal al no recibir una seguridad Física para todo el
capacitación pertinente del
capacitación, no podrá personal que administra el
tema de seguridad física del
responder eficientemente al Data Center
Data Center
cargo para lo cual fue contratado
APO07 Gestionar los Recursos Humanos
Proporcionar un enfoque estructurado para garantizar una óptima estructuración,
Proceso
ubicación, capacidades de decisión y habilidades de los recursos humanos. Optimizar
las capacidades de recursos humanos para cumplir los objetivos de la empresa.
APO07.01 Mantener la dotación de personal suficiente y adecuada.
Objetivo Verificar la adecuada proporción entre recursos humanos y proveedores con respecto
a los servicios que se ofrecen.
Descripción Cumplimiento Recomendación
Cumple parcialmente Efectuar una cláusula que contemple las
(10%) responsabilidades y roles
El único responsable de
Se ocasiona correspondientes en el contrato del
administrar el Data Center, el
conflictos en las personal y/o coordinar con los
jefe del área además éste
labores de personal responsables de recursos humanos o
cuenta con otras funciones El
en caso de manejarlo a nivel interno.
administrador manifiesta que
Presentarse
la infraestructura del Data
necesidades urgentes
Center está creciendo.
dentro del Data
Center.
APO10 Gestionar los Proveedores
Proceso Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos de
equipos y servicios para el Data Center
APO10.03 Gestionar contratos y relaciones con proveedores.
Objetivo Verificar que los contratos con terceros o proveedores por lo menos deben incluir
acuerdos de seguridad, acuerdos de confidencialidad.
Descripción Cumplimiento Recomendación
Los acuerdos con proveedores Si cumple
son por medio de contrato. (20%)
Además de contar con
certificación
APO12 Gestionar el Riesgo
Proceso Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua,
dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa
96
APO12.05 Definir un portafolio de acciones para la gestión de riesgos del Data
Objetivo
Center.
Descripción Cumplimiento Recomendación
No cumple (0%) Programar y llevar a cabo una
No existe ninguna evaluación anual de riesgos y amenazas
No hay conjunto de acciones acción para gestión que examine tanto las amenazas
para gestión de riesgos de riesgos del Data internas, como las externas del Data
Center Center del Hospital Regional de
Ayacucho
Cumplimiento: Optimo (CP=
TOTAL =CP*PT 30% (100*100%) /5), No existe (0%) y
parcial (10%)
Dominio de COBIT 5- Alinear, Planificar y Organizar (Gestión)-APO-procesos y objetivos
de control para levantamiento de evidencias y hallazgos, del Data Center del Hospital
Regional de Ayacucho
Tabla N° 18
Dominio de COBIT 5- Construir, Adquirir e Implementar (Gestión)-BAI
Dominio Construir, Adquirir e Implementar (Gestión)-BAI
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del Data Center
BAI03. Gestionar la Identificación y Construcción de Soluciones.
Establecer y mantener soluciones identificadas en línea con los requerimientos de la
Proceso
empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con
proveedores/fabricantes.
BAI03.07 Preparar pruebas de la solución
Objetivos Verificar la existencia de un plan de pruebas de soluciones en seguridad física y
ambiental del Data Center.
Descripción Cumplimiento Recomendación
No cumple. (0%) Crear y/o definir un plan de pruebas.
La no existencia de prueba de Para tener la capacidad y recuperación
soluciones. Genera un riesgo ante desastres
No existe un plan de en la protección y
pruebas de soluciones mantenimiento de la
infraestructura del Data
Center.
97
BAI06.02 Gestionar cambios de emergencia.
Objetivo Verificar la existencia de mecanismos de emergencia que controlen el mantenimiento
de los equipos del Data Center
Descripción Cumplimiento Recomendación
No existe No cumple (0%) Elaboración de procedimientos de
mecanismos de No hay mecanismos que emergencia parar responder a los
emergencia que controlen el mantenimiento de diferentes incidentes que puedan
controlen el los equipos amenazar los equipos del Data Center. Y
mantenimiento de los que sean probados regularmente.
equipos
Cumplimiento: Optimo (CP=
TOTAL =CP*PT (100*100%) /5), No existe (0%) y
parcial (10%)
Dominio de COBIT 5- Construir, Adquirir e Implementar (Gestión)-BAI -procesos y objetivos de
control para levantamiento de evidencias y hallazgos, del Data Center del Hospital Regional de
Ayacucho
Tabla N° 19
Dominio de COBIT 5- Entregar, dar Servicio y Soporte (Gestión) - DSS
Dominio Entregar, dar Servicio y Soporte (Gestión) - DSS
Es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del Data
Center, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas
de modo productivo y seguro, implantar de forma correcta la confidencialidad, la
integridad y la disponibilidad.
DSS01 Gestionar Operaciones
Proceso
Entregar los resultados del servicio operativo de TI, según lo planificado
DSS01.04 Gestionar el entorno.
Objetivo
Verificar el cumplimiento de requisitos de gestión ambiental.
Descripción Cumplimiento Recomendación
No existe equipos que No cumple. (0%) Implementar cámaras de seguridad que
monitoreen los factores Al no tener control no puedan grabar eventos fuera y dentro del
ambientales y accesos asegura que loes equipos data center.
físicos del Data Center. estén protegidos
DSS02 Gestionar las peticiones y los incidentes del servicio
Proceso Lograr una mayor productividad y minimizar las interrupciones mediante la rápida
resolución de consultas de usuario e incidentes.
Objetivos DSS02.04 Investigar, diagnosticar y localizar incidentes.
Descripción Cumplimiento Recomendación
No cumple (0%) Se recomienda contar con
El no tener un control de procedimientos de gestión de incidentes
No existen procedimientos
sus y problemas
de gestión de incidentes y
incidentes que se pueden
problemas.
convertir en Problemas
serios.
Objetivos DSS02.05 Resolver y recuperarse de incidentes.
Descripción Cumplimiento Recomendación
Parcial (6.25%). Elaborar plan de recuperación ante
No existe un plan de
Sin mecanismo de desastres para asegurar, siempre en caso
recuperación ante
contrarreste los desastres de un siniestro, la reconstrucción de la
desastres. Solo se tiene los
que puedan ocurrir infraestructura del Data Center; Este
98
backup que realizan cada plan debe ser documentado y probado
cierto tiempo con periodicidad.
DSS04 Gestionar la Continuidad
Proceso Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa.
Objetivos DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance.
Descripción Cumplimiento Recomendación
No cumple (0%). Desarrollar un plan de continuidad
basado en prevenir, reducir, recuperar y
No existe plan de transferir. Este plan puede contener al
continuidad actualmente plan de contingencia, también debe ser
documentado y probado con
periodicidad
DSS04.07 Gestionar acuerdos de respaldo
Descripción Cumplimiento Recomendación
No cumple (0%). Identificar un lugar de la institución que
El área expresa su podrían ser adoptadas para el respaldo
Actualmente no se cuenta
preocupación para de los datos del Data Center
con un lugar estable de
adquirir un logar de
respaldo de datos
almacenamiento de datos
fuera de las instalaciones
DSS05 Gestionar Servicios de Seguridad
Proceso Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
seguridad en la información.
Objetivos DSS05.05 Gestionar el acceso físico a los activos de TI.
Verificar la existencia de mecanismos de autorización y restricción de acceso a los
locales del Data Center
Descripción Cumplimiento Recomendación
No cumple (0%). El área de Data Center debe tener una
señalización correspondiente para su
El data center no está
identificación. del personal del
señalizada
Establecimiento y no sea obvia para los
visitantes
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
Objetivos Verificar la existencia de garantías que aseguren y protejan la seguridad física y
ambiental del Data Center.
Descripción Cumplimiento Recomendación
Todo los Dispositivos Parcial (6.25%) El administrador debe verificar con un
adquiridos tiene una experto los niveles de protección de la
descripción de niveles de seguridad física y ambiental del Data
garantía y ambiental Center
DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con
Objetivos
la seguridad.
99
Verificar la existencia de herramientas de detección de intrusos para controlar el
acceso no autorizado al Data Center.
Descripción Cumplimiento Recomendación
No cumple (0%). Contar con los equipos de detención
Al no contar con estos contra intrusos y alarmas.
No existe ningún
dispositivos se corre el
dispositivo para la
riego de ser manipulado
detección de intrusos.
los equipos y datos del
Data Center
12.5% Cumplimiento: Optimo (CP=
TOTAL =CP*PT
(100*100%) /8), No existe (0%) y
Dominio de COBIT 5-Entregar, dar Servicio y Soporte (Gestión) - DSS -procesos y
objetivos de control para levantamiento de evidencias y hallazgos, del Data Center del
Hospital Regional de Ayacucho
Tabla N° 20
Cumplimiento de los Controles de Seguridad Física y ambiental.
COBIT 5 Dominios-procesos-objetivos % cumplimiento
Evaluar, Orientar y Supervisar (Gobierno)-EDM-EDM01;
10%
EDM05.02
Alinear, Planificar y Organizar (Gestión)-APO-APO01.02;
30%
APO01.07; APO07.01; APO10.03; APO12.05
Dominio Construir, Adquirir e Implementar (Gestión)-BAI;
0%
BAI03.07; BAI03.08; BAI06.02
Entregar, dar Servicio y Soporte (Gestión) - DSS; DSS01.04;
DSS02.04; DSS02.05; DSS04.01; DSS04.07; DSS05.05; 12.50%
DSS05.06; DSS05.07
Cumplimiento de los criterios de los Dominios de COBIT 5, Seguridad Física y Ambiental del Data
Center del Hospital Regional de Ayacucho
Gráfico 3
35%
30%
30%
% Cumplimeto
25%
20%
15% 12.50%
10%
10%
5%
0%
0%
Criterios de Cobit 5.0
100
4.2.3.3 Documentación de las Conclusiones y Recomendaciones
En esta etapa final de la auditoría, después de haber definido los objetivos de la auditoría
y haber evaluado la realidad física y medio ambiental del Data Center de acuerdo a un conjunto
de criterios fijados a partir de la aplicación de normas y estándares internacionales de seguridad
de información (NTP-ISO/IEC 17799, COBIT 5.0), se da por concluido el proceso de
evaluación también conocido como auditoría de campo. Y por consiguiente se hace la
documentación de conclusiones y recomendaciones.
Las conclusiones representan el resultado de la evaluación realizada; sin embargo, éstas deben
poseer el detalle adecuado de los controles pendientes de mejora en el Data Center.
Los hallazgos son la base del detalle de estas conclusiones. De acuerdo al grupo al que hayan
pertenecido según la clasificación mencionada anteriormente se deberá manifestar cada
conclusión de acuerdo al siguiente contexto:
Este detalle nos servirá como guía, permitiéndonos conocer los puntos que se han auditado y
el nivel de cumplimiento que el Data Center evaluado tiene con respecto a los criterios
seleccionados.
Así como se debe documentar las conclusiones, otra labor de la auditoría es manifestar las
recomendaciones adecuadas que le permitan solucionar los problemas encontrados.
101
A CONCLUSIONES DEL ANÀLISIS NTP-ISO/IEC 17799 Y COBIT 5.0
A.1. Del Análisis de riesgo realizado en la sección 4.2.2.7 se concluye:
Después de definir los niveles de riesgos respecto a las vulnerabilidades de cada activo y las amenazas que puedan afectar su disponibilidad,
integridad y la disponibilidad; se Recomiendo medidas a tomarse en cuenta, desde los niveles de riesgos más altos hasta los más bajos (Ver tabla
13)
Tabla N° 21
Medidas de control para minimizar los riesgos en el Data Center.
Priorización Amenazas Controles Generales Controles Específicos
Realizar mantenimiento de limpiezas en: piso, paredes y techos.
parte exterior del rack y todos los equipos del Data Center
1 Polvo y suciedad Reducir y evitar la presencia del polvo
Interior de los Racks y todas las superficies de los equipos,
canalizaciones, conductos, etc.
Instalar interruptores para detener una descarga accidental.
Tener equipos y verificar las medidas Verificar que existe suficiente cantidad de extintores en el Data Center
2 Incendios y el entorno
de seguridad contra incendios
Instalar sistemas de extinción de incendios y verificar regularmente el
funcionamiento
Instalar cámaras de seguridad que puedan grabar dentro y fuera del Data
Center
Acceso del personal no Aumentar las medidas de Seguridad Verificar que el personal de seguridad esté disponible en las entradas
3 del Establecimiento
autorizado en control de Acceso
desarrollar y probar procedimientos de emergencia para la seguridad del
Data Center
Instalar Sistema de seguridad Biométrico en la entrada del Data Center
4 verificar el buen funcionamiento del Aire acondicionado
102
Falta de refrigeración y falta verificar la calidad del aire y los los sistemas de climatización sean revisados periódicamente al menos
de circulación de aire sistemas de aire Acondicionado uno a mes
Adquirir equipo sensor de temperatura
5 Temperatura inadecuada Monitorear la temperatura
monitorear la temperatura del día
Proteger los equipos que están en desarrollar y probar procedimientos de emergencia para el caso de
6 Sismos
riesgo y los más sensibles sismos
Controlar las interrupciones Verificar las instalaciones de los cables de Poder
Pérdida de energía controlar la interrupción del verificar los UPS
suministro eléctrico. Verificar que este suministrado el equipo generador eléctrico
Solicitar capacitaciones del personal la seguridad Física del Data Center
7 Capacitación y apoya en el trabajo del Diseñar políticas internas de la seguridad y mantenimiento del Data
Error humano y/o perdida del Center
administrador para minimizar los
personal
errores por negligencia el encargado debe tomar decisiones en los aspectos de limpieza, y ciclo
de mantenimiento de los equipos
Contaminantes de gases y/o verificar que el área del Data center este fuera de presencia de los
cotejar la calidad de aire
partículas contaminantes suspendidos en el aire
desarrollar procedimientos de emergencia para inundaciones
103
Contar con quipo sensor de humedad
contar con los dispositivos sensor de
9 Presencia de humedad Control los dispositivos de humedad con monitoreo remoto
Humedad
verificar techos y paredes
las instalaciones de los quipos deben ser con puesta a tierra
Verificar el equipo pararrayo. Puesta a
Tormentas/rayos Revisar las características del proveedor de los equipos
tierra de los equipos
10 verificar el equipo de pararrayo este operativo
Capacitación del personal de trabajo y Contar con las capacitaciones del personal
Documentación insuficiente
verificar las instalaciones según
del cableado el buen etiquetado de los equipos y las instalaciones
normas.
Medidas de control general y específicos para minimizar los riesgos de la Seguridad Física en el Data Center del Hospital Regional de Ayacucho.
104
A.2. Posteriormente de haber ejecutado la evaluación con los controles de la NTP-
ISO/IEC 17799 se concluye:
Que el Data Center del hospital Regional de Ayacucho cumple con la categoría 9.1 (Áreas
seguras) del Dominio 9 con los siguientes controles 9.1.2 (50%), 9.1.4(50%), 9.1.5 (100%) y
9.1.6 (75%) estos resultados se pueden considerar como niveles de seguridad aceptables. Y
considerar no aceptable el control 9.1.1 (20%)
Y en la Categoría 9.2. (Seguridad de los Equipos) del Dominio 9 en los siguientes controles
9.2.2 (50%), 9.2.3 (50%), 9.2.4 (63%) y 9.2.7 (100%). Considerados como aceptables. En tanto
los controles 9.2.1 (16.67%) y 9.2.6 (25) considerados no aceptables.
De los 17 criterios establecidos por COBIT 5.0 el Data Center del Hospital Regional de
Ayacucho se tiene los siguientes resultados en Dominio: Evaluar, Orientar y Supervisar
(Gobierno)-EDM (10%), Alinear, Planificar y Organizar (Gestión)-APO(30%), Construir,
Adquirir e Implementar (Gestión)-BAI (0%) y en Entregar, dar Servicio y Soporte (Gestión) –
DSS (12.50%) estos resultados presentan un escenario de seguridad física no satisfactorio, para
lo cual requiere implementarse acciones de corrección de acuerdo a las recomendaciones
mencionadas anteriormente.
B. RECOMENDACIONES:
B.1. Recomendaciones generales NTP-ISO/IEC 17799:2007 y COBIT 5.0:
Implementar en su totalidad los controles de Seguridad Física del Data Center del Hospital
Regional de Ayacucho según NTP-ISO/IEC 17799; este código de buenas prácticas está
orientado a uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799: 2014 EDI.
TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA
GESTION DE LA SEGURIDAD DE LA INFORMACION.” en entidades del Sistema
Nacional de Informática RESOLUCIÓN MINISTERIAL N° 224-2004-PCM.
105
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
a) De acuerdo al marco teórico del capítulo II, se logró implementar los procedimientos
de auditoría en seguridad física utilizando la norma NTP-ISO/IEC 17799 y el marco
de control de COBIT 5.0, usando técnicas e instrumentos sustentados en el capítulo
III sección 3.4 se ha logrado identificar los principales activos físicos que están
involucrados en la auditoría de seguridad física, cuyos resultados se muestran en el
capítulo IV en la Tabla N° 7.
b) De acuerdo al marco teórico del capítulo II, sección 2.2.1, seguridad física, sección
2.2.3 Activo Físico, Amenaza y Riesgo, sección 2.2.4 Impacto, sección 2.2.9 Análisis
de Riesgo, sección 2.3 metodología para realizar auditoría, usando técnicas e
instrumentos de la sección 3.4, se ha logrado identificar las amenazas y riesgos más
comunes en la auditoría de seguridad Física del Data Center y determinar el impacto
en la seguridad física cuyos resultados se muestran en el capítulo IV en la Tabla N°
9, 10 y 11.
c) Con la evaluación del diagnóstico situacional de la seguridad Física del Data center
del Hospital Regional de Ayacucho se logró identificar controles tanto de
estandarización y normalización que se deben de tener en cuenta al planificar el
diseño de un Data Center, lo cual ayudará a futuras investigaciones e implementación
de un Data Center.
106
5.2 RECOMENDACIONES
b) Como parte de la seguridad física del Data center, se recomienda generar conciencia
de seguridad física en los funcionarios y trabajadores del establecimiento de Salud,
mediante capacitaciones y charlas informativas.
107
BIBLIOGRAFÍA
ABB Review. (2012). Centro de datos. La revista ABB, 9-10.
Aguilera, P. (2010). Seguridad Informática. Madrid, España: Edilex, S.A.
Aguirre, D. S., & Palacios, J. C. (2014). Evaluacion técnica de seguridades del Data Center
del Municipio de Quito según las Normas ISO/IEC 27001:2005 SGSIE ISI/IEC
27002:2005. Sangolqui.
Areitio, J. (2008). Seguridad de la Información. Redes, informática y sistemas de
información. Madrid, España: Paraninfo.
Ary, W. (1996). Metodología de la Investigacion. madrid, España: Roalg.
Asociación Española de Normalización. (marzo de 2010). Glosario de Seguridad. Obtenido
de http://www.cnis.es/glosario-seguridad/
Baldeón, M., & Coronel, C. (2012). Plan maestro de seguridad informática con lineamiento
de la norma ISO 27002. Tesis de grado, Escuela politécnica del ejército
vicerrectorado de investigación y vinculación con la colectividad, Departamento de
ciencias de la computación maestría en gerencia de sistemas, Sangolqui.
Bernal Torres, C. A. (2010). Metodología de la Investigación (Tercera ed.). (O. F. Palma,
Ed.) Colombia: Pearson Educación de Colombia Ltda.
Calderero hernandez, J. F., & Bernardo Carrasco, J. (2000). Aprendo a Investigar en
Educación. ES: Rialp.
Chamorro, V. L. (2013). Plan de seguridad de la información basado en el estándar iso
13335 aplicado a un caso de estudio. Proyecto, ESCUELA POLITÉCNICA
NACIONAL, Quito. Obtenido de http://bibdigital.epn.edu.ec/handle/15000/5617
Chávez de Paz, D. (s.f). Conceptos y Técnicas de Recolección de Datos en la Investigación
Jurídico Social. Universidad Nacional mayor de San Marcos.
Chavez, N. (2007). Introducción a la investigación educativa. Madrid: Gráfica gonzáles.
Chicano, E. (2015). Auditoría de seguridad informática. IFCT0109. IC Editorial.
Cilleros, D. (2012). Seguridad en Data Centers: infraestructura y prevención. Proyecto de
Fin de Carrera, Universidad Carlos III, Madrid.
Cliatec. (2018). Cliatec 360 Data Center. Obtenido de https://cliatec.com/infraestructura-y-
auditoria-de-data-center-la-mayoria-de-los-data-center-estan-obsoletos/
Consejo Superior de Administración Electrónica de España. (2012). Magerit 3.0
Metodologia de Análisis y Gestión de Riesgos de los Sistemas de Información. (M.
d. Públicas, Ed.) Madrid.
Córdoba, M. (2003). Estadpistica descriptiva e inferencial. Lima, Perú: Moshera S.R.L.
Costas, J. (2011). Seguridad y alta disponibilidad. Madrid: RA-MA.
108
Date IT services. (6 de Noviembre de 2017). Blog ITSD. Obtenido de
https://itservicesd.com/blog/2017/11/06/data-center/
Dávila Cervantes, J. A., & Ramírez Viteri, C. F. (2018). Diseño de un Centro de Datos para
la empresa isistem. Trabajo de Titulacion, UDLA Facultad de Ingenería y Ciencias
Aplicadas.
De Pablos, C., López-Hermoso, J. J., Martín-Romo, S., Medina, S., Montero, A., & Nájera,
J. J. (2008). Dirección y gestión de los sistemas de información de la empresa
(Segunda ed.). Madrid: Esic Editorial.
Goal's. (2014). Goal's Infromation Networks Tech. Obtenido de
http://www.goalsnet.net/productos/data-center/auditoria-de-centros-de-datos/
Gobierno de España, Ministerio de Hacienda y Administraciones Públicas. (2012).
MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro I - Método, Libro II - Catálogo de Elementos y Libro
III - Guía de Técnicas. (M. d. Administraciones, Ed.) Madrid, España. Obtenido de
http://administracionelectronica.gob.es/
Gómez, J. A. (2011). Redes locales. Editex.
González, M. (2015). Auditoría de información y de conocimiento en las organizaciones.
Tesis Doctoral, Universidad de la habana , De Biblioteconomía y Documentación de
la Universidad de Granada, Granada.
Google. (2018). Centros de Datos. Obtenido de
https://www.google.com.au/about/datacenters/
Govindan, M. (2007). Control Interno, Auditoría y Seguridad Informática (Vols. II-IV).
España.
Hernández, R., Fernández, C., & Baptista, M. d. (2010). Metodología d ela investigación.
México: McGRAW-HILL .
Hevada, F. (2007). Gobierno de las Tecnologías y Sistemas de Información. Madrid: ES.
RA-MA.
Huerta Villalón, A. (2 de octubre de 2000). Seguridad en Unix y Redes. Obtenido de Versión
1.2 Digital - Open Publication License v.10 o Later:
https://www.google.com/url?sa=t&source=web&rct=j&url=http://seguridadinforma
tica.wikidot.com/seguridad-
fisica&ved=2ahUKEwj22s7kv5DkAhVwIrkGHT9QD00QFjACegQIDhAI&usg=A
OvVaw20RsNw5V8e3I_rCv_mBSS4
Huerta, M. (2015). Procedimiento para la Auditoria en seguridad fisica del Data Center en
Municipalidad Provincial de Huamanga. Tesis de Grado, Universidad de San
Cristobal de Huamanga, Ayacucho, Ayacucho.
109
Hurtado, L. I., & Toro, G. J. (2005). PARADIGMAS Y METODOS DE INVESTIGACION en
tiempos de cambio (Quinto ed.). Venezuela : Episteme Consultores Asociados C. A.
Obtenido de https://epinvestsite.files.wordpress.com/2017/09/paradigmas-libro.pdf
ISACA. (2012). COBIT 5.0, Un Marco de Negocio para el Gobierno y la Gestión de las TI
de la Empresa. Impreso en los Estados Unidos de America. Obtenido de
www.isaca.org/COBITuse.
ISO 27001:2013. (Marzo de 2015). Blog especializado en Sistemas de Gestión de Seguridad
de la Información. Obtenido de https://www.pmg-ssi.com/2015/03/iso-27001-los-
activos-de-informacion/
ISO/IEC - INDECOPI. (2014). NORMA TÉCNICA PERUANA NTP-ISO/IEC 27001
(Segunda ed.). (R.0129-2014/CNB-INDECOPI, Ed.) Lima.
ISOTools Excellence. (6 de Octubre de 2015). Blog especializado en Sistemas de Gestión
de Seguridad de la Información. Recuperado el 2019, de https://www.pmg-
ssi.com/2015/10/la-norma-iso-27001-version-2013/
ISOTools EXCELLENCE. (s.f). La normaISO 27001 Aspectos clave de su diseño e
implantación. Recuperado el 2019, de https://www.isotools.org/pdfs-pro/iso-27001-
sistema-gestion-seguridad-informacion.pdf
Llerena, C. A., & Navarro, J. R. (2013). FORMULACIÓN DE UNA GUÍA DE AUDITORIA
PARA LA INFRAESTRUCTURA FÍSICA DE LOS CENTROS DE DATOS DE LAS
ENTIDADES PÚBLICAS DEL ECUADOR BASADO EN MARCOS DE
REFERENCIA DE TI. Tesis de Grado, SANGOLQUI.
Loor, A. A., & Espinoza, V. A. (2015). Auditoría de seguridad física y lógica a los recursos
de tecnología de información en la carrera informática de la espam mfl.
Lovos, F. D. (s.f). Seguridad Física y Lógica en centros de cómputo. Auditoria de sistemas
computarizados.
Martínez, Y. (2012). Auditoria en Informática. CU. Revista de Ingeniería, VI(2), 14.
Marulanda, H. (2014). Evaluación mediante el estándar ISO 27001 de la seguridad física y
lógica de la infraestructura tecnológica de la clínica san josé s.a.s de la ciudad de
Barrancabermeja – Santander. Tesis de Grado, Universidad Francisco de Paula
Santander Ocaña.
Morlano, G. (2012). Seguridad Informática, Matanzas. CU. Revista de Arquitectura e
Ingeniería, VI(2), 1-14.
Mtnet. (2018). Blog de TI . Obtenido de https://www.mtnet.com.mx/blog/seguridad-fisica-
en-el-data-center-las-cuatro-capas/
Muñoz, C. (2012). Auditoría en sistemas computacionales. Naucalpan de juarez, Mexico:
Pearson educacion.
110
Navarro, E. (2005). Manual de dictámenes y peritajes informáticos (Segunda ed.). Madrid,
España: DIAZ DE SANTOS.
Nogueira, J. E. (2014). Procedimientos para la auditoría física y medio ambiental de un
Data. Lima.
NTP - ISO/IEC 17799 . (2007). tecnología de la información.Código de buenas prácticas
para la gestión de la seguridad de la información. Presidencia del Consejo de
Ministros – Gobierno del Perú – ONGEI, Lima.
Piattini, M. G., & Del peso, E. (2001). Auditoria Infomática un enfoque práctico. Madrid:
Alfaomega Ra-ma Grupo editos S.A.
Ramió, J. (Marzo de 2003). Seguridad Informática y Criptografía. Universidad Politécnica
de Madrid, Madrid.
Ramirez, G., & Álvarez, E. (2003). Auditoría A La Gestión De Las tecnologías Y Sistemas
De información. Recuperado el Diciembre de 2018, de
http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/vol6_n1/pdf/auditor
ia.pdf
Roa, J. F. (2013). Seguridad informática. Madrid: McGraw-Hill.
Seoane, C., Saiz, A. B., Fernández, E., & Fernández, L. (2010). Seguridad Informática.
Madrid, España: McGraw-Hill.
Supo, J. (s.f). Taxonomía de la investigación. México.
Tamayo y Tamayo, M. (2004). Diccionario de la Investigacion Científica (Segunda ed.).
Mexico: Noriega editores Limusa.
Thomas, P. (2010). Information Security Risk Analysis (Tercera ed.).
Tongo, Y. Y. (2017). Diagnóstico situacional del Data Center bajo cumplimiento Normativo
Y de Estándar en el Hospital Ii Essalud De Huaraz. UNIVERSIDAD CATÓLICA
LOS ÁNGELES DE CHIMBOTE, Huaraz.
Tupia, M. (2010). Administración de la seguridad de información. Lima: Graficar.
Universidad Juárez Autónoma de Tabasco. (2006). Avances en Informática y Sistema
Computacionales Tomo I CONAIS. Tabasco, México.
Whitten, J. L. (2008). Analisis y diseño de sistemas de informacion (Tercera ed.). Mexico:
McGraw-Hill.
111
ANEXOS
ANEXO A
Tabla A. 1
Matriz de Operacionalización de la Variable Seguridad Física
activos físicos Center y que garanticen el buen funcionamiento del mismo? documental.
• Cuestionario de
Activo Físico entrevistas
¿Cómo la difusión sin el consentimiento no autorizado de un
Confidencialidad
activo físico puede afectar su confidencialidad del área?
¿Cómo la alteración natural o sin el consentimiento autorizado
Integridad
de un activo físico puede afectar su integridad del área? • Ficha de análisis
documental
¿De qué manera una pérdida, falla técnica de un activo físico
Disponibilidad puede afectar la disponibilidad y los servicios que brinda el Data
Center?
Identificación de • Ficha de análisis
¿Cuáles son las amenazas que existen con los activos físicos del documental
Amenazas las amenazas de activos
Data Center?
físicos
112
Probabilidad de riesgo ¿Cuál es la probabilidad de riesgo se materialice la amenaza? • Ficha de análisis
documental
¿Qué amenazas se ha identificado para los activos a los que está
Análisis de amenazas
expuesto los activos físicos internos y externos? • Ficha de análisis
documental
¿A qué amenazas están expuestos los activos físicos?
Identificar los riesgos ¿A qué riesgos están expuestos los activos físicos internos y • Ficha de análisis
documental
de los activos físicos externos?
¿Qué daño causaría sobre el activo físico la materialización de • Ficha de análisis
Impacto documental
Riesgo la amenaza?
113
ANEXO B:
CONOCIMIENTO PRELIMINAR DEL DATA CENTER DEL HRA
D
DATOS GENERALES ENTIDAD
¿Cuál es el soporte del Data Center al Hospital Regional de Ayacucho? ¿Su funcionamiento es
24 horas del día, los 7 días de la semana y las 365 dial al año?
114
ANEXO C:
CUESTIONARIO PARA LA ENTREVISTA
Nombre de la Organización:
……………………………………………………………………………………………………...
Área a entrevistar:
…………………………………………………………………………………………………………
Dirigido:
…………………………………………………………………………………………………………
Ciudad:
…………………………………………………………………………………………………………
Dirección:
…………………………………………………………………………………………………………
Fecha: ………/………/………
Tema de Investigación:
…………………………………………………………………………………………………..
Objetivo:
…………………………………………………………………………………………….….....
.………………………………………………………………………………………………….
1). ¿Existen políticas y procedimientos formales de Seguridad Física del Data Center del
Hospital Regional de Ayacucho?
3). ¿En cuanto a la documentación de las políticas y procedimientos, cuáles son los
mecanismos de seguridad con la que se le da la salvaguarda?
4). ¿Para Las documentaciones de las políticas y procedimientos de seguridad del Hospital
Regional de Ayacucho, cuáles son las condiciones de ambiente en las cuales están
almacenadas?
5). ¿Existe un área específica para la seguridad física del Data Center (Área)?
6). ¿Cuáles son los procedimientos de acceso al Data Center Hospital Regional de Ayacucho?
115
7). ¿Se realiza el monitoreo y revisión de las bitácoras, de ser así cada que tiempo se realiza?
8). ¿Se evalúa el reporte de accesos al Data Center, de ser así este monitoreo con qué
frecuencia se realiza?
9). ¿Se cuenta con sensores de Control ambiental para él Data Center?
10). ¿Se cuenta con políticas y procedimientos para elegir a los proveedores?
ANEXO D
D.1. CRITERIOS DE SEGURIDAD FÍSICA BASADOS EN NTP-ISO/IEC 17799 -
DATA CENTER DEL HRA
De las directrices y controles presentados en el estándar NTP-ISO/IEC 17799:2007, se toma en cuenta
la cláusula; Seguridad física y Ambiental (entorno), Domino 9. Los criterios de seguridad Física para
el Data Center, definidos según esta norma son:
Tabla D. 1
Criterios de Seguridad Física Basados en NTP-ISO/IEC 17799 - Data Center del HRA
Dominio 9. SEGURIDAD FÍSICA Y DEL ENTORNO (AMBIENTAL)
9.1 Áreas Seguras
Criterio Evitar accesos no autorizados, daños e interferencias contra los locales y la
información de la organización.
9.1.1 Perímetro de seguridad Física
Control Los perímetros de seguridad (como paredes, tarjetas de control de entrada a
puertas o un puesto manual de recepción) deben ser usados para proteger el área.
f) El perímetro de un edificio o un lugar que contenga recursos de tratamiento
de información debería tener solidez física. Los muros externos del lugar
deberían ser sólidos y todas las puertas exteriores deberían estar
convenientemente protegidas contra accesos no autorizados;
Guía de
g) Se debería instalar un área de recepción manual u otros medios de control del
implementación.
acceso físico al edificio o lugar. Dicho acceso se debería restringir sólo al
se debe
personal autorizado;
considerar las
h) Las barreras físicas se deberían extender, si es necesario, desde el suelo real
siguientes
al techo real para evitar entradas no autorizadas o contaminación del entorno;
directrices:
i) Todas las puertas para incendios del perímetro de seguridad deberían tener
alarma, ser monitoreadas y probadas;
j) Se debe instalar sistemas adecuados de detección de intrusos de acuerdo a
estándares regionales, nacionales o internacionales
9.1.2 Controles físicos de entradas
Control Las áreas de seguridad deberían estar protegidas por controles de entrada
adecuados que aseguren el permiso de acceso sólo al personal autorizado
116
Guía de a) Las visitas a las áreas seguras se deberían supervisar, a menos que el acceso
implementación. haya sido aprobado previamente, y se debe registrar la fecha y momento de
se debe entrada y salida. Los visitantes sólo tendrán acceso para propósitos
considerar las específicos;
siguientes b) Se debería controlar y restringir sólo al personal autorizado el acceso a la
directrices: información sensible y a los recursos de su tratamiento; usar controles de
autenticación, mantener un rastro auditable de todos los accesos;
c) Se debería exigir a todo el personal que lleve puesta alguna forma de
identificación visible y se le pedirá que solicite a los extraños no
acompañados y a cualquiera que no lleve dicha identificación visible, que se
identifique;
9.1.4 Protección contra amenazas externas y ambientales
Se debe designar y aplicar protección física del fuego, inundación, terremoto,
Control
explosión, malestar civil y otras formas de desastre natural o humana, del Data
Center del Hospital Regional de Ayacucho.
Guía de d) Los materiales peligrosos y combustibles se deberían almacenar en algún
implementación. lugar distante de las áreas seguras;
se debe e) El equipo y los medios de respaldo deberían estar a una distancia de
considerar las seguridad conveniente para evitar que se dañen por un desastre en el área
siguientes principal;
directrices: f) Equipo apropiado contra incendio debe ser provisto y ubicado
adecuadamente
9.1.5 El trabajo en el Data Center
Control Se debería diseñar y aplicar protección física y pautas para trabajar en el área
de Data Center
Guía de
implementación. c) Debería evitar el trabajo no supervisado en áreas seguras tanto por motivos
se debe de salud como para evitar oportunidades de actividades maliciosas;
considerar las d) No se debería permitir la presencia de equipos de fotografía, vídeo, audio u
siguientes otras formas de registro salvo autorización especial.
directrices:
9.1.6 Acceso público, áreas de carga y descarga
Control Se deberían controlar las áreas de carga y descarga, y si es posible, aislarse de
los recursos de tratamiento de información para evitar accesos no autorizados.
Guía de
implementación. a) deberían restringir los accesos al área de carga y descarga desde el exterior
se debe únicamente al personal autorizado e identificado;
considerar las b) El área de carga y descarga se debería diseñar para que los suministros
siguientes puedan descargarse sin tener acceso a otras zonas del edificio;
directrices:
9.2 Seguridad de los equipos
Criterio Evitar pérdidas, daños o comprometer los activos, así como la interrupción de
las actividades de la organización.
9.2.1 Instalación y protección de equipos
Control El equipo debería situarse y protegerse para reducir el riesgo de amenazas del
entorno, así como las oportunidades de accesos no autorizados.
117
d) Los controles deben ser adoptados para minimizar los riesgos de posibles
amenazas como robo, incendio, explosivos, humo, agua (o fallo de
Guía de
suministro), polvo, vibraciones, efectos químicos, interferencias en el
implementación.
suministro eléctrico, radiaciones electromagnéticas y vandalismo;
se debe
e) La organización debería incluir en su política cuestiones sobre fumar, beber
considerar las
y comer cerca de los equipos de tratamiento de información;
siguientes
f) Se deberían vigilar las condiciones ambientales, como temperatura y
directrices:
humedad, que puedan afectar negativamente al funcionamiento de los
equipos de tratamiento de información;
9.2.2 Suministro eléctrico
Control Se deberían proteger los equipos contra fallos de energía u otras anomalías
eléctricas en los equipos de apoyo.
f) Todas las instalaciones de apoyo, como la electricidad, el suministro de agua,
desagüe, calefacción/ventilación y aire acondicionado debe ser adecuado;
g) Se recomienda instalar un Sistema de Alimentación Ininterrumpida (U.P.S.)
para apoyar un cierre ordenado o el funcionamiento continuo de los equipos
Guía de que soporten operaciones críticas del área;
implementación. h) Además, se deberían instalar interruptores de emergencia cerca de las puertas
se debe de emergencia de las salas de equipos para facilitar una desconexión rápida
considerar las en caso de emergencia;
siguientes i) El suministro de agua debe ser estable y adecuado para suministrar aire
directrices: acondicionado, equipos de humidificación y sistemas contra incendios
(donde sean utilizados);
j) Los equipos de telecomunicación deben ser conectados al proveedor al
menos por dos rutas para prevenir la falla en una conexión eliminando el
servicio de voz
9.2.3 Seguridad del cableado
Control Se debería proteger contra interceptaciones o daños el cableado de energía y
telecomunicaciones que transporten datos o soporten servicios de información.
f) Las líneas de energía y telecomunicaciones en el Data Center, se deberían
enterrar, cuando sea posible, o adoptarse medidas alternativas de protección;
g) Se deberían separar los cables de energía de los de comunicaciones para
Guía de evitar interferencias;
implementación. h) Cables claramente identificados y marcas de equipo deben ser utilizadas con
se debe el fin de minimizar errores de manejo como el de parchar cables de una red
considerar las incorrecta;
siguientes i) Una lista documentada de parches debe utilizarse con el fin de reducir la
directrices: posibilidad de errores;
j) se deberían considerar medidas adicionales como: uso de rutas o de medios
de transmisión alternativos; uso de cableado de fibra óptica; uso de un escudo
electromagnético para proteger los cables, entre otros.
9.2.4 Mantenimiento de equipos
Control Los equipos deberían mantenerse adecuadamente para asegurar su continua
disponibilidad e integridad.
Guía de e) Los equipos se deberían mantener de acuerdo a las recomendaciones de
implementación. intervalos y especificaciones de servicio del suministrador;
se debe
118
considerar las f) Sólo el personal de mantenimiento debidamente autorizado debería realizar
siguientes la reparación y servicio de los equipos;
directrices: g) Se deberían registrar documentalmente todos las fallos, reales o sospechados,
así como todo el mantenimiento preventivo y correctivo;
h) Se debería implementar controles apropiados cuando el equipo es
programado para mantenimiento, tomando en cuenta si este mantenimiento
es realizado por personal interno o externo del área; donde sea necesario,
debe despejarse la información sensible del equipo;
9.2.6 Seguridad en el rehúso o eliminación de equipos
Todos los elementos del equipo que contengan dispositivos de almacenamiento
Control deben ser revisados con el fin de asegurar que cualquier dato sensible y software
con licencia haya sido removido o sobrescrito con seguridad antes de la
eliminación.
c) Los dispositivos de almacenamiento con información sensible se deberían
Guía de destruir físicamente o la información debe ser destruida, borrada o
implementación. sobrescrita usando técnicas para hacer que la información original sea no
se debe recuperable y no simplemente usando la función normalizada de borrado
considerar las (delete) o la función formato;
siguientes d) Los dispositivos dañados que contienen data sensible pueden requerir una
directrices: evaluación de riesgos para determinar si es que los ítems deben ser destruidos
físicamente en lugar de ser reparados o descartados.
9.2.7 Retiro de la propiedad
Control El equipo, información o software no debe ser sacado fuera del local sin
autorización
e) El equipo, información o software no debe ser sacado fuera del local sin
autorización;
Guía de f) Los empleados, contratistas y usuarios de terceros que tengan autoridad para
implementación. permitir el retiro de la propiedad de los activos deben ser claramente
se debe identificados;
considerar las g) Los tiempos límite para el retiro de equipos deben ser fijados y el retorno del
siguientes equipo verificado para asegurar la conformidad;
directrices: h) El equipo debe ser registrado, si es necesario y apropiado, cuando este sea
removido fuera del local, así como cuando sea devuelto.
119
Tabla D. 2
Criterios de auditoría física y ambiental de Data Center según COBIT 5.
Dominio Evaluar, Orientar y Supervisar (Gobierno)-EDM
Asegura que los objetivos del Data Center sean logrados, evaluando las necesidades de
los interesados
EDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de
gobierno
Verificar la existencia de un gobierno de seguridad física y ambiental en el Data
Procesos Center de la institución
EDM05 Asegurar la transparencia hacia las partes interesadas
Asegurar que la medición y la elaboración de informes en cuanto a conformidad y
desempeño de las TI de la empresa son transparentes
EDM05.02 Orientar la comunicación con las partes interesadas y la elaboración
de informes.
Objetivo
Verificar la existencia de contratos que detallen los niveles de seguridad que el Data
Center ofrecerá a los clientes.
Dominio Alinear, Planificar y Organizar (Gestión)-APO
Este dominio proporciona la dirección para la entrega de soluciones y la entrega de
servicios
APO01 Gestionar el Marco de Gestión de TI
Proporcionar un enfoque de gestión consistente que permita cumplir los requisitos de
Proceso gobierno corporativo e incluya procesos de gestión, estructuras, roles y
responsabilidades organizativos, actividades fiables y reproducibles y habilidades y
competencias.
APO01.02 Establecer roles y responsabilidades.
Verificar el establecimiento de roles y responsabilidades en seguridad física del Data
Center del HRA.
Objetivos APO01.07 Gestionar la mejora continua de los procesos.
Verificar la ejecución de capacitaciones al personal encargado sobre las consideraciones
de seguridad física del Data Center, cómo afectan a las operaciones del Hospital
Regional de Ayacucho y las acciones a tomar en situaciones de riesgo.
APO07 Gestionar los Recursos Humanos
Proporcionar un enfoque estructurado para garantizar una óptima estructuración,
Proceso
ubicación, capacidades de decisión y habilidades de los recursos humanos. Optimizar
las capacidades de recursos humanos para cumplir los objetivos de la empresa.
APO07.01 Mantener la dotación de personal suficiente y adecuada.
Objetivo Verificar la adecuada proporción entre recursos humanos y proveedores con respecto a
los servicios que se ofrecen.
APO10 Gestionar los Proveedores
Proceso Minimizar el riesgo de proveedores que no rindan y asegurar precios competitivos de
equipos y servicios para el Data Center
APO10.03 Gestionar contratos y relaciones con proveedores.
Objetivo Verificar que los contratos con terceros o proveedores por lo menos deben incluir
acuerdos de seguridad, acuerdos de confidencialidad.
Proceso APO12 Gestionar el Riesgo
120
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro
de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa
APO12.05 Definir un portafolio de acciones para la gestión de riesgos del Data
Objetivo
Center.
Dominio Construir, Adquirir e Implementar (Gestión)-BAI
La gerencia con este dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del Data Center
BAI03. Gestionar la Identificación y Construcción de Soluciones.
Establecer y mantener soluciones identificadas en línea con los requerimientos de la
Proceso
empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con
proveedores/fabricantes.
BAI03.07 Preparar pruebas de la solución
Verificar la existencia de un plan de pruebas de soluciones en seguridad física y
ambiental del Data Center.
Objetivos BAI03.08 Ejecutar pruebas de la solución
Verificar si se han ejecutado las pruebas de soluciones en seguridad física de forma
continua, identificando, registrando y dando prioridad a los errores y los problemas
detectados durante las pruebas.
BAI06 Gestionar los Cambios
Gestiona todos los cambios de una forma controlada, incluyendo cambios estándar y de
Proceso
mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e
infraestructura.
BAI06.02 Gestionar cambios de emergencia.
Objetivo Verificar la existencia de mecanismos de emergencia que controlen el mantenimiento
de los equipos del Data Center
Dominio Entregar, dar Servicio y Soporte (Gestión) - DSS
Es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del Data
Center, la optimización de costos, asegurar que la fuerza de trabajo utilice los sistemas
de modo productivo y seguro, implantar de forma correcta la confidencialidad, la
integridad y la disponibilidad.
DSS01 Gestionar Operaciones
Proceso
Entregar los resultados del servicio operativo de TI, según lo planificado
DSS01.04 Gestionar el entorno.
Objetivo
Verificar el cumplimiento de requisitos de gestión ambiental.
DSS02 Gestionar las peticiones y los incidentes del servicio
Proceso Lograr una mayor productividad y minimizar las interrupciones mediante la rápida
resolución de consultas de usuario e incidentes.
DSS02.04 Investigar, diagnosticar y localizar incidentes.
Objetivos
DSS02.05 Resolver y recuperarse de incidentes.
DSS04 Gestionar la Continuidad
Proceso Continuar las operaciones críticas para el negocio y mantener la disponibilidad de la
información a un nivel aceptable para la empresa ante el evento de una interrupción
significativa.
DSS04.01 Definir la política de continuidad del negocio, objetivos y alcance.
Objetivos
DSS04.07 Gestionar acuerdos de respaldo
Proceso DSS05 Gestionar Servicios de Seguridad
121
Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de
seguridad en la información.
DSS05.05 Gestionar el acceso físico a los activos de TI.
Verificar la existencia de mecanismos de autorización y restricción de acceso a los
locales del Data Center
DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
Verificar la existencia de garantías que aseguren y protejan la seguridad física y
Objetivos
ambiental del Data Center.
DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la
seguridad.
Verificar la existencia de herramientas de detección de intrusos para controlar el acceso
no autorizado al Data Center.
ANEXO E
Tabla E. 1
Activos de un Data Center
ACTIVOS FISICOS QUE SE ENCUENTRAN EN UN DATA CENTER
EQUIPO PARA
GRUPO UNIDAD DE CANTIDAD CARACTERISTICAS/DESCRIPCION
INFORMATICA
Tabla E. 2
Tasación de los Activos
No ACTIVOS DEL DATA CENTER VALOR DEL ACTIVO
Tabla E. 3
Criterio para la tasación de activos
VALOR SIGNIFICADO CRITERIO DISPONIBILIDAD
1 Muy bajo Daño irrelevante a efectos prácticos
2 Bajo Daño menor
3 Moderado Daño importante
4 Alto Daño grave
122
5 Muy alto Daño muy grave
Criterio de valoración de los activos según escala Likert. Fuente: (Chamorro, 2013)
Tabla E. 4
Cálculo de Probabilidad de ocurrencia de una amenaza frente a una vulnerabilidad del Data
center
PROBABILIDAD DE
No AMENAZAS VULNERABILIDADES
OCURRENCIA D ELA AMENAZA
Cálculo de Probabilidad de ocurrencia de una amenaza frente a una vulnerabilidad del Data Center del Hospital
Regional de Ayacucho. Fuente: (Llerena & Navarro, 2013)
Tabla E. 5
Matriz de Riesgo
Matriz de Riesgos Amenazas
Probabilidad de
amenaza
Activo Impacto Medición o valoración de Riesgo
Matriz de riego de los activos físicos del Data Center de las amenazas. Fuente: (Llerena & Navarro, 2013)
123
ANEXO F
ILUSTRACIONES DE LOS ACTIVOS FÍSICOS DEL DATA CENTER-HOSPITAL
REGIONAL DE AYACUCHO
124
Ilustración F. 2 Tablero de distribución eléctrica
125
Ilustración F. 4 Pasadizo al Data Center
126
Ilustración F. 6 Cableado interior del ambiente
127
Ilustración F. 8 Cableado de servidores
128
Ilustración F. 11 Ups
129
Ilustración F. 12 Aire acondiciona
130
Ilustración F. 14 Entrevista al jefe del área de informática
131