1.) Se evidencia Activo de Información en el área del almacén WANG ELECTRONICS.

Sin embargo no se evidencia el cumplimiento de la política de portación de credencial.

Se encontró la novedad que el personal subcontratado circulaban en el almacén sin identificación a la vista, cuyas credenciales fueron 12894, 13013 y 13014 se visualizó que llevaban puesta sudaderas claramente marcadas con el nombre “Tejado sur” y portaban sus credenciales dentro de sus bolsillos.

Existe con el incumplimiento A.8.2.2 “Todos los empleados de la organización y cuando sea pertinente, los contratistas y empleados de terceras partes deben recibir información adecuada en concientización y actualizaciones regulares sobre las políticas y procedimientos de la organización, según sea pertinente para sus funciones laborales”.

2.) Se evidencia Activo de Información en el área del almacén WANG ELECTRONICS.

Sin embargo no se evidencia el cumplimiento de la política de equipos que no han sido desmagnetizados.

Se encontró que no han sido desmagnetizados para su debida eliminación de 3 equipos BG13056; BG57099, BG11863.

Con el incumplimiento A.9 SEGURIDAD FISICA Y DEL ENTORNO A.9.2.6 “Se deben verificar todos los elementos del equipo que contenga medios de almacenamiento para asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se haya sobre escrito de forma segura, antes de la eliminación”.

3.) Se evidencia Activo de Información en el área de Activos de la base de datos WANG ELECTRONICS.

Sin embargo no se evidencia el cumplimiento de la política de Retiro de equipo.

Se encontró que los activos BG13056; BG57099 y BG11863 no se cumplieron con el respectivo procedimiento de autorización de eliminación en Activos de la base de datos puesto que tenía un desconocimiento total del registro del formulario F3, información desactualizada, los 3 activos estaban listos para la eliminación sin previa autorización actualizada.

Con el incumplimiento A.9 SEGURIDAD FISICA Y DEL ENTORNO 9.2.7 “Ningún equipo, información ni software se debe retirar sin autorización previa.” y el 4.3.2 C,E,F,H,I,J.

“c) Asegurar que los cambios y el estado de actualización de los documentos estén identificados.e) Asegurar que los documentos permanezcan legibles y fácilmente identificables.f) Asegura que los documentos estén disponibles para quienes los necesiten y que apliquen los procedimientos pertinentes de acuerdo con su clasificación, para su transferencia, almacenamiento y disposición final.”h) Asegura que la distribución de documento este controladai) impedir el uso no previsto de los documentos obsoleto.j) Aplicar la identificación adecuada a los documentos obsoletos, si se retienen para cualquier propósito.

4 ) Se evidencia Activo de información en el área de Administración. Se ingresó a la oficina de Administración en la que se observan escritorios, cada uno con terminales de computadora y pantallas. Sin embargo no se evidencia la política de bloqueo del equipo después de cierto periodo de inactividad. Se encontró que 3 de las computadoras de la oficina de Administración que tenían más de 2 minutos de inactividad no tenían activado el salvapantalla.Con el incumplimiento del control A.11.5.5 Tiempo de inactividad de la sesión, en el cual se indica que “Las sesiones inactivas se deben suspender después de un período definido de inactividad”.

5.) Se evidencia Activo de información en el área del Almacén. Se compararon los formularios de 3 equipos encontrados en un contenedor del Almacén, listos para su posterior eliminación, con la base de datos de activos para verificar su estado en la base.Sin embargo no se evidencia el cumplimiento de la política de eliminación de equipos. La base de datos de activos está desactualizada.Se encontró que el jefe de equipo de eliminación de residuos, John Teo, no le hizo llegar las copias de 3 de los formularios F23 a Roger Kang, director de la base de datos de activos, habiendo pasado 3 días desde que el Sr. Teo firmó el formulario, por lo cual el Sr. Kang no tenía la base de datos de activos actualizada.Con el incumplimiento del control A.7.1.1 Inventario de Activos que estipula “Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes”.