Post on 20-Jul-2015
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 1/17
LA AUDITORIA FISÍCA
Auditoria Informática
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 2/17
La auditoria proporciona la evidencia y no laSeguridad física
No se limita a comprobar la existencia de mediosfísicos, sino también su funcionalidad, racionalidad yseguridad
No solo es esto
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 3/17
SEGURIDAD FÍSICA
Tres tipos de seguridades: seguridad lógica,seguridad física y seguridad de lascomunicaciones.
Diferencias entre estas?Soft, hard, hard-soft, el hard soporta al soft y
el soft que mueve al hard ?
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 4/17
EL ANTESEL DURANTE ?EL DESPUÉS
La seguridad física garantiza la integridad de losactivos humanos, lógicos y materiales del CPD.
La contingencia o proximidad de un daño se definecomo un RIESGO de FALLO, local o general.
Y para esto se tiene en cuenta:
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 5/17
ANTES
Obtener y mantener un Nivel adecuado deSeguridad Física sobre los activos.Concepto aplicable a cualquier actividad no
solo informática del uso del entorno físico:o Ubicación del edificioo Ubicación del CPD dentro
del edificioo Compartimentacióno Elementos de
construccióno Potencia eléctricao Sistema contra incendios
o Control de accesoso Selección de personalo
Seguridad de losmedioso Medidas de proteccióno Duplicación de medios.
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 6/17
DURANTE
Ejecutar un plan de contingencias adecuadoDesastre paraliza actividadesDefinidos en el Plan de Recuperación de
Desastres y el Centro Alternativo de Procesode Datos constituye el PLAN DECONTINGENCIA.
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 7/17
EL PLAN DE CONTINGENCIA INEXCUSABLEMENTE DEBE:
Realiza un análisis de riesgos de sistemas críticos quedeterminen la tolerancia de los sistemas.
Establece un periodo Crítico de recuperación en el cual losprocesos deben ser reanudados antes de sufrir perdidas.
Realiza un análisis de aplicaciones críticas por el que seestablecerán las prioridades de proceso.
Determina las prioridades de proceso, por días del año, queindiquen cuales son las Aplicaciones y Sistemas críticos en elmomento que ocurren y el orden de proceso correcto.
Establece Objetivos de Recuperación que determinen el periodode tiempo entre la declaración de desastre y el momento delproceso del centro alternativo de las aplicaciones criticas.
Designa entre los distintos tipos existentes un CAPD. Asegura la capacidad de las comunicaciones. Asegura la capacidad de los servicios de Back-Up.
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 8/17
DESPUES
Centro de procesos y equipamiento
Reconstrucción de medios software Gastos extras Interrupción el negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento
Se basan en los contratos de seguros ypueden ser:
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 9/17
También Contratos de mantenimiento que
garanticen la asistencia técnica a los equipose instalaciones (fuera de la garantía)
No soy realmente seguros: Asistencia técnica, Se ubican en Nivel
adecuado de Seguridad Física (antes)
Asistencia de instalaciones, tanto en el nivel(antes) como en el Plan (durante).Su por su control administrativo se les
considera seguro.
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 10/17
ÁREAS DE SEGURIDAD FÍSICA
Toma en cuenta edificio y las circunstanciasexternas e internas que le afectan.
Auditor debe revisar la construcción y el estado
actual de la infraestructura? Debe diagnosticar el tema? Debe considerarse como la primera área a ser
revisada en la auditoria física Peritos adquisición de Información General y
certificaciones Pruebas para informe final Aspectos físicos a ser considerados:
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 11/17
ORGANIGRAMA DE LA EMPRESA
Dependencias orgánicas funcionales y jerárquicas Ubicación de cargos y empleados Análisis de la apropiada Separación de Funciones y
Rotación en el Trabajo Primera y más amplia visión de conjuntos del Centro
de Proceso
AUDITORIA INTERNA
Departamento independiente de la institución Revisar auditorias pasadas Revisar Normas, Procedimientos y planes sobre
seguridad física que se haya emitido y distribuido laautoridad de la institución
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 12/17
ADMINISTRACIÓN DE SEGURIDAD Revisar Normas, Procedimientos y planes sobre seguridad física que se
haya emitido y distribuido el departamento Director o Responsable de seguridad integral Responsable de seguridad informatica Administrador de redes Administrador de Base de datos
Responsables de la seguridad activa y pasiva del entorno físicoCENTRO DE PROCESO DE DATOS E INSTALACIONES Se debe proporcionar seguridad a las personas, soft y materiales Sala de Host Sala de Operadores Sala de Impresoras Oficinas Almacenes Sala de aparamenta eléctrica
Sala de aire acondicionado Área de descanso y servicios
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 13/17
EQUIPOS Y COMUNICACIONES
Elementos principales: host, terminales, computadores, etc. Inspeccionar ubicación, control de acceso y elementos restringidos
COMPUTADORES PERSONALES Conexión a la red Mecanismos de adquisición de copias (hard y soft) no automatizadas Conexión dedicadas a medios de comunicación.
SEGURIDAD FÍSICA DEL PERSONAL Accesos y salidas seguras, extintor de incendios y medios para ello Sistemas de bloqueo de puertas y ventanas, zonas de descanso y de
servicios Normas y políticas emitidas y distribuidas por la dirección referente al
uso de instalaciones por el personal.
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 14/17
FUENTES DE LA AUDITORIA FÍSICA
Varían el funcionamiento del CPD por diversascausas Fuentes que deben estar accesibles en un CPD: Políticas, Normas y Planes sobre Seguridad Auditorías anteriores, generales y parciales, referentes a seguridad orelacionados a seguridad física Contratos de seguros de proveedores y de mantenimiento. Entrevistas con el personal de seguridad, informático y otras, etc. Actas e informes de técnicos y consultores. Peritos, electricistas,
fontaneros, técnicos del aire acondicionado, etc. Plan de contingencias y valoración e pruebas. Informe sobre accesos y visitas, perimetral, interna y restringida.
Informes de pruebas Políticas de personal Inventarios de soportes (papel y magnético), backup , cintoteca, etc.
Plan de trabajo o plan de operaciones
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 15/17
OBJETIVOS DE LA AUDITORIA FÍSICA Edificio
Instalaciones Equipamiento y telecomunicaciones
TÉCNICAS Y HERRAMIENTAS DEL AUDITOR No se diferencian técnicas y herramientas porque su fin es la
Evidencia física TECNICAS . Observación, revisión analítica de: Doc. Construcción y preinstalaciones Doc. Sobre seguridad física Políticas y normas de Actividad de sala Normas y Procedimientos sobre seguridad física de datos Contratos de seguros y de mantenimiento
Entrevistas con directivos y personalConsultas a técnicos y peritos
HERRAMIENTAS cuaderno de campo, grabadora de audio, maq.Fotográfica, cámara de video
Datos Personas
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 16/17
RESPONSABILIDADES DEL AUDITOR No es una función policial, el trabajo ser socializado AUDITOR INFORMATICO INTERNO
Revisar controles relativos a seguridad física Revisar el cumplimiento de procedimientos Evaluar riesgos Participar sin perder independencia
Selección, adquisición e implementación de equipos y materiales Planes de seguridad y de contingencias
Revisión de cumplimientos de políticas y normas Efectuar auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las recomendaciones.
AUDITOR INFORMÁTICO EXTERNO Revisar las funciones de los auditores internos Mismas responsabilidades que los auditores internos Revisar planes de seguridad y contingencias, efectuar pruebas Emitir informes y recomendaciones
5/17/2018 La auditoria fisíca - slidepdf.com
http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 17/17
FASES DE LA AUDITORIA FÍSICA Fase1. Alcance de la auditoria Fase2. Adquisición de la Información General Fase3. Administración y Planificación Fase4. Plan de Auditoria Fase5. Resultado de las Pruebas Fase6. Conclusiones y comentarios Fase7. Borrador del informe Fase8. Discusión con los responsables de área Fase9. Informe final
Informe, anexo al informe, carpeta de evidencias
Fase10. Seguimiento de las modificacionesacordadas