Auditoria en las tecnologas de la informacin

El soporte fsico es una parte de la Informtica que da

soporte a la misma.
Lo fsico es todo lo que comprende a la computadora en si,
as como otros conceptos o virtualidades que influyen en su
entorno
Es toda actividad se mezcla lo fsico lo funcional y lo
humano.
La auditoria proporciona la evidencia de la Seguridad Fsica
que poseen los medios fsicos dentro de una organizacin.
La auditoria fsica no se debe limitar a comprobar la
existencia de medios fsicos sino tambin su funcionalidad,
racionalidad y SEGURIDAD!
 Existen tres tipos de seguridad.
Seguridad lgica
Seguridad fsica
Seguridad de las comunicaciones

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y

materiales.

Contingencia: Es la proximidad de algn dao como riesgo de fallo local o

general en una relacin con la cronologa.
 Antes Obtener y mantener un nivel adecuado
sobre los activos

Durante Ejecutar un plan de contingencia

adecuado

Los contratos de seguros pueden

compensar en mayor o menor medida
Despus las prdidas, gastos o responsabilidades
que se puedan derivar una vez detectado
y corregido el fallo.
El nivel adecuado de seguridad fsica, o grado de seguridad,
es un conjunto de acciones utilizadas para evitar el fallo, o
aminorar las consecuencias.
En un concepto general, no solo informtico, en las que las
personas hagan uso particular o profesional de los entornos
fsicos.
o Ubicacin de edificios
o Ubicacin del CPD dentro del edificio
o Compartimentacin
o Elementos de construccin
o Potencia elctrica
o Sistemas contra incendios
o Control de accesos
o Seleccin de personal
o Seguridad de los medios
o Medidas de proteccin
o Duplicacin de medios
 Desastre es cualquier evento,
que cuando ocurre, tiene la
capacidad de interrumpir el
proceso normal de una empresa.
La probabilidad de que ocurra un
desastre es muy baja, per si
ocurre puede ser fatal para la
empresa, por lo que se debe
contar con los medios para
afrontarlo cuando ste ocurra.
Todos esos medios quedan
definidos en un plan de
recuperacin de desastres que
junto con el centro alternativo,
constituye en el plan de
contingencia.
El plan de contingencia debe inexcusablemente:
Realizar un anlisis de riesgos de sistemas crticos
Establecer un periodo critico de recuperacin.
Realizar un anlisis de aplicaciones criticas. estableciendo prioridades de
procesos.
Establecer prioridades de procesos por das del ao de las aplicaciones y
orden de los procesos.
Establecer objetivos de recuperacin en un determinado e l periodo de
tiempo. (horas, das, semanas) entre la declaracin del desastre y el
momento en que el centro alternativo puede procesar las operaciones
criticas.
Asegurar la capacidad de las comunicaciones.
Asegurar la capacidad de servicios de back-up.
Los seguros compensan en parte los gastos y perdidas, algunos
seguros existentes son:
Centros de procesos y equipamiento.
Reconstruccin de medios de software
Gastos extras (continuidad de las operaciones y permite
compensar la ejecucin del plan de contingencia)
Interrupcin del negocio (cubre prdidas de beneficios netos
causados por la cada de sistemas)
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios
Contratos con proveedores y de mantenimiento.
Edificio:
Debe encargarse a peritos especializados y debe ser lo primero
en considerarse para la auditoria fsica.
Organigrama de la empresa:
o Dependencias orgnicas, funcionales y jerrquicas.
o Separacin de funciones y rotacin de personal
o Da la primera y ms amplia visin del Centro de Proceso
Auditoria interna
o Personal, planes de auditoria, historial de auditorias fsicas
 Administracin de la seguridad
o Director o responsable de la seguridad integral
o Responsable de la seguridad informtica
o Administradores de redes
o Administradores de Base de datos
o Responsables de la seguridad activa y pasiva del entorno fsico
Centro de procesos e instalaciones
o Entorno en donde se encuentra el CPD
o Sala de Host
o Sala de operadoras
o Sala de impresoras
o Cmara acorazada
o Oficinas
o Almacenes
o Instalaciones elctricas
o Aire acondicionado
 Equipos y comunicaciones
o Host, terminales, computadoras
personales, equipos de almacenamiento
masivo de datos, impresoras, medios y
sistemas de telecomunicaciones.
Seguridad fsica del personal
o Accesos seguros
o Salidas seguras
o Medios y rutas de evacuacin, extincin
de incendios, sistemas de bloqueos de
puertas y ventanas.
o Normas y polticas emitidas y destruidas
al personal referente al uso de las
instalaciones por el ellos
 Plan de auditoria lleva a realzar pruebas de
cumplimiento y sustantivas.
Polticas, normas y planes sobre seguridad.
Auditorias anteriores, generales o parciales
Contratos de seguros, de proveedores y
mantenimiento.
Actas e informes de tcnicos y consultores.
Informes sobre accesos y visitas.
Informes sobre pruebas de evacuacin.
Polticas de personal.
Inventarios de soporte (cintoteca, backup,
procedimientos de archivos, controles de
salida y recuperacin de soporte, control
de copias, etc.)
Es un conjunto de normas sobre calidad y gestin continua de
calidad, establecidas por la International Organization for
Standardization/Organizacin Internacional de Normalizacin
(ISO). Se pueden aplicar en cualquier tipo de organizacin o
actividad orientada a la produccin de bienes o servicios. Las
normas recogen tanto el contenido mnimo como las guas y
herramientas especificas de implantacin, como los mtodos
de auditoria.
Su implantacin, aunque supone un duro trabajo, ofrece numerosas
ventajas para las empresas, entre las que se cuentan con:
Estandarizar las actividades del personal que trabaja dentro de
la organizacin por medio de la documentacin.
Incrementar la satisfaccin del cliente.
Medir y monitorizar el desempeo de los procesos.
Disminuir re-procesos.
Incrementar eficacia y/o eficiencia de la organizacin en el logro
de sus objetivos.
Mejora continua en los procesos, productos, eficacia, etc.
Reducir las incidencias de produccin o prestacin de servicios.
Los objetivos van en un orden lgico de afuera a dentro

Edificio

Instalaciones

Equipamiento y telecomunicaciones

Datos

Persona
 Su fin es obtener evidencia fsica
Tcnicas:
Observacin de las instalaciones, sistemas, cumplimiento de
normas y procedimientos, etc.
Revisin analtica de documentacin sobre construccin y
preinstalaciones
Documentacin sobre seguridad fsica
Polticas y normas de actividad de sala
Normas y procedimientos sobre seguridad fsica de los datos
Contratos de seguros y de mantenimiento.
Entrevistas con directivos y personal fijo o temporal
Consultas tcnicos y peritos que formen parte de la plantilla o
independientes.
o Cuaderno de campo/Grabadora de audio
o Cmara fotogrfica / Cmara de video
Su uso debe ser discreto y siempre con consentimiento del
personal
El auditor informtico no debe desarrollar su actividad como una mera funcin
policial, debe dar una imagen de colaborador ayudando que en la de
fiscalizador o caza- infractores.
Auditor informtico interno
Revisar los controles relativos a Seguridad Fsica
Revisar el cumplimiento de los procedimientos
Evaluar Riesgos
Revisin de cumplimiento de las Polticas y Normas sobre Seguridad Fsica
Efectuar Auditorias programadas e imprevistas
Auditor Informtico externo
Revisar las funciones de los auditores internos
Mismas responsabilidades que los auditores internos
Revisar los Planes de Seguridad y Contingencia
Emitir informes y recomendaciones
 8. Discusin con 9. Informe final:
1. Alcance de la
los responsables informe, anexo y
auditoria
de rea evidencias

10. Seguimiento
2. Adquisicin de
7. Borrador del de las
informacin
informe modificaciones
general
acordadas

3. Administracin 4. Plan de
y planeacin auditoria

6. Conclusiones y 5. Resultado de
Comentarios las pruebas
Siguiendo la tcnica del check-list:
Fase de adquisicin de informacin
Acuerdo de Empresa para el Plan de Contingencia
Acuerdo de un Proceso Alternativo
Proteccin de datos
Manual del Plan de contingencia