LA AUDITORIA FISICA

Por: Auliria Torres

INTRODUCCION

El soporte físico es un parte de la Informática que da soporte a la misma.

Lo físico es todo lo que comprende al computador en si, así como otros conceptos o virtualidades que influyen en su entorno.

La Auditoria proporciona la evidencia de la Seguridad Física que poseen los medios físicos dentro de una organización.

La Seguridad Física

Las fronteras que delimitan las responsabilidades de los tres tipos de seguridad como son: seguridad lógica, seguridad física, seguridad de las comunicaciones, aún no están bien definidas.

La seguridad física garantiza la integridad de los datos, de posibles fallos que puedan suceder dentro de la empresa.

Antes

Se debe mantener un grado adecuado de seguridad física, para evitar fallos o aminorar las consecuencias de los mismos. Entre estos tenemos:

3. Ubicación del edificio4. Ubicación del CPD dentro del edificio5. Elementos de construcción6. Potencia eléctrica7. Sistemas contra incendios8. Control de accesos9. Selección de personal, etc.

Durante

Se debe contar con un plan de contingencia que minimice el impacto de un desastre. Un plan de contingencia debe:

2. Realizar un análisis de Riesgos de Sistemas Críticos que determine la Tolerancia de los Sistemas

3. Establecer un período crítico de recuperación.

4. Realizar un análisis de Aplicaciones críticas

1. Determinar las prioridades de Proceso.2. Establecer objetivos de recuperación que

determine el período de tiempo entre el desastre y los procesos de aplicaciones críticas.

3. Designar un centro alternativo de proceso de datos.

4. Asegurar la capacidad de las comunicaciones y servicios de Bak-up

Después Los contratos con Aseguradoras vienen a

remediar las pérdidas sufridas por algún desastre ocurrido. Entre ellos tenemos:

2. Centros de proceso y equipamiento.3. Reconstrucción de medios de software.4. Interrupción del negocio.5. Documentos y registros valiosos.6. Errores y omisiones7. Cobertura de fidelidad, etc. Los contratos de mantenimiento no son

Seguros; ya que se dedican a dar asistencia técnica.

Áreas de la Seguridad Física

El Auditor no tiene la capacidad suficiente para diagnosticar el tipo de infraestructura de un edificio, por lo que debe pedir asesoramiento a los Peritos externos.

Las áreas en las que el Auditor debe interesarse a parte del tipo de edificio, tienen relación directa con el hecho informático, siempre considerando la seguridad física.

Organigrama de la empresa: Así se podrá conocer como esta conformada la empresa y los distintos cargos de los empleados.

Auditoria Interna: Se encuentra subordinado o es independiente de la Auditoria Financiera, que guarda los datos sobre auditorias pasadas.

Administración de la Seguridad: Debe amparar las funciones de los empleados por ejemplo: Director de la seguridad integral, Responsable de la seguridad informática, Administradores de redes, de bases de datos,etc.

Centros de proceso de datos e instalaciones: Deben ayudar a realizar la función informática y a brindar la seguridad a las personas, materiales y soft.

Sala del Host Sala de operadores Sala de impresoras Cámara acorazada Oficinas Almacenes Sala de aire acondicionado, etc.

Equipos y comunicaciones: Son los elementos principales como: host, terminales, equipo de almacenamiento masivo, etc. Se debe examinar su ubicación y el control de acceso.

Computadoras personales: Cuando están en red pueden ser una causa de peligro pues se pueden acceder a los datos, por lo que se debe tener especial cuidado y mucha seguridad.

Seguridad física del personal: Entradas y saldas seguras, rutas de evacuación, sistema contra incendios, etc.

La Auditoria Física interna y externa es una parte de la auditoria general y solo difiere en el alcance de la misma.

Fuentes de la Auditoria Física Fuentes que deben estar accesibles en

todo momento dentro de CDP:5. Políticas normas y planes de seguridad6. Auditorias anteriores, generales y

parciales7. Contratos de seguros de proveedores y

mantenimiento.

1. Entrevistas con el personal de seguridad y de otras actividades.

2. Actas e informes de técnicos y consultores

3. Plan de contingencia y valoración de las pruebas

4. Informes sobre acceso y visitas 5. Informes sobre pruebas de evacuación6. Políticas de personal7. Inventarios de soporte (papel y

magnéticos)

Objetivos de la Auditoria Física

Los datos son el primer objetivo de toda seguridad, pero la seguridad física va un poco más allá, así tenemos como objetivos los siguientes:

3. Edificio4. Instalaciones5. Equipamiento y telecomunicaciones6. Datos7. Personas

Técnicas y herramientas del Auditor

Técnicas:

4. Observación de las instalaciones, sistemas, cumplimiento de normas, como actor comprobando el funcionamiento de las mismas.

6. Revisión analítica de: Documentación sobre instalación y preinstalaciones, sobre seguridad física, políticas y normas de actividad de sala, etc.

1. Entrevistas y directivos de personal fijo o temporal.

2. Consultas a técnicos y peritos que formen parte de la empresa o que sean externos.

Herramientas:

6. Cuaderno de campo / grabadora e audio7. Máquina fotográfica / cámara de video

Su uso debe ser discreto y siempre con permiso del personal entrevistado.

Responsabilidad del Auditor

El auditor no debe dar la impresión de ser un caza infractores, sino debe dar una imagen de colaborador para no provocar un ambiente tenso en el trabajo.

Auditor Informático interno:

5. Revisar los controles relativos a la seguridad física.

6. Revisar el cumplimiento de los procedimientos

7. Evaluar riesgos

Participar sin perder independencia en2. Selección, adquisición e implantación de

equipos3. Planes de seguridad y contingencia,

seguimiento, actualización, etc.

Revisión del cumplimiento de las políticas y normas de seguridad física.

Efectuar auditorias programadas e imprevistas

Emitir informes y efectuar recomendaciones

Auditor informático externo.

3. Revisar las funciones de los auditores internos

4. Mismas responsabilidades que los auditores internos

5. Revisar los planes de seguridad y contingencia, efectuar pruebas

Emitir informes y recomendaciones

Fases de la Auditoria Física

Según la metodología EDPAA las fases son las siguientes:

2. Alcance de la auditoria3. Adquisición de la información general4. Administración y planificación5. Plan de auditoria6. Resultado de las pruebas 7. Conclusiones y comentarios8. Borrador del informe9. Discusión con los responsables de área10. Informe final: Informe, Anexo al informe,

carpeta de evidencias.

Desarrollo de las Fases de la Auditoria Física

A continuación siguiendo la técnica del check-list para un mejor entendimiento de los conceptos, esta lista es orientativa:

Adquisición de Información:

5. Acuerdo de empresa para el plan de contingencia.

¿Hay algún acuerdo oral o escrito por parte de la Dirección?

Acuerdo de un proceso alternativo:2. ¿Está el acuerdo obligado e impuesto

legalmente cuando se produce un desastre?

3. ¿Proporciona el centro alternativo suficiente capacidad?, etc.

Protección de datos:6. ¿Tiene la empresa un centro externo para

el almacenamiento de los back-up?7. ¿Ha sido asignada prioridad de

restauración a cada aplicación?, etc.

Manual del Plan de contingencia:

3. ¿Cómo esta estructurado el plan?4. ¿Es fácil de seguir el plan en el caso de

un desastre?5. ¿Cómo se activa el plan ante un desastre?6. ¿Han sido probado estos procedimientos

en un test de desastre simulado?7. ¿Quién es el responsable de actualizar el

plan?