la auditoria fisíca

5/17/2018 La auditoria fisíca - slidepdf.com

http://slidepdf.com/reader/full/la-auditoria-fisica-55b07d806d95b 1/17

LA AUDITORIA FISÍCA

Auditoria Informática



La auditoria proporciona la evidencia y no laSeguridad física

No se limita a comprobar la existencia de mediosfísicos, sino también su funcionalidad, racionalidad yseguridad

No solo es esto



SEGURIDAD FÍSICA

Tres tipos de seguridades: seguridad lógica,seguridad física y seguridad de lascomunicaciones.

Diferencias entre estas?Soft, hard, hard-soft, el hard soporta al soft y

el soft que mueve al hard ?



EL ANTESEL DURANTE ?EL DESPUÉS

La seguridad física garantiza la integridad de losactivos humanos, lógicos y materiales del CPD.

La contingencia o proximidad de un daño se definecomo un RIESGO de FALLO, local o general.

Y para esto se tiene en cuenta:



ANTES

Obtener y mantener un Nivel adecuado deSeguridad Física sobre los activos.Concepto aplicable a cualquier actividad no

solo informática del uso del entorno físico:o Ubicación del edificioo Ubicación del CPD dentro

del edificioo Compartimentacióno Elementos de

construccióno Potencia eléctricao Sistema contra incendios

o Control de accesoso Selección de personalo

Seguridad de losmedioso Medidas de proteccióno Duplicación de medios.



DURANTE

Ejecutar un plan de contingencias adecuadoDesastre paraliza actividadesDefinidos en el Plan de Recuperación de

Desastres y el Centro Alternativo de Procesode Datos constituye el PLAN DECONTINGENCIA.



EL PLAN DE CONTINGENCIA INEXCUSABLEMENTE DEBE:

Realiza un análisis de riesgos de sistemas críticos quedeterminen la tolerancia de los sistemas.

Establece un periodo Crítico de recuperación en el cual losprocesos deben ser reanudados antes de sufrir perdidas.

Realiza un análisis de aplicaciones críticas por el que seestablecerán las prioridades de proceso.

Determina las prioridades de proceso, por días del año, queindiquen cuales son las Aplicaciones y Sistemas críticos en elmomento que ocurren y el orden de proceso correcto.

Establece Objetivos de Recuperación que determinen el periodode tiempo entre la declaración de desastre y el momento delproceso del centro alternativo de las aplicaciones criticas.

Designa entre los distintos tipos existentes un CAPD. Asegura la capacidad de las comunicaciones. Asegura la capacidad de los servicios de Back-Up.



DESPUES

Centro de procesos y equipamiento

Reconstrucción de medios software Gastos extras Interrupción el negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento

Se basan en los contratos de seguros ypueden ser:



También Contratos de mantenimiento que

garanticen la asistencia técnica a los equipose instalaciones (fuera de la garantía)

No soy realmente seguros: Asistencia técnica, Se ubican en Nivel

adecuado de Seguridad Física (antes)

Asistencia de instalaciones, tanto en el nivel(antes) como en el Plan (durante).Su por su control administrativo se les

considera seguro.



ÁREAS DE SEGURIDAD FÍSICA

Toma en cuenta edificio y las circunstanciasexternas e internas que le afectan.

Auditor debe revisar la construcción y el estado

actual de la infraestructura? Debe diagnosticar el tema? Debe considerarse como la primera área a ser

revisada en la auditoria física Peritos adquisición de Información General y

certificaciones Pruebas para informe final Aspectos físicos a ser considerados:



ORGANIGRAMA DE LA EMPRESA

Dependencias orgánicas funcionales y jerárquicas Ubicación de cargos y empleados Análisis de la apropiada Separación de Funciones y

Rotación en el Trabajo Primera y más amplia visión de conjuntos del Centro

de Proceso

AUDITORIA INTERNA

Departamento independiente de la institución Revisar auditorias pasadas Revisar Normas, Procedimientos y planes sobre

seguridad física que se haya emitido y distribuido laautoridad de la institución



ADMINISTRACIÓN DE SEGURIDAD Revisar Normas, Procedimientos y planes sobre seguridad física que se

haya emitido y distribuido el departamento Director o Responsable de seguridad integral Responsable de seguridad informatica Administrador de redes Administrador de Base de datos

Responsables de la seguridad activa y pasiva del entorno físicoCENTRO DE PROCESO DE DATOS E INSTALACIONES Se debe proporcionar seguridad a las personas, soft y materiales Sala de Host Sala de Operadores Sala de Impresoras Oficinas Almacenes Sala de aparamenta eléctrica

Sala de aire acondicionado Área de descanso y servicios



EQUIPOS Y COMUNICACIONES

Elementos principales: host, terminales, computadores, etc. Inspeccionar ubicación, control de acceso y elementos restringidos

COMPUTADORES PERSONALES Conexión a la red Mecanismos de adquisición de copias (hard y soft) no automatizadas Conexión dedicadas a medios de comunicación.

SEGURIDAD FÍSICA DEL PERSONAL Accesos y salidas seguras, extintor de incendios y medios para ello Sistemas de bloqueo de puertas y ventanas, zonas de descanso y de

servicios Normas y políticas emitidas y distribuidas por la dirección referente al

uso de instalaciones por el personal.



FUENTES DE LA AUDITORIA FÍSICA

Varían el funcionamiento del CPD por diversascausas Fuentes que deben estar accesibles en un CPD: Políticas, Normas y Planes sobre Seguridad Auditorías anteriores, generales y parciales, referentes a seguridad orelacionados a seguridad física Contratos de seguros de proveedores y de mantenimiento. Entrevistas con el personal de seguridad, informático y otras, etc. Actas e informes de técnicos y consultores. Peritos, electricistas,

fontaneros, técnicos del aire acondicionado, etc. Plan de contingencias y valoración e pruebas. Informe sobre accesos y visitas, perimetral, interna y restringida.

Informes de pruebas Políticas de personal Inventarios de soportes (papel y magnético), backup , cintoteca, etc.

Plan de trabajo o plan de operaciones



OBJETIVOS DE LA AUDITORIA FÍSICA Edificio

Instalaciones Equipamiento y telecomunicaciones

TÉCNICAS Y HERRAMIENTAS DEL AUDITOR No se diferencian técnicas y herramientas porque su fin es la

Evidencia física TECNICAS . Observación, revisión analítica de: Doc. Construcción y preinstalaciones Doc. Sobre seguridad física Políticas y normas de Actividad de sala Normas y Procedimientos sobre seguridad física de datos Contratos de seguros y de mantenimiento

Entrevistas con directivos y personalConsultas a técnicos y peritos

HERRAMIENTAS cuaderno de campo, grabadora de audio, maq.Fotográfica, cámara de video

Datos Personas



RESPONSABILIDADES DEL AUDITOR No es una función policial, el trabajo ser socializado AUDITOR INFORMATICO INTERNO

Revisar controles relativos a seguridad física Revisar el cumplimiento de procedimientos Evaluar riesgos Participar sin perder independencia

Selección, adquisición e implementación de equipos y materiales Planes de seguridad y de contingencias

Revisión de cumplimientos de políticas y normas Efectuar auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las recomendaciones.

AUDITOR INFORMÁTICO EXTERNO Revisar las funciones de los auditores internos Mismas responsabilidades que los auditores internos Revisar planes de seguridad y contingencias, efectuar pruebas Emitir informes y recomendaciones



FASES DE LA AUDITORIA FÍSICA Fase1. Alcance de la auditoria Fase2. Adquisición de la Información General Fase3. Administración y Planificación Fase4. Plan de Auditoria Fase5. Resultado de las Pruebas Fase6. Conclusiones y comentarios Fase7. Borrador del informe Fase8. Discusión con los responsables de área Fase9. Informe final

Informe, anexo al informe, carpeta de evidencias

Fase10. Seguimiento de las modificacionesacordadas

la auditoria fisíca

Documents