El documento describe los aspectos clave de la seguridad física y la auditoría física. Explica las áreas de seguridad física como los centros de procesamiento de datos, equipos, comunicaciones y seguridad del personal. También cubre las técnicas de auditoría como observación, revisión analítica e entrevistas, así como las responsabilidades de los auditores internos y externos.
2. La Auditoria Física no se limita a comparar solo la existencia
de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
3. Seguridad Física
Garantiza la integridad de los
activos humanos, lógicos y
materiales del Objeto a analizar.
4. Desastre; es cualquier
evento que cuando ocurre
tiene la capacidad de
interrumpir el normal
proceso de una empresa.
Por eso se tiene que
ejecutar un plan de
contingencia adecuado.
Antes Durante
Grado de Seguridad; es un
conjunto de acciones
utilizadas para evitar el fallo
o, en su caso, aminorar las Después Los contratos de seguros, vienen a
consecuencias que de el se compensar las perdidas, gastos o
puede derivar. responsabilidades una vez
Por lo que se toma corregido el Fallo.
encuentra los activos de la
empresa
Medidas a preparar según el momento
del Fallo
5.
6. AREAS DE LA SEGURIDAD FISICA
Se considerara todas las áreas siempre considerando el aspecto
físico de la seguridad y que serán tales como:
Organigrama de la Empresa
Auditoria Interna.
Administración de la Seguridad
Centros de Procesos de datos e instalaciones.
Equipos y Comunicación
Computadoras Personales
Seguridad Física del Personal
Organigrama de la Empresa
Nos servirá para conocer las dependencias orgánicas funcionales
y jerárquicas de los departamentos y los distintos cargos del
personal.
7. Áreas de Seguridad Física
Auditoría interna: Es un departamento independiente, que debe guardar
las auditorias pasadas, normas, procedimientos y planes de seguridad
física.
Administración de la seguridad: Distribución de
responsabilidades, funciones, dependencias y cargos en los
componentes.
Centro de procesos de datos e instalaciones: Ayudan a la realización de
la función informática y proporcionan seguridad las personas
Sala de Host
Sala de Operadores
Sala de impresoras
Cámara Acorazada
Oficinas
Almacenes….
8. …Áreas de Seguridad Física
Computadores personales: Equipos en los que hay que
tener mucho cuidado especialmente cuando están
conectados a la red por seguridad de los datos.
Equipos y comunicaciones.: El auditor debe tomar en
cuenta que estos equipos son especiales debido a que en
ellos se almacena toda la información.
Seguridad física del personal: Salidas y accesos
seguros, todo lo que tiene que ver con plan de contingencia
para el personal
9. Fuentes de Auditoría Física
Políticas, Normas y planes sobre seguridad emitidos y distribuidos por
la dirección de la empresa y por el departamento de seguridad.
Auditorias anteriores referentes a la seguridad física.
Contratos seguros
Entrevistas con el personal de seguridad informático y otras cosas
Actas e informes técnicas y consultores, que permitan diagnosticar el
estado físico del edificio
Informe sobre acceso y visitas
Políticas del personal, planificación y distribución de
tareas, contratos, etc.
Inventarios de soporte Back-up, controles de salida y recuperación de
soportes.
10. Objetivos de la Auditoría Física
Se basa en la lógica “de fuera adentro” los objetivos de la
auditoría física se basan en prioridades con el siguiente
orden:
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personas
13. Técnicas - Observación
Instalaciones
Sistemas
Cumplimiento de Normas
Cumplimiento de Procedimientos
Etc.
No solo como espectador sino también como actor.
14. Técnicas - Revisión Analítica
Políticas y Normas de Actividad de Sala
Normas y Procedimientos sobre seguridad física de los
datos.
Contratos de Seguros y de Mantenimiento
Documentación sobre:
Construcción y Preinstalaciones
Seguridad Física
18. Responsabilidades de los
Auditores
• No debe realizar su actividad como una mera función policial
• Debe esforzarse más en dar una imagen de colaborador que intenta ayudar
19. Auditor Informático Interno
Revisar
Controles relativos a Seguridad Física
Cumplimiento de los Procedimientos
Cumplimiento de Políticas y Normas sobre Seguridad Física así como
de las funciones de los distintos Responsables y Administradores de
Seguridad
Evaluar Riesgos
Participar sin perder independencia en:
Selección, adquisición e implantación de equipos y materiales
Planes de Seguridad y de
Contingencia, seguimiento, actualización, mantenimiento y prueba de
los mismos
Efectuar auditorías programadas e imprevistas
Emitir Informes y efectuar el seguimiento de las recomendaciones
20. Auditor Informático Externo
Revisar las funciones de los auditores internos
Mismas responsabilidades que los auditores internos
Revisar los Planes de Seguridad y Contingencia.
Efectuar pruebas sobre los planes antes mencionados
Emitir informes y recomendaciones
21. Fases de la Auditoría Física
El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a las siguientes
fases
22. Fases
1. Alcance de la Auditoría
2. Adquisición de Información General
3. Administración y Planificación
4. Plan de Auditoría
5. Resultado de las Pruebas
6. Conclusiones y Comentarios
23. Fases
7. Borrador del Informe
8. Discusión con los Responsables de Área
9. Informe Final
Informe
Anexo al Informe
Carpeta de Evidencias
10. Seguimiento de las Modificaciones acordadas
24. Bibliografía
Piattini Velthusis, M. G., & Navarro, E. d. (2001). Auditoría
Informática: Un enfoque práctico (2ª edición ed.). (A. G.
Editor, Ed.) Madrid, España: RA-MA.