SlideShare una empresa de Scribd logo
1 de 20
   La auditoría física no se debe
    limitar a comprobar la existencia
    de los medios físicos, sino también
    su funcionalidad, racionalidad y
    seguridad.
   La seguridad física Existen tres tipos de seguridad: Seguridad
    lógica. Seguridad física. Seguridad de las comunicaciones.
    La seguridad física garantiza la integridad de los activos
    humanos, lógicos y materiales Contingencia: es la
    proximidad de algún daño como riesgo de fallo local o
    general en una relación con la cronológica
   Antes
    › Obtener y mantener un nivel
      adecuado de seguridad física
      sobre los activos
   Durante
    › Ejecutar    un    plan      de
      contingencia adecuado
   Después
    › Los   contratos  de     seguros
      pueden compensar en mayor o
      menor medida las pérdidas,
      gastos o responsabilidades que
      se puedan derivar una vez
      detectado y corregido el Fallo.
 El nivel adecuado de seguridad física , o
  grado de seguridad, es un conjunto de
  acciones utilizadas para evitar el fallo, o
  aminorar las consecuencias.
 Es un concepto general , no solo
  informático, en las que las personas
  hagan uso particular o profesional de los
  entornos físicos.
   Ubicación del edificio
   Ubicación del CPD
   Compartimentación
   Elementos de construcción
   Potencia eléctrica
   Sistemas contra incendios
   Control de accesos
   Selección del personal
   Seguridad de los medios
   Medidas de protección
   Duplicación de los medios
   Desastre: es cualquier evento ,
    que cuando ocurre, tiene la
    capacidad de interrumpir e
    normal proceso de una
    empresa.
   Se debe contar con los medios
    para afrontarlo cuando éste
    ocurra.
   Los medios quedan definidos en
    el Plan de recuperación de
    desastres, junto con el centro
    alternativo de proceso de
    datos, constituyen el Plan de
    Contingencia.
   Plan de contingencia inexcusablemente
    debe:
    › Realizar un análisis de riesgos de sistemas críticos
    › Establecer un período crítico de recuperación
    › Realizar un análisis de las aplicaciones críticas
      estableciendo prioridades de proceso.
    › Establecer prioridades de procesos por días del
      año de las aplicaciones y orden de los procesos
    › Establecer objetivos de recuperación que
      determinen el período de tiempo (horas, días ,
      semanas) entre la declaración del desastre y el
      momento en que el centro alternativo puede
      procesar las aplicaciones críticas.
› Designar , entre los distintos tipos existentes,
  un centro alternativo de proceso de datos.
› Asegurar la capacidad de las
  comunicaciones
› Asegurar la capacidad de los servicios de
  Back-up
   De la gama de seguros pueden darse:
    › Centro de proceso y equipamiento
    › Reconstrucción de medios de software
    › Gastos extra ( continuidad de las operaciones y
      permite compensar la ejecución del plan de
      contingencia)
    › Interrupción del negocio ( cubre pérdidas de
      beneficios netos causados por la caida de
      sistemas)
    › Documentos y registros valiosos
   Edificio :
    › Debe encargarse a peritos especializados
   Las áreas en que el auditor chequea
    directamente :
    › Organigrama de la empresa
        Dependencias orgánicas, funcionales y jeráraquicas.
        Separación de funciones y rotación del personal
        Da la primera y más amplia visión del Centro de
         Proceso
    › Auditoría Interna
        Personal, planes de auditoria, historia de auditorias
         físicas
› Administración de la seguridad
   Director o responsable de la seguridad integral
   Responsable de la seguridad informática
   Administradores de redes
   Administradores de Base de datos
   Responsables de la seguridad activa y pasiva del
    entorno físico
   Normas, procedimientos y planes existentes
› Centro de proceso de datos e instalaciones
     Entorno en donde se encuentra el CPD
     Sala de Host
     Sala de operadores
     Sala de impresoras
     Cámara acorazada
     Oficinas
     Almacenes
     Instalaciones eléctricas
     Aire acondicionado
› Equipos y comunicaciones
   Host, terminales, computadores
    personales, equipos de
    almacenamiento masivo de datos,
    impresoras, medios y sistemas de
    telecomunicaciones.
› Seguridad física del personal
   Accesos seguros
   Salidas seguras
   Medios y rutas de evacuación,
    extinción de incendios, sistemas de
    bloqueos de puertas y ventanas
   Normas y políticas emitidas y
    distribuidas al personal referente al uso
    de las instalaciones por el personal
   Debieran estar accesibles:
    › Políticas , normas y planes de
        seguridad
    ›   Auditorías anteriores, generales o
        parciales
    ›   Contratos de seguros, de
        proveedores y de mantenimiento
    ›   Actas e informes de técnicos y
        consultores
    ›   Informes de accesos y visitas
    ›   Informes sobre pruebas de
        evacuación
    ›   Políticas del personal
    ›   Inventarios de soportes ( cintoteca
        , back-up, procedimientos de
        archivos, controles de salida y
        recuperación de soporte, control
        de copias, etc.)
   es un conjunto de normas sobre calidad y
    gestión continua de calidad, establecidas
    por la Organización Internacional de
    Normalización (ISO). Se pueden aplicar en
    cualquier tipo de organización o actividad
    orientada a la producción de bienes o
    servicios. Las normas recogen tanto el
    contenido mínimo como las guías y
    herramientas específicas de implantación,
    como los métodos de auditoría.
Su implantación, aunque supone un duro trabajo,
ofrece numerosas ventajas para las empresas, entre las
que se cuentan con:

Estandarizar  las actividades del personal que trabaja
dentro de la organización por medio de la
documentación
Incrementar la satisfacción del cliente
Medir y monitorizar el desempeño de los procesos
Disminuir re-procesos
Incrementar la eficacia y/o eficiencia de la
organización en el logro de sus objetivos
Mejorar continuamente en los procesos, productos,
eficacia, etc.
Reducir las incidencias de producción o prestación de
servicios
   Técnicas:
    › Observación      de    las   instalaciones,
      sistemas, cumplimiento de normas y
      procedimientos,     etc.   (   tanto    de
      espectador como actor)
    › Revisión analítica de:
        Documentación sobre construcción y
         preinstalaciones
        Documentación sobre seguridad física
        Políticas y normas de actividad de sala
        Normas y procedimientos sobre seguridad
         física de los datos
        Contratos de seguros y de mantenimiento
    › Entrevistas con directivos y personal fijo o
      temporal ( no es interrogatorio)
    › Consultas a técnicos y peritos que formen
      parte de la plantilla o independientes
Herramientas:
› Cuaderno de campo/ grabadora de audio
› Máquina fotográfica / cámara de video
   Su uso debe ser discreto y con autorización
› Fase 1 Alcance de la
    Auditoría
›   Fase 2 Adquisición de
    Información general
›   Fase 3 Administración y
    Planificación
›   Fase 4 Plan de auditoría
›   Fase 5 Resultados de las
    Pruebas
›   Fase 6 Conclusiones y
    Comentarios
› Fase 7 Borrador del Informe
› Fase 8 Discusión con los Responsables de
  Área
› Fase 9 Informe Final
   Informe – anexo al informe – carpeta de
    evidencias
› Fase 10 Seguimiento de las
 modificaciones acordadas

Más contenido relacionado

La actualidad más candente

Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
auli_torres
 
8. operations security
8. operations security8. operations security
8. operations security
7wounders
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticos
Aaron Crespo
 

La actualidad más candente (20)

Business continuity planning and disaster recovery
Business continuity planning and disaster recoveryBusiness continuity planning and disaster recovery
Business continuity planning and disaster recovery
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
 
Auditoria al area de redes
 Auditoria al area de redes Auditoria al area de redes
Auditoria al area de redes
 
Semana 11 controles y auditoría de la seguridad física
Semana 11   controles y auditoría de la seguridad físicaSemana 11   controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)
 
BUSINESS-CONTINUITY-AND-DISASTER-RECOVERY.pptx
BUSINESS-CONTINUITY-AND-DISASTER-RECOVERY.pptxBUSINESS-CONTINUITY-AND-DISASTER-RECOVERY.pptx
BUSINESS-CONTINUITY-AND-DISASTER-RECOVERY.pptx
 
8. operations security
8. operations security8. operations security
8. operations security
 
Continuidad de Negocios
Continuidad de NegociosContinuidad de Negocios
Continuidad de Negocios
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticos
 
090476 seguridad desistemas -día01 (1) (1)
090476  seguridad desistemas -día01 (1) (1)090476  seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informática
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
 
How to Audit Your Incident Response Plan
How to Audit Your Incident Response PlanHow to Audit Your Incident Response Plan
How to Audit Your Incident Response Plan
 
9 Bcp+Drp
9 Bcp+Drp9 Bcp+Drp
9 Bcp+Drp
 
Business Continuity - Business Risk & Management
Business Continuity - Business Risk & ManagementBusiness Continuity - Business Risk & Management
Business Continuity - Business Risk & Management
 
Business Continuity Planning
Business Continuity PlanningBusiness Continuity Planning
Business Continuity Planning
 

Similar a Auditoria de la seguridad fisica

Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
MAC Cartuche
 
La Auditoria FíSica
La Auditoria FíSicaLa Auditoria FíSica
La Auditoria FíSica
guesta5bc77
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
UNEFA
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informática
merytalopez
 

Similar a Auditoria de la seguridad fisica (20)

Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisica
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICA
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica
 
La Auditoria FíSica
La Auditoria FíSicaLa Auditoria FíSica
La Auditoria FíSica
 
La Seguridad Fisica Primera Parte
La Seguridad Fisica  Primera ParteLa Seguridad Fisica  Primera Parte
La Seguridad Fisica Primera Parte
 
auditoria-fisica-y logica de auditoria de sistemas
auditoria-fisica-y logica de auditoria de sistemasauditoria-fisica-y logica de auditoria de sistemas
auditoria-fisica-y logica de auditoria de sistemas
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
La auditoria fisica alejandro
La auditoria fisica alejandroLa auditoria fisica alejandro
La auditoria fisica alejandro
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas presentacion
Auditoria de sistemas presentacionAuditoria de sistemas presentacion
Auditoria de sistemas presentacion
 
89088110 seguridad-logica
89088110 seguridad-logica89088110 seguridad-logica
89088110 seguridad-logica
 
RECUPERACIÓN ANTE DESASTRES
RECUPERACIÓN ANTE DESASTRESRECUPERACIÓN ANTE DESASTRES
RECUPERACIÓN ANTE DESASTRES
 
Principales áreas de la auditoría informática
Principales áreas de la auditoría informáticaPrincipales áreas de la auditoría informática
Principales áreas de la auditoría informática
 
De lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoDe lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo acceso
 
Plan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptxPlan de recuperación de desastres .pptx
Plan de recuperación de desastres .pptx
 

Auditoria de la seguridad fisica

  • 1.
  • 2. La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
  • 3. La seguridad física Existen tres tipos de seguridad: Seguridad lógica. Seguridad física. Seguridad de las comunicaciones. La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales Contingencia: es la proximidad de algún daño como riesgo de fallo local o general en una relación con la cronológica
  • 4. Antes › Obtener y mantener un nivel adecuado de seguridad física sobre los activos  Durante › Ejecutar un plan de contingencia adecuado  Después › Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.
  • 5.  El nivel adecuado de seguridad física , o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.  Es un concepto general , no solo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
  • 6. Ubicación del edificio  Ubicación del CPD  Compartimentación  Elementos de construcción  Potencia eléctrica  Sistemas contra incendios  Control de accesos  Selección del personal  Seguridad de los medios  Medidas de protección  Duplicación de los medios
  • 7. Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa.  Se debe contar con los medios para afrontarlo cuando éste ocurra.  Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.
  • 8. Plan de contingencia inexcusablemente debe: › Realizar un análisis de riesgos de sistemas críticos › Establecer un período crítico de recuperación › Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso. › Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos › Establecer objetivos de recuperación que determinen el período de tiempo (horas, días , semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.
  • 9. › Designar , entre los distintos tipos existentes, un centro alternativo de proceso de datos. › Asegurar la capacidad de las comunicaciones › Asegurar la capacidad de los servicios de Back-up
  • 10. De la gama de seguros pueden darse: › Centro de proceso y equipamiento › Reconstrucción de medios de software › Gastos extra ( continuidad de las operaciones y permite compensar la ejecución del plan de contingencia) › Interrupción del negocio ( cubre pérdidas de beneficios netos causados por la caida de sistemas) › Documentos y registros valiosos
  • 11. Edificio : › Debe encargarse a peritos especializados  Las áreas en que el auditor chequea directamente : › Organigrama de la empresa  Dependencias orgánicas, funcionales y jeráraquicas.  Separación de funciones y rotación del personal  Da la primera y más amplia visión del Centro de Proceso › Auditoría Interna  Personal, planes de auditoria, historia de auditorias físicas
  • 12. › Administración de la seguridad  Director o responsable de la seguridad integral  Responsable de la seguridad informática  Administradores de redes  Administradores de Base de datos  Responsables de la seguridad activa y pasiva del entorno físico  Normas, procedimientos y planes existentes › Centro de proceso de datos e instalaciones  Entorno en donde se encuentra el CPD  Sala de Host  Sala de operadores  Sala de impresoras  Cámara acorazada  Oficinas  Almacenes  Instalaciones eléctricas  Aire acondicionado
  • 13. › Equipos y comunicaciones  Host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. › Seguridad física del personal  Accesos seguros  Salidas seguras  Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de puertas y ventanas  Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal
  • 14. Debieran estar accesibles: › Políticas , normas y planes de seguridad › Auditorías anteriores, generales o parciales › Contratos de seguros, de proveedores y de mantenimiento › Actas e informes de técnicos y consultores › Informes de accesos y visitas › Informes sobre pruebas de evacuación › Políticas del personal › Inventarios de soportes ( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperación de soporte, control de copias, etc.)
  • 15. es un conjunto de normas sobre calidad y gestión continua de calidad, establecidas por la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios. Las normas recogen tanto el contenido mínimo como las guías y herramientas específicas de implantación, como los métodos de auditoría.
  • 16. Su implantación, aunque supone un duro trabajo, ofrece numerosas ventajas para las empresas, entre las que se cuentan con: Estandarizar las actividades del personal que trabaja dentro de la organización por medio de la documentación Incrementar la satisfacción del cliente Medir y monitorizar el desempeño de los procesos Disminuir re-procesos Incrementar la eficacia y/o eficiencia de la organización en el logro de sus objetivos Mejorar continuamente en los procesos, productos, eficacia, etc. Reducir las incidencias de producción o prestación de servicios
  • 17. Técnicas: › Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor) › Revisión analítica de:  Documentación sobre construcción y preinstalaciones  Documentación sobre seguridad física  Políticas y normas de actividad de sala  Normas y procedimientos sobre seguridad física de los datos  Contratos de seguros y de mantenimiento › Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio) › Consultas a técnicos y peritos que formen parte de la plantilla o independientes
  • 18. Herramientas: › Cuaderno de campo/ grabadora de audio › Máquina fotográfica / cámara de video  Su uso debe ser discreto y con autorización
  • 19. › Fase 1 Alcance de la Auditoría › Fase 2 Adquisición de Información general › Fase 3 Administración y Planificación › Fase 4 Plan de auditoría › Fase 5 Resultados de las Pruebas › Fase 6 Conclusiones y Comentarios
  • 20. › Fase 7 Borrador del Informe › Fase 8 Discusión con los Responsables de Área › Fase 9 Informe Final  Informe – anexo al informe – carpeta de evidencias › Fase 10 Seguimiento de las modificaciones acordadas