El documento describe los aspectos fundamentales de la auditoría física. Explica que la auditoría física evalúa la seguridad física del entorno donde se desarrolla la actividad profesional para verificar la funcionalidad y seguridad de los medios físicos. Analiza los conceptos de seguridad física, las áreas de revisión como el edificio e instalaciones, y las técnicas como observación y revisión documental.
1. Auditoría Física
En esta área se proporciona evidencia del
nivel de la seguridad física en el ámbito en
el que se va a desarrollar la actividad
profesional, no limitándose a comprobar que
existen los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.
Auditoría de Sistemas de Información, Unidad de Competencia I
La seguridad física garantiza la integridad de
los activos humanos, lógicos y materiales en
un centro de procesamiento de información.
Existen tres momentos para responder ante
una falla en esta área, relacionados con la
cronología de la misma:
Antes, Durante y Después
2
1
2. Antes
Obtener y mantener un grado de
seguridad adecuado, por medio de un
conjunto de acciones que eviten el fallo o
disminuyan sus efectos. Es un concepto
general aplicable a cualquier actividad en
la que personas hagan uso de entornos
físicos.
Ubicación del edificio
Ubicación del centro de procesamiento dentro del edificio
División
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Seguridad de los medios
Medidas de protección
Duplicación de medios
3
Durante
Ejecutar un plan de contingencia adecuado, el cual
realice un análisis de riesgos de sistemas críticos,
establezca un periodo crítico de recuperación (del
desastre), realice un análisis de aplicaciones
críticas, establezca prioridades y objetivos de
recuperación, designe un Centro Alternativo de
Procesamiento, y asegure la capacidad de las
comunicaciones y de los servicios de back-up.
4
2
3. Después
Los Contratos de Seguros vienen a compensar, en mayor o
menor medida, las pérdidas, gastos o responsabilidades que se
pueden derivar para el Centro de Procesamiento de Información
una vez detectado y corregido el fallo.
Entre algunos tipos de seguros están:
Centro de proceso y equipamiento
Reconstrucción de medios de software
Gastos extra
Interrupción del negocio
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios
Contratos con proveedores y de mantenimiento
5
Áreas de la Seguridad Física
La revisión de la construcción y el estado de
la infraestructura del edificio en sí mismo no
es un objeto del que pueda diagnosticar un
auditor, sino que tendrá que apoyarse de
peritos independientes que den respuesta a
sus preguntas para lograr la valoración.
6
3
4. Organigrama de la empresa.
Auditoría interna.
Administración de la seguridad.
Centro de procesamiento e instalaciones.
Equipos y comunicaciones.
Computadoras personales.
Seguridad física del personal.
7
Fuentes de la auditoría física
Políticas, normas y planes sobre seguridad
Auditorías anteriores
Contratos de Seguros, de Proveedores y de Mantenimiento
Entrevistas con el personal de seguridad, informático y de otras
actividades (limpieza y mantenimiento, entre otros)
Actas e informes de técnicos y consultores
Plan de contingencia y valoración de las pruebas
Informes sobre accesos y visitas
Informes sobre pruebas de evacuación ante diferentes tipos de
amenaza
Informes sobre evacuaciones reales
Políticas de personal
Inventarios de soporte (back-up, procedimientos de archivo, control de
copias, etc.)
8
4
5. Son objetivo de la Auditoría física
El edificio
Las instalaciones
El equipamiento y las instalaciones
Los datos
Las personas
9
Técnicas
y Herramientas
Técnicas:
Observación de las instalaciones, sistemas, cumplimiento
de normas y procedimientos, no sólo como espectador
sino como actor.
Revisión analítica de documentación sobre la construcción
y preinstalaciones, documentación sobre la seguridad
física, políticas y normas de actividad, normas y
procedimientos sobre seguridad física de los datos,
contratos de seguros y mantenimiento.
Entrevistas con directivos y personal.
Consultas a técnicos y peritos independientes.
Herramientas
Cuaderno de campo, audiograbadora, cámara fotográfica y
de video…
10
5
6. Auditoría de la
Explotación
Para hacer el seguimiento y
comprobar que el SI está actuando
como debe, éste habrá de disponer
de un control interno que prevenga
los eventos no deseados, o en su
defecto que los detecte y los corrija.
Auditoría de Sistemas de Información, Unidad de Competencia I
Introducción
El nivel de competencia de las empresas les
obliga a tomar decisiones rápidas y
acertadas, por lo que es necesario que los
sistemas sean eficientes y eficaces
12
6
7. Definición de Explotación
La Explotación Informática se ocupa de
producir resultados informáticos de todo
tipo: listados impresos, archivos
soportados magnéticamente para otros
informáticos, órdenes automatizadas
para ejecutar o modificar
procesos industriales, etc.
13
Proceso de Auditoría en
Explotación
Para realizar la Explotación Informática se
dispone de una materia prima, los Datos, que
es necesario transformar, y que se someten
previamente a controles de integridad y
calidad.
14
7
8. La transformación se realiza por medio del
Proceso informático, el cual está gobernado
por programas. Obtenido el producto final,
los resultados son sometidos a varios
controles de calidad y, finalmente, son
distribuidos al cliente, al usuario.
15
Procedimiento de la Auditoría
INICIO
1. Contrato o solicitud
PLANIFICACIÓN
1. Planificación estratégica
a. Estudio y evaluación de riesgos
b. Establecimiento de objetivos
2. Planificación técnica
a. Programa de trabajo
REALIZAR EL TRABAJO
1. Actualización del programa de trabajo
2. Pruebas de cumplimiento
3. Pruebas sustantivas
REVISIONES E
1. Revisión del trabajo INFORMES
2. Elaboración de informes
3. Distribución de informes
FIN
1. Archivar los papeles de trabajo 16
8
9. División de la Auditoría
Evaluación de Controles generales:
Controles operativos y de organización
Desarrollo de programas
Sobre programas y equipo
Controles de acceso
Sobre procedimiento de datos
17
División de la Auditoría
Evaluación de las Aplicaciones
Sobre la captura de datos
De proceso
Salida y distribución
18
9
10. Clasificación según COBIT
Actividades y Tareas
Procesos
Dominios
Planificación y organización
Adquisición e implementación
Suministro y mantenimiento
monitorización
19
Fuente:
PIATTINI, Mario y Emilio del Peso. Auditoría
Informática.
Un enfoque práctico. Editorial RA-MA.
20
10