Tema 4

Auditoria Informática

La auditoría física
Tema IV

¡No compliques tu trabajo!
Concibe la solución más
simple al PROBLEMA.
Aprende a centrarte en las
SOLUCIONES y no, en los
PROBLEMAS.

Introducción
• Lo físico es para dar un soporte tangible.
• No es solo Hardware
• En toda actividad se mezcla lo físico lo
funcional y lo humano.
• La auditoria física no se debe limitar a
comprobar la existencia de los medios
físicos sino también su funcionalidad
racionalidad, y SEGURIDAD.

La seguridad física
• Existen tres tipos de seguridad:
– Seguridad lógica.
– Seguridad física.
– Seguridad de las comunicaciones.
• La seguridad física garantiza la integridad de los
activos humanos, lógicos y materiales
• Contingencia: es la proximidad de algún daño
como riesgo de fallo local o general en una
relación con la cronológica.


Seguridad de la Información

1. La seguridad física se refiere a la protección del Hardware y de los
soportes de datos, así como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc.
2. La seguridad lógica se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, así como la del
ordenado y autorizado acceso de los usuarios a la información.



1. El propósito de la Seguridad Física es prevenir el acceso físico no
autorizado, daños a las instalaciones e interrupciones al procesamiento
de información.



• Perímetro de Seguridad Física
– Las instalaciones de procesamientode información deben estar protegidas contra
interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es
necesario mantener un perímetro de seguridad en torno a las instalaciones físicas
que cumpla con tal objetivo.
– El nivel de seguridad de la información debe estar asociado al nivel de impacto
que provocaría una interrupción en los procesos de la empresa, el daño a la
integridad y la divulgación de la información reservada o confidencial.



• Controles Físicos
– Las áreas de procesamiento deben contar con controles de acceso que
aseguren el ingreso solo a personal autorizado. Los siguientes
controles deben ser considerados:
• Exigencia de portar la identificación al momento del ingreso y
durante el periodo en que se encuentra en la instalación.
• Supervisión para los visitantes y personal que no cumple labores
frecuentes.
• Registro con fecha y hora de entrada y salida de personal.
• Los derechos de acceso deben ser periódicamente revisados y
actualizados.



• Controles Físicos (continuación…)
– Seguridad en las oficinas:
• Todos los lugares en que se declare trabajar con información
sensible, deben contar con medidas que eviten el acceso del
público y personal no autorizado.
• Las áreas comerciales deben contar con mecanismos de seguridad
que impidan el acceso no autorizado a información sensible que
manejen, sobre todo en horario de atención de público.
• Las máquinas de fax, fotocopiadoras y equipamiento que manejan
información sensible, deben estar ubicado dentro del área
protegida.



• Controles Físicos (continuación…)
– Áreas de recepción y despacho:
• Las áreas de recepción y despacho deben ser controlada y en la medida de
lo posible, aisladas de áreas que manejen información sensible, para evitar
el acceso no autorizado.
• Los requerimientos de seguridad de tales áreas deben estar determinados
por una evaluación de riesgos.



• Seguridad Lógica

– Control de Acceso: su propósito es evitar el acceso no autorizado a la
información digital e instalaciones de procesamiento de datos.
• Administración de usuarios;
1. El nivel de acceso asignado debe ser consistente con el propósito del
negocio.
2. Todo usuario que acceda a los sistemas de información de la empresa,
debe tener asignado un identificador único (user ID), que permita
establecer responsabilidades individuales en el uso de los sistemas de
información.
3. Los permisos asignados a los usuarios deben estar adecuadamente
registrados y protegidos.




– Administración de usuarios (continuación)
4. Cualquier cambio de posición o función de un rol, amerita evaluación de
los permisos asignados, con el fin de realizar las modificaciones que
correspondan en forma oportuna .
5. Los sistemas de información de la organización, deben contar con
mecanismos robustos de autenticación de usuarios, sobre todo de
aquellos usuarios conectados desde redes externas.
6. La creación, modificación y eliminación de claves debe ser controlada a
través de un procedimiento formal.




– Control de red
1. La empresa debe contar con controles que protejan la información
dispuesta en las redes de información y los servicios interconectados,
evitando así accesos no autorizados (ejemplo; firewalls).
2. Debe existir un adecuado nivel de segregación funcional que regule las
actividades ejecutadas por los administradores de redes, operaciones y
seguridad.
3. Deben existir Logs de eventos que permita el monitoreo de incidentes de
seguridad en redes.




– Control de datos
1. La empresa debe contar con controles que protejan la información
dispuesta en las bases de datos de las aplicaciones, evitando así
accesos no autorizados.
2. Debe existir un adecuado nivel de segregación de funciones que regule
las actividades ejecutadas por los administradores de datos.
3. Se debe mantener un Log de actividades que registre las actividades de
los administradores de datos.
4. Los usuarios deben acceder a la información contenida en las bases de
datos, únicamente a través de aplicaciones que cuentan con
mecanismos de control que aseguren el acceso a la información
autorizada (clave de acceso a la aplicación)




– Encriptación
1. El nivel de protección de información debe estar basado en un análisis de
riesgo.
2. Este análisis debe permitir identificar cuando es necesario encriptar la
información, el tipo, calidad del algoritmo de encriptación y el largo de las
claves criptográficas a ser usadas.
3. Toda información clasificada como restringida y confidencial debe ser
almacenada, procesada y transmitida en forma encriptada.
4. Todas las claves criptográficas deben estar protegidas contra modificación,
perdida y destrucción.




– Administración de claves
1. Las claves deben estar protegidas contra accesos y modificación no
autorizada, perdida y destrucción.
2. El equipamiento utilizado para generar y almacenar las claves debe estar
físicamente protegido.
3. La protección de las claves debe impedir su visualización, aun si se vulnera
el acceso al medio que la contiene.




– Uso de Passwords; Las passwords o claves de usuario son un elemento
importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar
una clave segura para el acceso a los sistemas de la organización. Esta clave
segura tiene la condición de personal e intransferible.
– Se considera una clave débil o no segura cuando:
1. La clave contiene menos de ocho caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso común tal como: nombre de un familiar,
mascota, amigo, colega, etc.
4. La clave es fecha de cumpleaños u otra información personal como
direcciones y números telefónicos.




– Se considera una clave segura cuando;
1. La clave contiene may de ocho caracteres.
2. La clave contiene caracteres en minúscula y mayúscula.
3. La clave tiene dígitos de puntuación, letras y números intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga
5. Fácil de recordar.




– Intercambio de Información; prevenir la perdida, modificación o
acceso no autorizado y el mal uso de la información que la empresa
intercambia como parte de sus procesos de negocio.
• Acuerdos de intercambio; en todos los casos de intercambio de
información sensible, se deben tomar todos los resguardos que eviten
su revelación no autorizada.
• Todo intercambio de información debe estar autorizada expresamente
por el dueño de esta.




– Intercambio de Información (continuación…).
• Seguridad de los medios removibles;
• El dueño de la información es quien autoriza a través de algún medio
removible desde la organización.
• Los dispositivos que permiten a los computadores manejar medios
removibles, deben ser habilitados cuando haya una razón de negocio para
hacerlo y previa autorización del dueño de la información.




– Seguridad en el comercio electrónico.
• La información involucrada en comercio electrónico y que pasa por redes
publicas, debe estar protegida de actividades fraudulentas, disputas
contractuales y revelaciones o modificaciones no autorizadas.




– Seguridad en el correo electrónico.
• El correo electrónico es provisto por la empresa a los empleados y
terceras partes, para facilitar el desempeño de sus funciones.
• La asignación de esta herramienta de trabajo debe hacerse
considerando una evaluación de riesgo.
• El correo es personalizado, es decir no es aceptable la utilización del
correo de otra persona, por tanto se asume responsable del envío al
remitente (DE:) y no quien lo firma.

La auditoría física

La Auditoria Física no se limita a comparar
solo la existencia de los medios físicos,
sino también su funcionalidad,
racionalidad y seguridad.

Definición de auditoria física

Riesgo Control Pruebas

SEGURIDAD FÍSICA

Garantiza la integridad de los
activos humanos, lógicos y
materiales del Objeto a analizar.

Desastre; es cualquier
evento que cuando
ocurre tiene la capacidad
de interrumpir el normal
proceso de una empresa.
Por eso se tiene que
ejecutar un plan de
contingencia adecuado.
Antes Durante

Grado de Seguridad; es
un conjunto de acciones
utilizadas para evitar el
fallo o, en su caso, Después Los contratos de seguros, vienen
aminorar las a compensar las perdidas,
consecuencias que de el gastos o responsabilidades una
se puede derivar. vez corregido el Fallo.
Por lo que se toma
encuentra los activos de la
empresa

Medidas a preparar según el
momento del Fallo

AREAS DE LA SEGURIDAD FISICA
• Se considerara todas las áreas siempre considerando
el aspecto físico de la seguridad y que serán tales
como:
 Organigrama de la Empresa
 Auditoria Interna.
 Administración de la Seguridad
 Centros de Procesos de datos e instalaciones.
 Equipos y Comunicación
 Computadoras Personales
 Seguridad Física del Personal
Organigrama de la Empresa
• Nos servirá para conocer las dependencias
orgánicas funcionales y jerárquicas de los
departamentos y los distintos cargos del personal.

Áreas de Seguridad Física
• Auditoría interna: Es un departamento independiente, que debe
guardar las auditorias pasadas, normas, procedimientos y planes de
seguridad física.
• Administración de la seguridad: Distribución de
responsabilidades, funciones, dependencias y cargos en los
componentes.
• Centro de procesos de datos e instalaciones: Ayudan a la
realización de la función informática y proporcionan seguridad las
personas
 Sala de Host
 Sala de Operadores
 Sala de impresoras
 Cámara Acorazada
 Oficinas
 Almacenes….

…Áreas de Seguridad Física
• Computadores personales: Equipos en los
que hay que tener mucho cuidado
especialmente cuando están conectados a la
red por seguridad de los datos.
• Equipos y comunicaciones.: El auditor debe
tomar en cuenta que estos equipos son
especiales debido a que en ellos se almacena
toda la información.
• Seguridad física del personal: Salidas y
accesos seguros, todo lo que tiene que ver con
plan de contingencia para el personal

Fuentes de Auditoría Física
• Políticas, Normas y planes sobre seguridad emitidos y
distribuidos por la dirección de la empresa y por el
departamento de seguridad.
• Auditorias anteriores referentes a la seguridad física.
• Contratos seguros
• Entrevistas con el personal de seguridad informático y
otras cosas
• Actas e informes técnicas y consultores, que permitan
diagnosticar el estado físico del edificio
• Informe sobre acceso y visitas
• Políticas del personal, planificación y distribución de
tareas, contratos, etc.
• Inventarios de soporte Back-up, controles de salida y
recuperación de soportes.

Objetivos de la Auditoría Física
• Se basa en la lógica “de fuera adentro” los
objetivos de la auditoría física se basan en
prioridades con el siguiente orden:
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personas

TÉCNICAS Y HERRAMIENTAS
DEL AUDITOR
Su fin es obtener la evidencia física

Técnicas
• Observación
• Revisión analítica
• Entrevistas
• Consultas

Técnicas - Observación
• Instalaciones
• Sistemas
• Cumplimiento de Normas
• Cumplimiento de Procedimientos
• Etc.

• No solo como espectador sino también como actor.

Técnicas - Revisión Analítica
• Políticas y Normas de Actividad de Sala
• Normas y Procedimientos sobre seguridad
física de los datos.
• Contratos de Seguros y de Mantenimiento
• Documentación sobre:
– Construcción y Preinstalaciones
– Seguridad Física

Técnicas - Entrevistas
• Directivos
• Personal

• Que no de la sensación de interrogatorio

Técnicas - Consultas
• Técnicos y peritos que formen parte de la
plantilla o independientes contratados

Herramientas
• Cuaderno de Campo
• Grabadora de Audio
• Máquina Fotográfica
• Cámara de Video

RESPONSABILIDADES DE
LOS AUDITORES

• No debe realizar su actividad como una mera función policial
• Debe esforzarse más en dar una imagen de colaborador que
intenta ayudar

Auditor Informático Interno
• Revisar
– Controles relativos a Seguridad Física
– Cumplimiento de los Procedimientos
– Cumplimiento de Políticas y Normas sobre Seguridad Física así
como de las funciones de los distintos Responsables y
Administradores de Seguridad
• Evaluar Riesgos
• Participar sin perder independencia en:
– Selección, adquisición e implantación de equipos y materiales
– Planes de Seguridad y de Contingencia, seguimiento,
actualización, mantenimiento y prueba de los mismos
• Efectuar auditorías programadas e imprevistas
• Emitir Informes y efectuar el seguimiento de las
recomendaciones

Auditor Informático Externo
• Revisar las funciones de los auditores
internos
• Mismas responsabilidades que los
auditores internos
• Revisar los Planes de Seguridad y
Contingencia.
• Efectuar pruebas sobre los planes antes
mencionados
• Emitir informes y recomendaciones

FASES DE LA AUDITORÍA
FÍSICA

El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a
las siguientes fases

Fases
1. Alcance de la Auditoría
2. Adquisición de Información General
3. Administración y Planificación
4. Plan de Auditoría
5. Resultado de las Pruebas
6. Conclusiones y Comentarios

Fases
7. Borrador del Informe
8. Discusión con los Responsables de Área
9. Informe Final
– Informe
– Anexo al Informe
– Carpeta de Evidencias
10.Seguimiento de las Modificaciones
acordadas

Tema 4

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Tema 4

Más de Carmelo Branimir España Villegas

Tema 4