La auditora es el medio que va a proporcionar la evidencia o no de la Seguridad fsica en el mbito en el que se va a desarrollar la labor profesional.

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales de un Centro de proceso de datos (CPD).

Antes: Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos.

Ubicacin del edificio. Ubicacin del CPD dentro del edificio. Compartimentacin. Elementos de construccin. Potencia elctrica. Sistema contra incendios. Control de accesos. Seleccin de personal. Seguridad de los medios. Medidas de proteccin. Duplicacin de medios.

Durante: ejecutar un plan de contingencia adecuado.

El Plan de Contingencia debe: Realizar un Anlisis de Riesgos de Sistemas Crticos. Establecer un Periodo Critico de Recuperacin. Realizar un Anlisis de Aplicaciones Criticas. Determinar las Prioridades del Proceso. Establecer Objetivos de Recuperacin. Designar. Asegurar la Capacidad de las Comunicaciones. Asegurar la Capacidad de los Servicios de Back-up.

Despus: contratos de seguros que compensen las prdidas. De entre la gama de seguros, se pueden sealar: Centro de proceso y equipamiento. Reconstruccin de medios software. Gastos extras. Interrupcin del negocio. Documentos y registros valiosos. Errores y omisiones. Cobertura de fidelidad. Transporte de medios. Contratos con proveedores y de mantenimiento.

reas de Seguridad
organigrama de la empresa auditora interna administracin de la seguridad centro de proceso de datos e instalaciones equipos y comunicaciones computadores personales seguridad fsica del personal

Organigrama de la empresa
Por el se conocern las dependencias orgnicas, funcionales y jerrquicas de los departamentos y de los distintos cargos y empleos del personal pudiendo analizar, con ayuda de documentacin histrica.

Auditoria Interna
Departamento independiente o subordinado al de auditoria financiera, si existe y colaborador de este en cualquier caso, debe guardar las auditorias pasadas, las normas procedimientos y planes que sobre la seguridad fsica y su auditoria haya emitido y distribuido la auditoria competente dentro de la empresa

Administracin de la Seguridad
Vista desde una perspectiva general que ampare las funciones, dependencias, cargos y responsabilidades de los distintos componentes> Director o responsable de la seguridad integral. Responsable de la seguridad informtica. Administradores de redes. Administradores de base de datos. Responsables de la seguridad activa y pasiva del entorno fsico.

centro de proceso de datos e instalaciones

Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe realizar su funcin informtica. Se debe proporcionar seguridad a las pesonas, soft y a los materiales. Sala de Host Sala de operadores Sala de impresoras Cmara acorazada Oficinas Almacenes Sala de aparamenta elctrica Sala de aire acondicionado Sala de rea de descanso y servicios

Equipos y comunicacin
Son los elementos principales del CPD: host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones. El auditor debe inspeccionar su ubicacin dentro del CPD as como el control de acceso a los mismos como elementos restringidos

Computadores personales
Esencialmente cuando estn en red, son elementos muy potentes e indiscretos que pueden acceder a prcticamente cualquier lugar donde se encuentren los datos

Seguridad Fsica personal

Accesos y salidas seguras as como medios y rutas de evacuacin, extincin de incendios y medios y medios utilizados para ello, sistema de bloqueo de puertas y ventanas, zonas de descanso y servicios. Auditoria Fsica La auditoria Fsica, interna o externa, no es sino una auditoria parcial, por lo que no difiere de la auditoria general mas que en el alcance de la misma.

Fuente de auditoria fsica

Fuentes que debe de tener todo CPD polticas, normas y planes sobre seguridad auditoras anteriores contratos de seguros, proveedores, etc. entrevistas con el personal actas e informes de tcnicos plan de contingencia informes sobre accesos y visitas polticas de personal inventarios de soportes

Objetivo de la auditoria Fsica

Edificio instalaciones equipamiento y telecomunicaciones datos personas

TCNICAS

Observacin de las instalaciones, sistemas, cumplimientos de Normas y procedimientos. Etc. No solo como espectador sino tambin como actor comprobando por si mismo el perfecto funcionamiento y utilizacin de los conceptos anteriores.

REVISIN ANALTICA DE:

Documentacin sobre construccin y preinstalaciones. Documentacin sobre seguridad fsica. Polticas y normas de actividades de Sala. Normas y procedimientos sobre seguridad fsica de los datos. Contratos de seguros y de mantenimientos.

Entrevistas con directivos y personal, fijo o temporal, no de la sensacin de interrogatorio para vencer el natural recelo que el auditor suele despertar en los empleados.

Consultas a tcnicos y peritos que formen parte de la plantilla o independientes contratos.

HERRAMIENTAS
Cuaderno de campo / grabadora de audio. Maquina fotogrfica / cmara de video.
Su uso debe ser discreto y siempre con el consentimiento del personal si este va a quedar identificado en cualquier de las maquinas.

RESPONSABILIDADES DE LOS AUDITORES

El auditor informtico, en especial el Interno, no debe desarrollar su actividad como una mera funcin policial dando la impresin a los usuarios informativos y al resto de empleados de que se encuentran permanentemente vigilados. Esto crea un ambiente tenso y desagradable que en nada favorece ni a las relaciones personales ni al buen desarrollo del trabajo. El auditor debe esforzarse mas en dar una imagen de colaborador que intenta ayudar que en la de fiscalizador o caza-infractores. Para ello es necesario que en las Normas y Procedimientos emitidos por la Direccin figuren las funciones y responsabilidades de los auditores y que ambas sean distribuidas y conocidas por toda la plantilla de la empresa.

DENTRO DEL CAMPO DE RESPONSABILIDADES DE LOS AUDITORES

Auditor informtico interno.
Revisar los controles relativos a Seguridad Fsica. Revisar el cumplimiento de los Procedimientos. Evaluar riesgos. Efectuar auditorias programadas e imprevistas. Emitir informes y efectuar el seguimiento de las recomendaciones.

Auditor informtico externo.

Revisar las funciones de los auditores internos.
Mismas responsabilidades que los auditores internos. Revisar los planes de seguridad y Contingencia. Efectuar Pruebas. Emitir informes y recomendaciones.

FASES QUE CONFORMAN UNA AUDITORIA

Fase 1: Alcance de la Auditoria. Fase 2: Adquisicin de Informacin General. Fase 3: Administracin y Planificacin. Fase 4: Plan de Auditoria. Fase 5: Resultado de las Pruebas. Fase 6: Conclusiones y Comentarios. Fase 7: Borrador del Informe. Fase 8: Discusin con los Responsables de rea. Fase 9: Informe Final. Fase 10: Seguimiento de las Modificaciones acordadas.