Auditora Fsica, Auditora V Grupo No.

12
AUDITORA FSICA 1. Auditora Fsica La auditoria fsica, interna o externa, no es sino una auditoria parcial por lo que no difiere de la auditoria en general ms que en el alcance de la misma. Control Prueba Riesgo

En esta rea se proporciona evidencia del nivel de la seguridad fsica en el mbito en el que se va a desarrollar la actividad profesional, no limitndose a comprobar que existen los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La auditora fsica garantiza la integridad de los activos humanos, lgicos y materiales en un centro de procesamiento de informacin. Existen tres momentos para responder ante una falla en esta rea, relacionados con la cronologa de la misma:

Antes Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos fsicos. Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin Potencia elctrica Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin.

Pgina | 1

Auditora Fsica, Auditora V Grupo No. 12

Durante Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de riesgos de sistemas crticos, establezca un periodo crtico de recuperacin (del desastre), realice un anlisis de aplicaciones crticas, establezca prioridades y objetivos de recuperacin, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up.

Despus Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Informacin una vez detectado y corregido el fallo. Entre algunos tipos de seguros estn: Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos con proveedores y de mantenimiento. | Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos

2. reas de la Seguridad Fsica La revisin de la construccin y el estado de la infraestructura del edificio en s mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendr que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoracin. Las reas en las que el auditor ha de interesarse personalmente tienen relacin directa con el hecho informtico, como lo son: Organigrama de la empresa (para obtener amplia visin de conjunto del centro de proceso). Auditora interna (para conocer auditoras pasadas, relacionadas con la seguridad fsica).
Pgina | 2

Auditora Fsica, Auditora V Grupo No. 12

Administracin de la seguridad (normas, procedimientos y planes que haya emitido, distribuido y controlado el departamento). Centro de procesamiento e instalaciones (sala del Host, de operadores, de impresoras, oficinas, almacenes, de instalaciones elctricas, de aire acondicionado, de descanso y servicio). Equipos y comunicaciones (Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones). Computadoras personales (desde el punto de vista de acceso a datos y a la adquisicin de copias no autorizadas). Seguridad fsica del personal (accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios).

3. Fuentes de la Auditoria Fsica Polticas, normas y planes sobre seguridad Auditoras anteriores Contratos de Seguros, de Proveedores y de Mantenimiento Entrevistas con el personal de seguridad, informtico y de otras actividades (limpieza y mantenimiento) Actas e informes de tcnicos y consultores Plan de contingencia y valoracin de las pruebas Informes sobre accesos y visitas Informes sobre pruebas de evacuacin ante diferentes tipos de amenaza
Pgina | 3

Auditora Fsica, Auditora V Grupo No. 12

Informes sobre evacuaciones reales Polticas de personal Inventarios de soportes (cintoteca, back-up, procedimientos de archivo, control de copias, etc.)

4. Tcnicas Y Herramientas del Auditor Tcnicas: Observacin. Revisin analtica de: Documentacin sobre construccin y preinstalaciones. Documentacin sobre seguridad fsica. Polticas y normas de actividad de sala. Normas y procedimiento sobre seguridad de datos. Contratos de seguros y de mantenimiento. Entrevistas. Consultas.

Herramientas: Cuaderno de campo / grabadora de audio Mquina fotogrfica / cmara de video

5. Responsabilidades de los Auditores Auditor informtico interno:

Pgina | 4

Auditora Fsica, Auditora V Grupo No. 12

Revisar los controles relativos a seguridad fsica Revisar el cumplimiento de los procedimientos Evaluar Riesgos. Participar sin perder independencia en: Seleccin, adquisicin e implantacin de equipos y materiales. Planes de seguridad y de contingencia, seguimiento, actualizacin, mantenimiento y pruebas de los mismos. Revisin del cumplimiento de las polticas y normas sobre seguridad fsica as como de las funciones de los distintos responsables y administradores de seguridad. Efectuar entrevistas programadas e imprevistas. Emitir informes y efectuar el seguimiento de las recomendaciones. Auditor informtico externo: Revisar las funciones de los auditores internos. Las mismas responsabilidades de los auditores internos Revisar los planes de seguridad y contingencia. Efectuar pruebas. Emitir informes y recomendaciones.

Pgina | 5

Auditora Fsica, Auditora V Grupo No. 12

6. Fases De La Auditora Fsica FASE 1: Alcance de la Auditora Organizacin y cualificacin del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas tcnicos de Seguridad

FASE 2: Adquisicin de informacin General FASE 3: Administracin y Planificacin FASE 4: Plan de Auditora FASE 5: Recursos de las pruebas FASE 6: Conclusiones y recomendaciones FASE 7: Borrador del informe FASE 8: Discusin con los responsables del rea FASE 9: Informe final: Informe Anexo al Informe Carpetas de Evidencias

FASE 10: Seguimiento de las modificaciones acordadas

Pgina | 6

Auditora Fsica, Auditora V Grupo No. 12

7. Desarrollo De Las Fases De La Auditora Fsica Resulta clara la prctica idntica entre el ciclo de vida de la auditora fsica con cualquier otro de una auditora diferente. Como ejemplo desarrollaremos la fase 2 adquisicin de informacin general Referente a un plan de contingencia: Acuerdo de empresa para el plan de contingencia Hay algn acuerdo oral o escrito por parte de la direccin? Ha emitido o dirigido la empresa polticas o normas dirigidas al plan de contingencia? Qu persona o departamento tiene la responsabilidad del plan? Estn las responsabilidades del planteamiento bien definidas,

difundidas y entendidas por todo el personal? Se mantiene una estrategia corporativa en el plan? Todos los departamentos deben colaborar en el plan desde su propia especialidad o responsabilidad. Acuerdo de un proceso alternativo Est el acuerdo obligado legalmente cuando se produce un desastre? Es compatible el equipamiento del proceso de datos en el centro alternativo con el equipamiento en el CPD? Incluyen los presupuestos empresariales fondos destinados al desarrollo y mantenimiento del plan de contingencia? Proporciona el centro alternativo suficiente capacidad? Cundo fue la ltima vez que se prob el centro alternativo?
Pgina | 7

Auditora Fsica, Auditora V Grupo No. 12

Cules fueron los objetivos y el alcance de la prueba? Cueles fueron los resultados de la prueba?. Quedaron los resultados bien documentados? Han sido implementados acciones correctivas o estn previstas para una futura implementacin? Est prevista una prxima prueba el centro alternativo? Utiliza la empresa algn equipamiento de proceso que pueda no estar soportado por el centro Alternativo?

8. Proteccin de Datos Tiene la empresa un centro externo para el almacenamiento de backup? Se ha realizado alguna vez una auditora de las cintas y discos almacenados en el centro de back-up externo? Cul es el procedimiento de acceso al centro externo para obtencin de back-up en caso de desastres? Cul es el procedimiento de transporte de los back-up desde el centro externo al centro de proceso alternativo? Cul es la estrategia para la restauracin de programas?. Sern almacenadas las aplicaciones simultneamente o en fases basadas en prioridades? Ha sido asignada prioridad de restauracin a cada aplicacin? Han sido identificados todos los archivos crticos? Se han creado los back-up de los archivos crticos segn una base metodolgica?
Pgina | 8

Auditora Fsica, Auditora V Grupo No. 12

Existe un mnimo de tres copias de back-up en el centro externo? Existe copias actualizadas de los informes del sistema de gestin de cintas almacenadas en el centro de back-up externo?

9. Manual del Plan de Contingencia Cmo est estructurado el plan? Es fcil de seguir el plan en caso de desastre? Indica el plan quien es el responsable de desarrollar tareas especficas? Cmo de activa el plan ante un desastre? Cmo estn contenidos estos procedimientos de activacin de los procedimientos de emergencias normales de la empresa? Han sido probados estos procedimientos en un test de desastre simulado? Contiene el plan procedimientos que fijen los daos en las etapas iniciales de las operaciones de recuperacin? incluye el plan procedimientos para trasladar el proceso desde el centro alternativo al centro restaurado o nuevo? Contiene el plan listados del inventario del proceso de datos y hard de comunicaciones, software, formularios pre impresos y stock de papel y accesorios? Estn actualizados los listines telefnicos del personal de recuperacin as como empleados del proceso de datos, alta direccin, procesos finales, vendedores y suministradores? Cmo est mantenido el plan?
Pgina | 9

Auditora Fsica, Auditora V Grupo No. 12

Quin es el responsable de actualizar el plan? Se mantiene el log de distribucin del plan? Cundo fue actualizado el plan por ltima vez? Existe una copia de plan en el centro externo de back-up?

10. Objetivos Los objetivos van en un orden lgico de afuera a dentro: Edificio Instalaciones Equipamiento y telecomunicaciones Datos Persona

CONCLUSIONES
Pgina | 10

Auditora Fsica, Auditora V Grupo No. 12

La auditora fsica es muy importante en la preservacin y seguridad del edificio, las instalaciones telecomunicaciones equipos datos y personas. Las responsabilidades de los auditores referente a la seguridad fsica, compete tanto a los auditores internos y externos. Las fases de las auditoras fsicas, es importante porque permite desarrollar planes de contingencia y proteccin de los datos vitales en toda organizacin.

RECOMENDACIONES

Pgina | 11

Auditora Fsica, Auditora V Grupo No. 12

Establecer procedimientos para la realizacin de inventario de hardware el cual como mnimo debe incluir el nmero de serie, la fecha de instalacin, la ltima fecha de mantenimiento realizado, la plataforma de trabajo, en caso que se adquiera el software se debe registrar el nmero del documento con el que ingresa, el nmero de licencia, y el nmero del manual que se puede consultar para su mantenimiento y utilizacin .EL inventario de aplicaciones se debe realizar para cada computadora existente en las dependencia de Direccin. Realizar un mantenimiento preventivo de equipos informticos para reducir el ndice de equipos daados, minimizar la interrupcin en las tareas del usuario con el equipo daado y evitar el pago a terceros por el soporte tcnico. Formular vas para adquirir software licenciado. Controlar el ingreso de software y aplicaciones a la institucin por el personal. Las copias de seguridad debe realizarse semanalmente quedando una copia en la institucin y la otra debe ser guardada fuera de la organizacin en caso de que sucediera algn desastre. Desarrollar y hacer uso de normas y procedimientos para la instalacin y la actualizacin peridica de productos antivirus.

Pgina | 12

Auditora Fsica, Auditora V Grupo No. 12

Pgina | 13