AUDITORIA DE LA SEGURIDAD FISICA

AUDITORIA DE LA SEGURIDAD FISICA EN LA AREA

ACADEMICA DE COMPUTACION E INFORMATICA

Para muchos la seguridad sigue siendo el rea principal a auditoria, hasta el punto de que
algunas identidades se crearon inicialmente la funcin de auditoria informtica para revisar
la seguridad. La expresin de seguridad informtica, que es la ms usada, puede llegar a
relacionarse solo con los equipos y entornos tcnicos, como si la informacin en otros
soportes y ambiente no requiera proteccin, el negocio de la entidades con nimo de lucro,
lo que requiere proteccin. Debe de evaluarse en la auditoria si los modelos de seguridad
estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las
posibilidades de las comunicaciones. Los auditores somos en cierto modo los ojos y odos
de la direccin que a menudo no puede, o no debe, como realizar las verificaciones o
evaluaciones, el sistema de control interno ha de basarse en las polticas y se implementan
con apoyo de herramientas.

a) REAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD

Las reas generales citadas:
Los controles directivos, los fundamentos de seguridad: polticas, planes, funciones.
El desarrollo de las polticas.
Amenazas fsicas externas.
Control de accesos adecuados tanto fsicos como los denominados lgicos.
Comunicaciones y redes: topologas y tipos de comunicaciones, proteccin antivirus.
El entorno de produccin, entendido como tal explotacin ms tcnica
El desarrollo de aplicaciones en un entorno seguro

b) EVALUACION DE RIESGOS
Retrata de identificar los riesgos, cuantificar su probabilidad de impacto, y analizar
medidas que eliminen lo que generalmente no es posible o que disminuya la
probabilidad de que o curran los hechos o que mitiguen el impacto. Para evaluar riesgos
hay que considerar, entre otros factores, el tipo de informacin almacenada procesada
y transmitida, la criticidad de las aplicaciones, la tecnologa usada, el marco legal
aplicable, el sector de entidad, la entidad misma y el momento.
 AUDITORIA DE LA SEGURIDAD FISICA

c) EN UN PROCESO DE AUDITORIA
Se evaluara todos estos aspectos y otros, la seguridad es realmente una preocupacin
corporativa no es suficiente que exista presupuestos para ello, es necesario una cultura
de seguridad y as haya un comit que fije y apruebe los objetivos correspondiente y en
medida se alcanzan, que modelo de seguridad quieren implementar. Si la entidad
auditada est en medio de un proceso de implementacin de la seguridad, la evaluacin
se centrara en los objetivos, los planes, que proyectos hay en cursos y los medios
usados o previstos. La evaluacin de riesgos puede ser global: todos los sistemas de
informacin centro y plataformas.
La seguridad en sus tres dimensiones clsicas:
- La Confidencialidad: Las personas autorizadas pueden conocer los datos o la
informacin correspondientes.
- La Integridad: Consiste en que solo el usuario autorizados pueden variar los datos.
- La disponibilidad: Las personas autorizadas pueden acceder a tiempo a la
informacin a la que estn autorizadas.

d) FASES DE LA AUDITORIA DE SEGURIDAD

Concrecin de los objetivos y de limitacin del alcance y profundidad de la auditoria,
as como el periodo cubierto en su caso.
Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos
este proceso puede no existir.
Determinacin del plan de trabajo y de los recursos y plazos en casos necesarios,
as como en la comunicacin en la entidad.
Adaptacin de cuestionarios, y a veces consideracin de herramientas o perfiles de
especialistas necesarios, sobretodo en la auditoria externa.
Realizacin de entrevistas y pruebas.
Anlisis de resultados y valoracin de riesgos.
Presentacin y discusiones del informe provisional.
Informe definitivo.

e) AUDITORIA DE LA SEGURIDAD FSICA

Se evaluaran las protecciones fsicas de datos, programas instalaciones, equipos redes
y soportes, y por supuesto habr que considerar a las personas, que estn protegidas
 AUDITORIA DE LA SEGURIDAD FISICA

y existan medidas de evacuacin, alarmas, salidas alternativas, as como que no estn

expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso
en el sector.

f) AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo,
incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como
otros que afectan a las personas.

g) PROTECCIONES FSICAS ALGUNOS ASPECTOS A CONSIDERAR:

Ubicacin del centro de procesos, de los servidores locales, y en general de cualquier
elemento a proteger.
Estructura, diseo, construccin y distribucin de los edificios y de sus platas.
Riesgos a los accesos fsicos no controlados.
Amenaza de fuego, problemas en el suministro elctrico.
Evitar sustituciones o sustraccin de quipos, componentes, soportes magnticos,
documentacin u otros activos.

h) AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

Todos los desarrollos deben estar autorizados a distinto nivel segn la importancia del
desarrollo a abordar a los riesgos supera unos umbrales.
- REVISION DE PROGRAMAS
Por parte de tcnicos independientes
- PROTECCION DE LOS PROGRAMAS
Los programas que sean propiedad de la entidad, realizados por el personal propio
o contratado de su desarrollo a terceros.

i) AUDITORIA DE SEGURIDAD EN EL AREA DE PRODUCCION

Las entidades han de cuidar especialmente las medidas de proteccin en el caso de
contratacin de servicios: desde el posible marcado de datos, proceso, impresin de
etiquetas, distribucin, acciones comerciales, gestin de cobros , sin descartar que en
el contrato se provea la revisin por los auditores, internos o externos, de las
instalaciones de la entidad que provee el servicio.
 AUDITORIA DE LA SEGURIDAD FISICA

j) AUDITORIA DE LA SEGURIDAD DE LOS DATOS

La proteccin de los datos puede tener varios enfoques respecto a las caractersticas
citadas: la confidencialidad, disponibilidad e integridad. Desde el origen del dato, que
puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin,
incorporacin al sistema: por el cliente, por empleados, o bien ser captado por otra
forma, y debe revisarse como se verifican los errores.
- Proceso de los datos: Controles de validacin, integridad, almacenamiento.
- Salida de resultados: Controles en transmisiones, en impresin, en distribucin.
- Designacin de propietarios: Clasificacin de los datos, restriccin de su uso para
pruebas.
- Clasificacin de los datos e informacin: Debe revisarse quien la ha realizado y
segn qu criterios y estndares.
- Cliente-servidor: Los niveles y caractersticas de seguridad muy diferentes, y con
posibilidad de transferencia de ficheros o de captacin y exportacin de datos que
pueden perder sus protecciones al pasar de una plataforma a otra.

k) AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES

Por seguridad y por productividad, tal vez salvo emergencias concretas si all se ha
especificado y ms bien para comunicaciones con voz. Los usuarios tendrn restriccin
de accesos segn dominios, nicamente podrn cargar los programas autorizados, y
solo podrn variar las configuraciones y componentes los tcnicos autorizados.
- Tipos de redes y conexiones
- Tipos de transacciones.
- Tipos de terminales y protecciones: fsicas, lgicas, llamadas de retorno.
- Transferencia de ficheros y controles existentes.
- Consideracin especial respecto a las conexiones externas.
- Internet e Intranet
- Correo electrnico
- Proteccin de programas.
- Control sobre las pginas Web.
 AUDITORIA DE LA SEGURIDAD FISICA

l) AUDITORIA DE LA CONTINUIDAD DE LAS OPERACIONES.

En una auditoria de seguridad no basta con ver un manual. Plan de contingencia sirve
para prevenir posibles problemas dentro de los procesos en un determinado tiempo.

m) PLAN DE CONTINGENCIA O PLAN DE CONTINUIDAD

Recuperacin de Desastres o Plan de Desastres (si nos parece adecuado Plan de
Recuperacin ante desastres, pero las incidencias a prever. En la auditoria es
necesario revisar si existe tal plan, completo y actualizado, si cubre los diferentes
procesos, reas y plataformas, si existen planes diferentes segn entornos, evaluar
en todo caso su idoneidad, los resultados de las pruebas que se hayan realizado, y si
permiten garantizar razonablemente que en caso necesario y a travs de los medios
alternativos, propios o contratados, podra permitir la reanudacin de las operaciones
en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a
veces son tambin los propietarios de las mismas pero podran no serlo.
- Optar por solucin adecuadas; centro propio, ajeno compartido o no y que existe el
oportuno contrato si hay participacin de otras entidades del mismo grupo o sector.
- Es necesario en la auditoria conocer las caractersticas del centro o sistema
alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de
almacenamiento del sistema alternativo son suficientes, as como las medidas de
proteccin.
- Debe existir un manual completo y exhaustivo relacionado con la continuidad en el
que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir
que se trata de una contingencia y de qu tipo.

CONCLUSIONES.
La auditora en sistemas de informacin no est suficientemente implantada en la mayora
de las entidades espaolas, si bien supondra una mayor garanta de que las cosas se
hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos.