Categories Top Downloads
Login Register Upload

Definición de Auditoria Fisica

January 22, 2023 | Author: Anonymous | Category: N/A
Share Embed Donate
Report this link


Short Description

Download Definición de Auditoria Fisica...

Description

 

FUNDACIÓN UNIVERSITARIA SAN MARTÍN Auditoría Informática AUDITORIA FISICA 1.

DEFINICION

La Auditoría Informática es la revisión y evaluación evaluación de controles sobre: Los sistemas y procedimientos de la informática : Los equipos de cómputo, utilización, eficiencia y seguridad. • •

La organización, partícipe en procesam procesamiento iento de informació información n La seguridad física de un centro de cómputo y su entorno. Lo Físico en Informática: Soporte tangible en la Informática; todo lo que rodea o incluy inc luye e en el comput computad ador or,, su entorno entorno,, mezclan mezclando do lo físico físico co con n lo fun funcio cional nal y humano. • •

La Auditoría Física es la revisión y evaluación que proporciona evidencia sobre sob re la segurid seguridad ad física física a niv nivel el del centro centro de cóm cómput puto, o, sistema sistemas s de inform inf ormac ación ión,, pro proce cesam samien iento to de in infor formac mación ión y su ent entorn orno. o. Fr Fren ente te a la Auditoría Audito ría Int Integr egral, al, es só sólo lo una aud audito itoría ría par parcia cial, l, a niv nivel el int intern erno o o exter externo, no, que evaluará eva luará control controles es sobre la func funciona ionalidad, lidad, raciona racionalidad lidad y segu seguridad ridad física física a nive nivell informático.

2. •

SEGURIDAD INTEGRAL Seguridad Se encarga Lógica de aplicar aplicar los controles de acceso para salvaguar salvaguardar dar la integridad de la inf infor orma mació ción n generada generada por por los sistema sistemas, s, así como como del mal uso de la información.

Su violación puede traer las siguientes consecuencias a la empresa: * Cam Cambio bio de dato datos s ante antes s o cuan cuando do se le da entr entrada ada a la PC programas y/o y/o información, información, * Código oculto en un programa programa * Entrada de virus.

* Copia Copias s de

Tipos de Usuarios: * Propietario * Administrador * Usuario Principal * Usuario de consulta * Usuario de explotación * Usuario de Auditoría

Abarca las siguientes áreas: * Rutas de acceso * Claves de acceso acce ceso so * En Enc crip ipta tam mie ient nto o

* Software de control de

Las restricciones de acceso pueden ser: * Sólo lectura * Sólo consulta * Lectura y consulta * Lectura y escritura (para crear, actualizar, borrar, borrar, ejecutar o copiar) • •

Seguridad Física Seguridad de las Comunicac Comunicaciones iones

3. OBJETIVOS •



Establece Establ ecerr po polít lítica icas, s, pro proced cedimi imient entos os y prá prácti ctica cas s par para a ev evita itarr int interr errupc upcion iones es prolongadas del servicio de procesamiento de información por contingencias como co mo in ince cend ndio io,, in inun unda daci ción ón,, hu huel elga gas, s, di dist stur urbi bio os, sa sabo bota taje je,, te terr rrem emot otos os,, catástrofes naturales, y continuar en un medio de emergencia hasta que se restaure el servicio completo. Garantizar la integridad de los activos humanos, lógicos y materiales en un CPD.



Algunos conceptos sobre Seguridad Física

 



Desastre: Cualquier evento que, al ocurrir, tiene la capacidad de interrumpir el



normal proceso de una empresa. Riesgo de fallo: Es la contingencia contingencia o proximidad de un daño en su ocurrencia. ocurrencia.

4. RIESGO DE FALLO Es la conting contingen enci cia a de un da daño ño o pr prox oxim imid idad ad de su ocurr ocurren enci cia. a. Existe Existen n tr tres es momentos para atender la falla:

4.1 Antes Obtene Obt enerr y ma mante ntener ner un gra grado do de seg seguri uridad dad ad adecu ecuado ado med median iante te ac accio ciones nes par para a evitar el fallo o disminución de efectos. •

Ubicación del edificio

Antes se ac Antes acost ostumb umbra raba ba co coloc locar ar equ equipo ipos s de có cómpu mputo to vis visible ibles, s, co con n gra grande ndes s vent ve ntan anal ales es pa para ra os oste tent ntar ar an ante te la vi vist sta a de dell pú públ blic ico. o. Ho Hoy, y, po porr el ri ries esgo go de terro ter roris rismo mo o sa sabot botaje aje es pos posible ible que una per perso sona na que qui quier era a per perjud judica icarr la empresa quiera dañar el centro de cómputo, por lo que es peligroso tenerlo en áreas de alto tráfico de personas, o en lugar cercano a la calle. El alto flujo de personal altera la eficiencia en el trabajo y disminuye la seguridad. •

CPD dentro del edificio Se debe prever espacio para: * Almacenamiento de equipos magnéticos * Formatos y papel para impresora * Mesas de trabajo y muebles * Co Consolas del operador * Area y mobiliario para recepción, programación y mantenimiento. * Eq E qe un ipto eeteplo ed ce om roacdom(a pructhaid Fu esdd r unicacio*nes Bóveda de se*gM uircid vorsasmaestros y registros en bóveda antiincendios)





• •

Cámara plena o piso elevado (o pisos falsos) Antes era un requerimiento para todos los centros de cómputo, hoy sólo es necesario para microcomputadoras con la instalación del cableado dentro del piso elevado. Elevado para soportar carga pesada; se recomienda que el piso sea en plástico antiestático y que la superficie tenga 45 cm de alto si es usado como cámara plena de aire acondicionado. La altura del plafón debe ser 2.4 m; los páneles del piso elevado podrán podrán remover removerse se para la instalación instalación del cableado y facilitar limpieza con trapo húmedo o aspiradora. Aire acondicionado: Dependerá del tipo de computadora utilizada y el lugar de instalación. Verificar con proveedor la temperatura mínima y máxima así como la humedad relativa en la que deberán trabajar los equipos. Los ductos de aire acondicionado deben estar limpios; sus instalaciones son fuente de incendio muy frecuente y susceptibles de ataques físicos. Instalar redes de protección en sistema de ductos – exterior e interior – y contar con detector de humo. presión de aire superior a la de las áreas adyacentes para reducir la entrada de polvo y suciedad.

Elementos de construcción Potencia eléctrica Una de las principales causas de incendios. El auditor debe evaluar el adecuado funcionamiento del sistema eléctrico y el suministro de energía: * Cable Cables s del sistema eléctrico eléctrico bien identific identificado ado (positivo (positivos, s, negativos, negativos, tierra tierra física) si es posible con colores. * Co Conex nexion iones es ind indepe ependi ndient entes es par para a los equ equipo ipos s de có cómpu mputo to par para a pro protec tecció ción n contra un corto circuito * Contar con planos de instalación eléctrica actualizados. * La tierra física debe estar perfectamente instalada según especificaciones del proveedor. * Tener protección contra roedores/fauna nociva en cables del sistema eléctrico y de comunicacione comunicaciones.(se s.(se pueden comer los cables)

 

* Adquirir reguladores que tengan un sistema de corriente ininterrumpido (UPS) para reducir riesgo por cambio de corriente. * En sis sistem temas as de alt alto o rie riesgo sgo,, co como mo el ban bancar cario, io, deb debe e co conta ntarse rse ade ademá más s con plantas de luz de emergencia por si la energía se pierde por un período largo. •

Sistemas contra incendio El centro de cómputo no debe colocarse en sótanos o en áreas de planta baja sino en parte alta en una estructura de varios pisos, cuidando que las zonas sísmicas no queden en lugares donde el paso ocasionado por equipos o papel pueda provocar problemas

*estar Instalar detectores de agua o inundación, de emergencia caso de ubicado en zonas de inundación, conbombas problemas de drenaje,en rotura cañerías, etc.. * Ubicar extintores portátiles, adecuados y capaces de detectar diferentes gases que desprenden cuerpos en combustión, en sitios estratégicos, como de CO para equipo eléctrico (revisar su capacidad, cargue y recargue, peso proporcional al de un una a mu muje jerr en ca caso so de ut util iliz izar arlo los, s, ti tipo po de pr pro odu duct cto o us usad ado o, eq equi uipo po de respir res pirac ación ión,, señ señali aliza zació ción n sa salida lidas s de eme emerge rgenci ncia a (se (señal ñalam amien iento to en la par parte te inferior cercano al piso) * Tener aspersores aspersores contra incendio especiales especiales que no sean de agua * Alarmas conectadas con la alarma central de la empresa, o con el Depto. de Bomberos Bombero s de la ciudad * Tener detectores de humo y fuego con sistema de detección de humo por ioniza ion izació ción n av aviso iso ant antici icipad pado o (su (suena ena ala alarma rma e ind indica ica la sit situac uación ión del det detect ector or activado). No debe interrumpir la corriente eléctrica al centro de cómputo) * Control archivo de cintas y discos magnéticos en una sala independiente con condiciones ambientales y de seguridad necesarias para su almacenam almacenamiento, iento, preferiblemente en armarios con paredes fabricadas para que resistan por lo menos 2 horas de fuego Control de accesos: Controles estrictos durante todo el día que incluirán a todo el personal de la empresa, en especial durante descansos y cambios de turno. * Identificación previa previa al ingreso al centro de cómputo. * Se pu pued eden en ut util iliz izar ar ci cier erto tos s re recu curs rsos os co como mo:: pu puer erta ta co con n ce cerr rrad adur ura a (c (con on tradicional llave de metal); puerta de combinación ((combinación para permitir acceso); puerta electrónica (con tarjeta plástica magnética y código especial interno leído por sensor), puertas sensoriales(con alguna parte de su cuerpo: huella, voz, retina, geometría mano, o bien por la firma); registros de entrada •





(firma en libro, con guardarse foto si es para posible); videocámaras sitios estratégicos; losidentificación cassettes deben su posible análisis);(en , escolta cont co ntro rola lado dora ra pa para ra el ac acce ceso so de vi visi sita tant ntes es,, pu puer erta tas s do doble bles s pa para ra má máxi xima ma seguridad (la 2ª se abre cuando la 1ª está cerrada). Temperatura y Humedad: Equipos de cómputo grandes (mainframes) o bien los portátiles usados en zonas cálidas o desérticas necesitan de sistema de aire acond ac ondicio icionad nado o par para a per perma manec necer er en ope opera ració ción n con const stant ante, e, co con n bas base e en los siguientes siguie ntes pará parámetr metros: os: Disi Disipació pación n térm térmica ica (BTU (BTU); ); Mov Movimien imiento to de aire (CFM); pérdidas de transferencia de calor a través de paredes, pisos y techos, o por la iluminación, o bien por ventanas expuestas a los rayos del sol. Temperatura ideal 22ºC. Instalar instrumentos registradores de temperatura y humedad para su control, ductos de aire limpios. Seguros: pólizas de seguros debidamente certificadas tanto a equipos como a progra pro gramas mas (so (softw ftwar are) e) co contr ntra a des desas astr tres. es. La or organ ganiza izació ción n deb debe e re regla glamen menta tarr normas y prácticas eficaces para el cuidado y manejo de los l os equipos, programas e instalaciones instalaciones.. * Ve Veri rifi fica carr fech fe chas as ve venc ncim imie ient nto, o, cu cubr brim imie ient nto o de lo los s rie riesg sgos os a tod todo o el el equ equip ipo o y su instalación según costo de equipos y daños causados por factores externos

 

(desastres naturales, naturales, terremotos, inundación) como internos (por negligencia de operadores, operador es, daños por el aire acondicionado o altibajos en el fluido eléctrico). * Dejar claro los riesgos cubiertos y excluidos (por guerra, invasión o ataque enem en emig igo o ex extr tran anje jero ro,, re rebe belió lión, n, re revo volu luci ción ón,, mo motí tín, n, hu huel elga ga,, co cons nspir pirac ació ión, n, destru des trucc cción ión o dañ daño o po porr or orden den del gob gobier ierno no o aut autor orida idad d púb públic lica, a, o bie bien n por reacc rea cción ión o ra radia diació ción n nuc nuclea lear, r, act acto o int intenc encion ional al o neg neglig ligenc encia ia ma manif nifies iesta ta de dell aseg as egur urad ado o o su sus s re repr pres esen enta tant ntes es), ), su suma mas s as aseg egur urad adas as,, lí lími mite tes, s, pr prim imas as,, indemnizaciones en caso de siniestro. * Seguros deben estar estar a precio de compra compra de quipos y no a precio al momento momento de contratación del seguro). * En el ca caso so del per perso sonal nal,, obt obtene enerr fia fianza nzas s por ro robo, bo, neg neglige ligenci ncia, a, sa sabot botaje aje,, acciones deshonestas, etc. Medidas de protección: programa programas s originales, controles de uso y tránsito por todos los sistemas (navegar) •

4.2 Durante Ejecut Ejec utar ar pl plan an de co cont ntin inge genc ncia ia ad adec ecua uado do pa para ra re real aliza izarr an anál ális isis is de ri ries esgo gos s de sistemas críticos, el cual debe: Realizar análisis de riesgos de sistemas críticos Establecer período crítico Establecer período crítico de recuperación recuperación Realizar análisis de aplicaciones críticas Determinar prioridades de proceso (por días del año) Establecer objetivos de recuperació recuperación n • • • • • • • •

Designar un Centro Alternativo de Proceso de Datos Asegurar la capacidad de las comunicaciones Asegurar la capacidad de los servicios de back-up

4.3 Después Los contratos de seguros compensar las pérdidas, gastos o responsabilidades que se pueden derivar para el CPD, una vez detectado y corregido el fallo. Entre los tipos de seguros están: Cen entr tro o de de pr proces eso o y eq equi uipa pam mie ient nto o Reco cons nsttruc ucc ció ión n de med medio ios s de de so softw twa are Gastos extra Interrupción del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos Contrato s con proveedor proveedores es y de mantenimiento • • • • •

5. AREAS Organigrama de la Empresa: para obtener amplia visión de conjunto del •

CPD •

Audi Auditorí toría a Intern Interna: a: par para a co conoc nocer er aud audito itoría rías s pas pasada adas s re relac lacion ionada adas s co con n auditoría física o que le afecten









normas, as, proc procedimi edimiento entos, s, plan planes es que Admi Administ nistraci ración ón de la segu segurida ridad: d: norm haya emitido, distribuido y controlado el departament departamento. o. CPC e instalaciones: Sala de Host, de operadores, de impresoras; oficinas; almacenes; sala de instalaciones eléctricas, de airea acondicionado; áreas de descanso y servicios. Equi uipo pos s y Co Comu muni nica caci cion ones es:: Ho Hos st, ter erm min ina ale les, s, PCs, equ quip ipo os de Eq alma al mace cena nami mien ento to ma masi sivo vo de da dato tos, s, im impr pres eso ora ras, s, me medi dios os y sis iste tema mas s de telecomunicaciones. Computadores Personales Personales:: desde el punto de vista de acceso a datos y a la adquisición de copias no autorizadas.

 



Seguridad Física del personal: accesos y salidas seguras, medios y rutas de eva evacua cuació ción, n, ext extinc inción ión de inc incend endios ios,, sis sistem temas as de blo bloque queo o de pue puerta rtas s y ventanas, zonas de descanso y servicios.

Un gran centro de cómputo depende de la integridad, estabilidad y lealtad del perso per sonal nal,, de ahí que al mo momen mento to de re reclu cluta tarlo rlo se sea a con conve venie niente nte los ex exám ámene enes s psicológicos y médicos, antecedentes de trabajo, valores sociales, toda vez que son personas que trabajan bajo presión y mucho estrés. Debe tener alto sistema ético y de lealtad con el fin de evitar riesgos de fraude o mal uso de la información. La empresa tener claras el sistema de vacaciones puesto que son difíciles de sustituir edebe indispensables.

6. FUENTES Políticas, normas y planes sobre seguridad emitidos por la empresa. Auditorías anteriores. Contratos de seguros, de proveedores y de mantenimiento perso rsonal nal de seg seguri uridad dad,, inf infor ormá mátic ticos os y de otr otras as ac activ tivida idades des Entrevistas: al pe • • •



(limpieza y mantenimiento) • •



Actas e Informes técnicos y consultores. Plan de contingencia y valoración de pruebas Informes: sobre accesos y visitas, sobre simulacros de evaluación ante distintos tipos de amenaza, o sobre evacuaciones reales.





Políticas de Personal Inventarios Inventari os de Sopo Soportes rtes ( cinto cintoteca teca,, back back-up, -up, pro procedim cedimiento ientos s de arc archivo hivo,, control de copias, etc.)

7. EL ELEM EMEN ENTO TO OBJ OBJET ETO O • • • •

Instalaciones - Edificación Equipamiento y Telecomunica Telecomunicaciones ciones Redes Personas - Usuarios informáticos

TECNICAS Y HERRAMIENTAS Finalidad: obtener evidencia física Técnicas 8.





• •

inst stal alac acio ione nes, s, si sist stem emas as,, Observación: de in

cump cu mpli limi mie ent nto o de no norm rma as y procedimientos, no sólo como espectador sino como actor. preinstalaciones, nes, Revisión Analítica: de documentación sobre la construcción y preinstalacio docume doc umenta ntació ción n so sobre bre seg seguri uridad dad fís física ica;; pol políti ítica cas s y no norma rmas s de ac activ tivida idad, d, de seguridad física de datos; contrato contratos s de seguros y mantenimiento. Entrevistas: a directivos, personal Consultas: a técnicos y peritos independientes

Herramientas • • • •

Cuaderno de campo grabadora de audio Máquina fotográfica Cámara de video

9. RESP RESPONSAB ONSABILIDA ILIDADES DES DEL AUDI AUDITOR TOR Auditor Informático Interno

 

• • • •

• •

Revisar los controles de seguridad física Revisar el cumplimiento de procedimiento procedimientos s Evaluar riesgos Participar (sin perder independencia) en la selección, compra e implantación de equipos y materiales; materiales; planes planes de seguridad seguridad y contingencia. Efectuar auditorías programas e imprevistas. Elaborar informe; hacer seguimiento a recomenda recomendaciones. ciones.

Auditor Informático Externo • • • • •

Revisar de los auditores internos. Revisar funciones planes de seguridad y contingencia. Efectuar pruebas Emitir informes y recomenda recomendaciones ciones Idem responsabilidades Auditores Internos.

10. • •

• • • • • • •

FASES

Fase 1 Fase 2

Alcance de la Auditoría Adquisición de informació información n general * Acuerdo de empresa para Pla lan n de Contin ing gencia ia? ? * Acuerdo de un Proceso Alternativo * Protección de Datos * Manual del Plan de Contingencia

Fase 3 Fase 4 Fase 5 Fase 6 Fase 7 Fase 8 Fase 9

Administración y planificación Plan de Auditoría Resultado de las pruebas Conclusiones y comentar comentarios ios Borrador del informe Discusión con los Responsables de Area Informe Final (informe, anexos y carpeta de evidencias

BIBLIOGRAFIA 1. 2.

DESMONTS B., Gabriel. AUDITOR  AUDITORIA IA INFORMATICA: INFORMATICA: Auditoría Física. Física. ECHENIQUE G., José A.  AUDITORI  AUDITORIA A INFORMATICA: INFORMATICA: Seguridad Física. Física. Editores Mc Graw Hill. 2ªe. México, 2001

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF