Date post: | 21-Jun-2015 |
Category: |
Technology |
Upload: | carmelo-branimir-espana-villegas |
View: | 161 times |
Download: | 0 times |
La auditoría física Tema IV
Auditoria Informática
¡No compliques tu trabajo!
Concibe la solución más
simple al PROBLEMA.
Aprende a centrarte en las
SOLUCIONES y no, en los
PROBLEMAS.
Introducción
• Lo físico es para dar un soporte tangible.
• No es solo Hardware
• En toda actividad se mezcla lo físico lo
funcional y lo humano.
• La auditoria física no se debe limitar a
comprobar la existencia de los medios
físicos sino también su funcionalidad
racionalidad, y SEGURIDAD.
La seguridad física
• Existen tres tipos de seguridad:
– Seguridad lógica.
– Seguridad física.
– Seguridad de las comunicaciones.
• La seguridad física garantiza la integridad de los
activos humanos, lógicos y materiales
• Contingencia: es la proximidad de algún daño
como riesgo de fallo local o general en una
relación con la cronológica.
Seguridad de la Información
1. La seguridad física se refiere a la protección del Hardware y de los
soportes de datos, así como a la de los edificios e instalaciones que los
albergan. Contempla las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc.
2. La seguridad lógica se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, así como la del
ordenado y autorizado acceso de los usuarios a la información.
La seguridad física
Seguridad de la Información
1. El propósito de la Seguridad Física es prevenir el acceso físico no
autorizado, daños a las instalaciones e interrupciones al procesamiento
de información.
La seguridad física
Seguridad de la Información
• Perímetro de Seguridad Física
– Las instalaciones de procesamientode información deben estar protegidas contra
interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es
necesario mantener un perímetro de seguridad en torno a las instalaciones físicas
que cumpla con tal objetivo.
– El nivel de seguridad de la información debe estar asociado al nivel de impacto
que provocaría una interrupción en los procesos de la empresa, el daño a la
integridad y la divulgación de la información reservada o confidencial.
La seguridad física
Seguridad de la Información
• Controles Físicos
– Las áreas de procesamiento deben contar con controles de acceso que
aseguren el ingreso solo a personal autorizado. Los siguientes
controles deben ser considerados:
• Exigencia de portar la identificación al momento del ingreso y
durante el periodo en que se encuentra en la instalación.
• Supervisión para los visitantes y personal que no cumple labores
frecuentes.
• Registro con fecha y hora de entrada y salida de personal.
• Los derechos de acceso deben ser periódicamente revisados y
actualizados.
La seguridad física
Seguridad de la Información
• Controles Físicos (continuación…)
– Seguridad en las oficinas:
• Todos los lugares en que se declare trabajar con información
sensible, deben contar con medidas que eviten el acceso del
público y personal no autorizado.
• Las áreas comerciales deben contar con mecanismos de seguridad
que impidan el acceso no autorizado a información sensible que
manejen, sobre todo en horario de atención de público.
• Las máquinas de fax, fotocopiadoras y equipamiento que manejan
información sensible, deben estar ubicado dentro del área
protegida.
La seguridad física
Seguridad de la Información
• Controles Físicos (continuación…)
– Áreas de recepción y despacho:
• Las áreas de recepción y despacho deben ser controlada y en la medida de
lo posible, aisladas de áreas que manejen información sensible, para evitar
el acceso no autorizado.
• Los requerimientos de seguridad de tales áreas deben estar determinados
por una evaluación de riesgos.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Control de Acceso: su propósito es evitar el acceso no autorizado a la
información digital e instalaciones de procesamiento de datos.
• Administración de usuarios;
1. El nivel de acceso asignado debe ser consistente con el propósito del
negocio.
2. Todo usuario que acceda a los sistemas de información de la empresa,
debe tener asignado un identificador único (user ID), que permita
establecer responsabilidades individuales en el uso de los sistemas de
información.
3. Los permisos asignados a los usuarios deben estar adecuadamente
registrados y protegidos.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Administración de usuarios (continuación)
4. Cualquier cambio de posición o función de un rol, amerita evaluación de
los permisos asignados, con el fin de realizar las modificaciones que
correspondan en forma oportuna .
5. Los sistemas de información de la organización, deben contar con
mecanismos robustos de autenticación de usuarios, sobre todo de
aquellos usuarios conectados desde redes externas.
6. La creación, modificación y eliminación de claves debe ser controlada a
través de un procedimiento formal.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Control de red
1. La empresa debe contar con controles que protejan la información
dispuesta en las redes de información y los servicios interconectados,
evitando así accesos no autorizados (ejemplo; firewalls).
2. Debe existir un adecuado nivel de segregación funcional que regule las
actividades ejecutadas por los administradores de redes, operaciones y
seguridad.
3. Deben existir Logs de eventos que permita el monitoreo de incidentes de
seguridad en redes.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Control de datos
1. La empresa debe contar con controles que protejan la información
dispuesta en las bases de datos de las aplicaciones, evitando así
accesos no autorizados.
2. Debe existir un adecuado nivel de segregación de funciones que regule
las actividades ejecutadas por los administradores de datos.
3. Se debe mantener un Log de actividades que registre las actividades de
los administradores de datos.
4. Los usuarios deben acceder a la información contenida en las bases de
datos, únicamente a través de aplicaciones que cuentan con
mecanismos de control que aseguren el acceso a la información
autorizada (clave de acceso a la aplicación)
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Encriptación
1. El nivel de protección de información debe estar basado en un análisis de
riesgo.
2. Este análisis debe permitir identificar cuando es necesario encriptar la
información, el tipo, calidad del algoritmo de encriptación y el largo de las
claves criptográficas a ser usadas.
3. Toda información clasificada como restringida y confidencial debe ser
almacenada, procesada y transmitida en forma encriptada.
4. Todas las claves criptográficas deben estar protegidas contra modificación,
perdida y destrucción.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Administración de claves
1. Las claves deben estar protegidas contra accesos y modificación no
autorizada, perdida y destrucción.
2. El equipamiento utilizado para generar y almacenar las claves debe estar
físicamente protegido.
3. La protección de las claves debe impedir su visualización, aun si se vulnera
el acceso al medio que la contiene.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Uso de Passwords; Las passwords o claves de usuario son un elemento
importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar
una clave segura para el acceso a los sistemas de la organización. Esta clave
segura tiene la condición de personal e intransferible.
– Se considera una clave débil o no segura cuando:
1. La clave contiene menos de ocho caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso común tal como: nombre de un familiar,
mascota, amigo, colega, etc.
4. La clave es fecha de cumpleaños u otra información personal como
direcciones y números telefónicos.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Se considera una clave segura cuando;
1. La clave contiene may de ocho caracteres.
2. La clave contiene caracteres en minúscula y mayúscula.
3. La clave tiene dígitos de puntuación, letras y números intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga
5. Fácil de recordar.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Intercambio de Información; prevenir la perdida, modificación o
acceso no autorizado y el mal uso de la información que la empresa
intercambia como parte de sus procesos de negocio.
• Acuerdos de intercambio; en todos los casos de intercambio de
información sensible, se deben tomar todos los resguardos que eviten
su revelación no autorizada.
• Todo intercambio de información debe estar autorizada expresamente
por el dueño de esta.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Intercambio de Información (continuación…).
• Seguridad de los medios removibles;
• El dueño de la información es quien autoriza a través de algún medio
removible desde la organización.
• Los dispositivos que permiten a los computadores manejar medios
removibles, deben ser habilitados cuando haya una razón de negocio para
hacerlo y previa autorización del dueño de la información.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Seguridad en el comercio electrónico.
• La información involucrada en comercio electrónico y que pasa por redes
publicas, debe estar protegida de actividades fraudulentas, disputas
contractuales y revelaciones o modificaciones no autorizadas.
La seguridad física
Seguridad de la Información
• Seguridad Lógica
– Seguridad en el correo electrónico.
• El correo electrónico es provisto por la empresa a los empleados y
terceras partes, para facilitar el desempeño de sus funciones.
• La asignación de esta herramienta de trabajo debe hacerse
considerando una evaluación de riesgo.
• El correo es personalizado, es decir no es aceptable la utilización del
correo de otra persona, por tanto se asume responsable del envío al
remitente (DE:) y no quien lo firma.
La seguridad física
La Auditoria Física no se limita a comparar
solo la existencia de los medios físicos,
sino también su funcionalidad,
racionalidad y seguridad.
La auditoría física
Definición de auditoria física
Riesgo Control Pruebas
SEGURIDAD FÍSICA
Garantiza la integridad de los activos humanos, lógicos y
materiales del Objeto a analizar.
Medidas a preparar según el momento del Fallo
Después
Antes Durante
Grado de Seguridad; es
un conjunto de acciones
utilizadas para evitar el
fallo o, en su caso,
aminorar las
consecuencias que de el
se puede derivar.
Por lo que se toma
encuentra los activos de la
empresa
Desastre; es cualquier
evento que cuando
ocurre tiene la capacidad
de interrumpir el normal
proceso de una empresa.
Por eso se tiene que
ejecutar un plan de
contingencia adecuado.
Los contratos de seguros, vienen
a compensar las perdidas,
gastos o responsabilidades una
vez corregido el Fallo.
AREAS DE LA SEGURIDAD FISICA
• Se considerara todas las áreas siempre considerando el aspecto físico de la seguridad y que serán tales como: Organigrama de la Empresa
Auditoria Interna.
Administración de la Seguridad
Centros de Procesos de datos e instalaciones.
Equipos y Comunicación
Computadoras Personales
Seguridad Física del Personal
Organigrama de la Empresa
• Nos servirá para conocer las dependencias orgánicas funcionales y jerárquicas de los departamentos y los distintos cargos del personal.
Áreas de Seguridad Física
• Auditoría interna: Es un departamento independiente, que debe
guardar las auditorias pasadas, normas, procedimientos y planes de
seguridad física.
• Administración de la seguridad: Distribución de
responsabilidades, funciones, dependencias y cargos en los
componentes.
• Centro de procesos de datos e instalaciones: Ayudan a la
realización de la función informática y proporcionan seguridad las
personas
Sala de Host
Sala de Operadores
Sala de impresoras
Cámara Acorazada
Oficinas
Almacenes….
…Áreas de Seguridad Física
• Computadores personales: Equipos en los
que hay que tener mucho cuidado
especialmente cuando están conectados a la
red por seguridad de los datos.
• Equipos y comunicaciones.: El auditor debe
tomar en cuenta que estos equipos son
especiales debido a que en ellos se almacena
toda la información.
• Seguridad física del personal: Salidas y
accesos seguros, todo lo que tiene que ver con
plan de contingencia para el personal
Fuentes de Auditoría Física
• Políticas, Normas y planes sobre seguridad emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad.
• Auditorias anteriores referentes a la seguridad física.
• Contratos seguros
• Entrevistas con el personal de seguridad informático y otras cosas
• Actas e informes técnicas y consultores, que permitan diagnosticar el estado físico del edificio
• Informe sobre acceso y visitas
• Políticas del personal, planificación y distribución de tareas, contratos, etc.
• Inventarios de soporte Back-up, controles de salida y recuperación de soportes.
Objetivos de la Auditoría Física
• Se basa en la lógica “de fuera adentro” los
objetivos de la auditoría física se basan en
prioridades con el siguiente orden:
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personas
TÉCNICAS Y HERRAMIENTAS
DEL AUDITOR
Su fin es obtener la evidencia física
Técnicas
• Observación
• Revisión analítica
• Entrevistas
• Consultas
Técnicas - Observación
• Instalaciones
• Sistemas
• Cumplimiento de Normas
• Cumplimiento de Procedimientos
• Etc.
• No solo como espectador sino también como actor.
Técnicas - Revisión Analítica
• Políticas y Normas de Actividad de Sala
• Normas y Procedimientos sobre seguridad
física de los datos.
• Contratos de Seguros y de Mantenimiento
• Documentación sobre:
– Construcción y Preinstalaciones
– Seguridad Física
Técnicas - Entrevistas
• Directivos
• Personal
• Que no de la sensación de interrogatorio
Técnicas - Consultas
• Técnicos y peritos que formen parte de la
plantilla o independientes contratados
Herramientas
• Cuaderno de Campo
• Grabadora de Audio
• Máquina Fotográfica
• Cámara de Video
RESPONSABILIDADES DE
LOS AUDITORES
• No debe realizar su actividad como una mera función policial
• Debe esforzarse más en dar una imagen de colaborador que
intenta ayudar
Auditor Informático Interno
• Revisar – Controles relativos a Seguridad Física
– Cumplimiento de los Procedimientos
– Cumplimiento de Políticas y Normas sobre Seguridad Física así como de las funciones de los distintos Responsables y Administradores de Seguridad
• Evaluar Riesgos
• Participar sin perder independencia en: – Selección, adquisición e implantación de equipos y materiales
– Planes de Seguridad y de Contingencia, seguimiento, actualización, mantenimiento y prueba de los mismos
• Efectuar auditorías programadas e imprevistas
• Emitir Informes y efectuar el seguimiento de las recomendaciones
Auditor Informático Externo
• Revisar las funciones de los auditores
internos
• Mismas responsabilidades que los
auditores internos
• Revisar los Planes de Seguridad y
Contingencia.
• Efectuar pruebas sobre los planes antes
mencionados
• Emitir informes y recomendaciones
FASES DE LA AUDITORÍA
FÍSICA
El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a
las siguientes fases
Fases
1. Alcance de la Auditoría
2. Adquisición de Información General
3. Administración y Planificación
4. Plan de Auditoría
5. Resultado de las Pruebas
6. Conclusiones y Comentarios
Fases
7. Borrador del Informe
8. Discusión con los Responsables de Área
9. Informe Final
– Informe
– Anexo al Informe
– Carpeta de Evidencias
10.Seguimiento de las Modificaciones
acordadas