La auditoría física Tema IV

Auditoria Informática

¡No compliques tu trabajo!

Concibe la solución más

simple al PROBLEMA.

Aprende a centrarte en las

SOLUCIONES y no, en los

PROBLEMAS.

Introducción

• Lo físico es para dar un soporte tangible.

• No es solo Hardware

• En toda actividad se mezcla lo físico lo

funcional y lo humano.

• La auditoria física no se debe limitar a

comprobar la existencia de los medios

físicos sino también su funcionalidad

racionalidad, y SEGURIDAD.

La seguridad física

• Existen tres tipos de seguridad:

– Seguridad lógica.

– Seguridad física.

– Seguridad de las comunicaciones.

• La seguridad física garantiza la integridad de los

activos humanos, lógicos y materiales

• Contingencia: es la proximidad de algún daño

como riesgo de fallo local o general en una

relación con la cronológica.

Seguridad de la Información

1. La seguridad física se refiere a la protección del Hardware y de los

soportes de datos, así como a la de los edificios e instalaciones que los

albergan. Contempla las situaciones de incendios, sabotajes, robos,

catástrofes naturales, etc.

2. La seguridad lógica se refiere a la seguridad de uso del software, a la

protección de los datos, procesos y programas, así como la del

ordenado y autorizado acceso de los usuarios a la información.

La seguridad física

Seguridad de la Información

1. El propósito de la Seguridad Física es prevenir el acceso físico no

autorizado, daños a las instalaciones e interrupciones al procesamiento

de información.

La seguridad física

Seguridad de la Información

• Perímetro de Seguridad Física

– Las instalaciones de procesamientode información deben estar protegidas contra

interrupciones o daños producto del acceso no autorizado al área. Por lo tanto, es

necesario mantener un perímetro de seguridad en torno a las instalaciones físicas

que cumpla con tal objetivo.

– El nivel de seguridad de la información debe estar asociado al nivel de impacto

que provocaría una interrupción en los procesos de la empresa, el daño a la

integridad y la divulgación de la información reservada o confidencial.

La seguridad física

Seguridad de la Información

• Controles Físicos

– Las áreas de procesamiento deben contar con controles de acceso que

aseguren el ingreso solo a personal autorizado. Los siguientes

controles deben ser considerados:

• Exigencia de portar la identificación al momento del ingreso y

durante el periodo en que se encuentra en la instalación.

• Supervisión para los visitantes y personal que no cumple labores

frecuentes.

• Registro con fecha y hora de entrada y salida de personal.

• Los derechos de acceso deben ser periódicamente revisados y

actualizados.

La seguridad física

Seguridad de la Información

• Controles Físicos (continuación…)

– Seguridad en las oficinas:

• Todos los lugares en que se declare trabajar con información

sensible, deben contar con medidas que eviten el acceso del

público y personal no autorizado.

• Las áreas comerciales deben contar con mecanismos de seguridad

que impidan el acceso no autorizado a información sensible que

manejen, sobre todo en horario de atención de público.

• Las máquinas de fax, fotocopiadoras y equipamiento que manejan

información sensible, deben estar ubicado dentro del área

protegida.

La seguridad física

Seguridad de la Información

• Controles Físicos (continuación…)

– Áreas de recepción y despacho:

• Las áreas de recepción y despacho deben ser controlada y en la medida de

lo posible, aisladas de áreas que manejen información sensible, para evitar

el acceso no autorizado.

• Los requerimientos de seguridad de tales áreas deben estar determinados

por una evaluación de riesgos.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Control de Acceso: su propósito es evitar el acceso no autorizado a la

información digital e instalaciones de procesamiento de datos.

• Administración de usuarios;

1. El nivel de acceso asignado debe ser consistente con el propósito del

negocio.

2. Todo usuario que acceda a los sistemas de información de la empresa,

debe tener asignado un identificador único (user ID), que permita

establecer responsabilidades individuales en el uso de los sistemas de

información.

3. Los permisos asignados a los usuarios deben estar adecuadamente

registrados y protegidos.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Administración de usuarios (continuación)

4. Cualquier cambio de posición o función de un rol, amerita evaluación de

los permisos asignados, con el fin de realizar las modificaciones que

correspondan en forma oportuna .

5. Los sistemas de información de la organización, deben contar con

mecanismos robustos de autenticación de usuarios, sobre todo de

aquellos usuarios conectados desde redes externas.

6. La creación, modificación y eliminación de claves debe ser controlada a

través de un procedimiento formal.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Control de red

1. La empresa debe contar con controles que protejan la información

dispuesta en las redes de información y los servicios interconectados,

evitando así accesos no autorizados (ejemplo; firewalls).

2. Debe existir un adecuado nivel de segregación funcional que regule las

actividades ejecutadas por los administradores de redes, operaciones y

seguridad.

3. Deben existir Logs de eventos que permita el monitoreo de incidentes de

seguridad en redes.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Control de datos

1. La empresa debe contar con controles que protejan la información

dispuesta en las bases de datos de las aplicaciones, evitando así

accesos no autorizados.

2. Debe existir un adecuado nivel de segregación de funciones que regule

las actividades ejecutadas por los administradores de datos.

3. Se debe mantener un Log de actividades que registre las actividades de

los administradores de datos.

4. Los usuarios deben acceder a la información contenida en las bases de

datos, únicamente a través de aplicaciones que cuentan con

mecanismos de control que aseguren el acceso a la información

autorizada (clave de acceso a la aplicación)

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Encriptación

1. El nivel de protección de información debe estar basado en un análisis de

riesgo.

2. Este análisis debe permitir identificar cuando es necesario encriptar la

información, el tipo, calidad del algoritmo de encriptación y el largo de las

claves criptográficas a ser usadas.

3. Toda información clasificada como restringida y confidencial debe ser

almacenada, procesada y transmitida en forma encriptada.

4. Todas las claves criptográficas deben estar protegidas contra modificación,

perdida y destrucción.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Administración de claves

1. Las claves deben estar protegidas contra accesos y modificación no

autorizada, perdida y destrucción.

2. El equipamiento utilizado para generar y almacenar las claves debe estar

físicamente protegido.

3. La protección de las claves debe impedir su visualización, aun si se vulnera

el acceso al medio que la contiene.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Uso de Passwords; Las passwords o claves de usuario son un elemento

importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar

una clave segura para el acceso a los sistemas de la organización. Esta clave

segura tiene la condición de personal e intransferible.

– Se considera una clave débil o no segura cuando:

1. La clave contiene menos de ocho caracteres.

2. La clave es encontrada en un diccionario.

3. La clave es una palabra de uso común tal como: nombre de un familiar,

mascota, amigo, colega, etc.

4. La clave es fecha de cumpleaños u otra información personal como

direcciones y números telefónicos.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Se considera una clave segura cuando;

1. La clave contiene may de ocho caracteres.

2. La clave contiene caracteres en minúscula y mayúscula.

3. La clave tiene dígitos de puntuación, letras y números intercalados.

4. La clave no obedece a una palabra o lenguaje, dialecto o jerga

5. Fácil de recordar.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Intercambio de Información; prevenir la perdida, modificación o

acceso no autorizado y el mal uso de la información que la empresa

intercambia como parte de sus procesos de negocio.

• Acuerdos de intercambio; en todos los casos de intercambio de

información sensible, se deben tomar todos los resguardos que eviten

su revelación no autorizada.

• Todo intercambio de información debe estar autorizada expresamente

por el dueño de esta.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Intercambio de Información (continuación…).

• Seguridad de los medios removibles;

• El dueño de la información es quien autoriza a través de algún medio

removible desde la organización.

• Los dispositivos que permiten a los computadores manejar medios

removibles, deben ser habilitados cuando haya una razón de negocio para

hacerlo y previa autorización del dueño de la información.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Seguridad en el comercio electrónico.

• La información involucrada en comercio electrónico y que pasa por redes

publicas, debe estar protegida de actividades fraudulentas, disputas

contractuales y revelaciones o modificaciones no autorizadas.

La seguridad física

Seguridad de la Información

• Seguridad Lógica

– Seguridad en el correo electrónico.

• El correo electrónico es provisto por la empresa a los empleados y

terceras partes, para facilitar el desempeño de sus funciones.

• La asignación de esta herramienta de trabajo debe hacerse

considerando una evaluación de riesgo.

• El correo es personalizado, es decir no es aceptable la utilización del

correo de otra persona, por tanto se asume responsable del envío al

remitente (DE:) y no quien lo firma.

La seguridad física

La Auditoria Física no se limita a comparar

solo la existencia de los medios físicos,

sino también su funcionalidad,

racionalidad y seguridad.

La auditoría física

Definición de auditoria física

Riesgo Control Pruebas

SEGURIDAD FÍSICA

Garantiza la integridad de los activos humanos, lógicos y

materiales del Objeto a analizar.

Medidas a preparar según el momento del Fallo

Después

Antes Durante

Grado de Seguridad; es

un conjunto de acciones

utilizadas para evitar el

fallo o, en su caso,

aminorar las

consecuencias que de el

se puede derivar.

Por lo que se toma

encuentra los activos de la

empresa

Desastre; es cualquier

evento que cuando

ocurre tiene la capacidad

de interrumpir el normal

proceso de una empresa.

Por eso se tiene que

ejecutar un plan de

contingencia adecuado.

Los contratos de seguros, vienen

a compensar las perdidas,

gastos o responsabilidades una

vez corregido el Fallo.

AREAS DE LA SEGURIDAD FISICA

• Se considerara todas las áreas siempre considerando el aspecto físico de la seguridad y que serán tales como: Organigrama de la Empresa

Auditoria Interna.

Administración de la Seguridad

Centros de Procesos de datos e instalaciones.

Equipos y Comunicación

Computadoras Personales

Seguridad Física del Personal

Organigrama de la Empresa

• Nos servirá para conocer las dependencias orgánicas funcionales y jerárquicas de los departamentos y los distintos cargos del personal.

Áreas de Seguridad Física

• Auditoría interna: Es un departamento independiente, que debe

guardar las auditorias pasadas, normas, procedimientos y planes de

seguridad física.

• Administración de la seguridad: Distribución de

responsabilidades, funciones, dependencias y cargos en los

componentes.

• Centro de procesos de datos e instalaciones: Ayudan a la

realización de la función informática y proporcionan seguridad las

personas

Sala de Host

Sala de Operadores

Sala de impresoras

Cámara Acorazada

Oficinas

Almacenes….

…Áreas de Seguridad Física

• Computadores personales: Equipos en los

que hay que tener mucho cuidado

especialmente cuando están conectados a la

red por seguridad de los datos.

• Equipos y comunicaciones.: El auditor debe

tomar en cuenta que estos equipos son

especiales debido a que en ellos se almacena

toda la información.

• Seguridad física del personal: Salidas y

accesos seguros, todo lo que tiene que ver con

plan de contingencia para el personal

Fuentes de Auditoría Física

• Políticas, Normas y planes sobre seguridad emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad.

• Auditorias anteriores referentes a la seguridad física.

• Contratos seguros

• Entrevistas con el personal de seguridad informático y otras cosas

• Actas e informes técnicas y consultores, que permitan diagnosticar el estado físico del edificio

• Informe sobre acceso y visitas

• Políticas del personal, planificación y distribución de tareas, contratos, etc.

• Inventarios de soporte Back-up, controles de salida y recuperación de soportes.

Objetivos de la Auditoría Física

• Se basa en la lógica “de fuera adentro” los

objetivos de la auditoría física se basan en

prioridades con el siguiente orden:

Edificio

Instalaciones

Equipamiento y telecomunicaciones

Datos

Personas

TÉCNICAS Y HERRAMIENTAS

DEL AUDITOR

Su fin es obtener la evidencia física

Técnicas

• Observación

• Revisión analítica

• Entrevistas

• Consultas

Técnicas - Observación

• Instalaciones

• Sistemas

• Cumplimiento de Normas

• Cumplimiento de Procedimientos

• Etc.

• No solo como espectador sino también como actor.

Técnicas - Revisión Analítica

• Políticas y Normas de Actividad de Sala

• Normas y Procedimientos sobre seguridad

física de los datos.

• Contratos de Seguros y de Mantenimiento

• Documentación sobre:

– Construcción y Preinstalaciones

– Seguridad Física

Técnicas - Entrevistas

• Directivos

• Personal

• Que no de la sensación de interrogatorio

Técnicas - Consultas

• Técnicos y peritos que formen parte de la

plantilla o independientes contratados

Herramientas

• Cuaderno de Campo

• Grabadora de Audio

• Máquina Fotográfica

• Cámara de Video

RESPONSABILIDADES DE

LOS AUDITORES

• No debe realizar su actividad como una mera función policial

• Debe esforzarse más en dar una imagen de colaborador que

intenta ayudar

Auditor Informático Interno

• Revisar – Controles relativos a Seguridad Física

– Cumplimiento de los Procedimientos

– Cumplimiento de Políticas y Normas sobre Seguridad Física así como de las funciones de los distintos Responsables y Administradores de Seguridad

• Evaluar Riesgos

• Participar sin perder independencia en: – Selección, adquisición e implantación de equipos y materiales

– Planes de Seguridad y de Contingencia, seguimiento, actualización, mantenimiento y prueba de los mismos

• Efectuar auditorías programadas e imprevistas

• Emitir Informes y efectuar el seguimiento de las recomendaciones

Auditor Informático Externo

• Revisar las funciones de los auditores

internos

• Mismas responsabilidades que los

auditores internos

• Revisar los Planes de Seguridad y

Contingencia.

• Efectuar pruebas sobre los planes antes

mencionados

• Emitir informes y recomendaciones

FASES DE LA AUDITORÍA

FÍSICA

El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a

las siguientes fases

Fases

1. Alcance de la Auditoría

2. Adquisición de Información General

3. Administración y Planificación

4. Plan de Auditoría

5. Resultado de las Pruebas

6. Conclusiones y Comentarios

Fases

7. Borrador del Informe

8. Discusión con los Responsables de Área

9. Informe Final

– Informe

– Anexo al Informe

– Carpeta de Evidencias

10.Seguimiento de las Modificaciones

acordadas