AUDITORA FSICA

Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS. REAS DE LA SEGURIDAD FSICA QUE DEBEN TENERSE EN CUENTA: a.) Instalaciones, edificacin: Dada la poca experticia del auditor Informtico en este campo se deber incluir un perito que realice la evaluacin correspondiente a la infraestructura fsica del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tpicos. A tener en cuenta estn: 1. 2. 3. 4. 5. 6. Ubicacin del edificio Ubicacin del CPD dentro del edificio Elementos de construccin Potencia elctrica Sistemas contra incendios. Inundaciones

El auditor informtico debe interesarse de manera personal en: b.) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgnicas, funcionales y jerrquicas, los diferentes cargos. Da la primera visin de conjunto del Centro de Proceso. c. ) Auditora Interna: Debern solicitarse los documentos de las auditoras anteriores, normas, procedimientos y planes que sobre seguridad fsica se tengan al departamento de auditora o en su defecto al encargado de calidad. d.) Administracin de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes:

Director o responsable de la seguridad integral. Responsable de la seguridad informtica. Administradores de redes. Administradores de bases de datos.

e.) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe realizar su funcin: Las instalaciones son elementos, accesorios que deben ayudar a la realizacin de la funcin informtica y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras:

Sala de Hosts Sala de impresoras Oficinas Almacenes Sala de acondicionamiento elctrico Aire Acondicionado reas de descanso, etc.

f.) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Se debe inspeccionar su ubicacin dentro del CPD y el control de acceso a los elementos restringidos. g.) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los back- up's, as como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los mtodos y mecanismos de bloqueo al acceso de informacin no autorizada, inspeccionando o verificando dichos accesos. h.) Seguridad fsica del personal: accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc. FUENTES BSICAS DE LA AUDITORA FSICA El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.

Polticas, normas y procedimientos. Auditoras anteriores. Contratos de seguros, proveedores y de mantenimiento. Entrevistas con el personal de seguridad, personal informtico, personal de limpieza,

etc.

Actas e informes tcnicos de peritos que diagnostiquen el estado fsico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc. Informes de accesos y visitas. Polticas de personal: Revisin de antecedentes personales y laborales,procedimientos de cancelacin de contratos, rotacin en el trabajo, contratos fijos, y temporales. Inventario de archivos: fsicos y magnticos: back-up, procedimiento de archivo, control de salida y recuperacin de soportes, control de copias, etc. TCNICAS Y HERRAMIENTAS DEL AUDITOR

Tcnicas. Observacin Revisin analtica de la documentacin. Entrevistas con el personal. Consultores o tcnicos y/o peritos. Herramientas Cuaderno y/o grabadora de audio. Cmara fotogrfica y/o grabadora de video. RESPONSABILIDADES DE LOS AUDITORES Auditor informtico interno:

Revisar los controles relativos a la seguridad fsica. Revisar el cumplimiento de los procedimientos Evaluar riesgos Participar en la seleccin, adquisicin e implantacin de equipos y materiales. Participar en la creacin de planes de contingencia. Revisin del cumplimiento de las polticas y normas de seguridad fsica. Efectuar auditoras programadas. Emitir informes y efectuar el seguimiento de las recomendaciones.

Auditor informtico externo: Revisar las funciones del auditor informtico interno. Efectuar pruebas a los planes de contingencia. Mismas del A.I.I. Emitir informes y recomendaciones.