AUDITORIA DE LA SEGURIDAD

FISICA
 AGENDA
PRESENTACION
CONCEPTO
MEDIDAS
AREAS
FUENTES
TECNICAS Y HERRAMIENTAS DEL AUDITOR
FASES
PREGUNTAS
 AUDITORIA DE SEGURIDAD FISICA
Concepto: Se refiere a la protección de hardware y los soportes de datos, así
también como la seguridad de los edificios y las instalaciones que lo albergan. Esto
contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes
naturales; Consiste en la "aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial".
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en que se encuentra ubicado el
centro.
 SEGURIDAD FISICA
Garantiza la integridad de los activos humanos,
lógicos y material de un CPD.
No están claras los límites , dominios y
responsabilidades de los tres tipos de seguridad
que a los usuarios les interesa: seguridad lógica,
seguridad física y seguridad de las
comunicaciones
Se deben tener medidas para atender los riesgos
de fallos, local o general.
 Objetivos
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Los objetivos de la seguridad física se basan en prioridades con el siguiente orden:

 Edificio
 Instalaciones
Equipamiento y Telecomunicaciones
 Datos y
 Personas
 características

Perímetro de Seguridad Física 

Controles de Acceso Físico

Protección de Oficinas, Recintos e Instalaciones

Trabajo en áreas seguras

Acceso a las áreas de distribución y recepción de cargas

 MEDIDAS…

Antes
 Obtener y mantener un nivel adecuado de seguridad física sobre
los activos

Durante
 Ejecutar un plan de contingencia adecuado

Después
 Los contratos de seguros pueden compensar en mayor o menor
medida las pérdidas, gastos o responsabilidades que se puedan
derivar una vez detectado y corregido el Fallo.
ANTES

El nivel adecuado de seguridad física , o grado de seguridad, es un conjunto de acciones

utilizadas para evitar el fallo, o aminorar las consecuencias.
Es un concepto general , no solo informático, en las que las personas hagan uso
particular o profesional de los entornos físicos.
ANTES

Ubicación del edificio

Ubicación del CPD
Compartimentación
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Selección del personal
Seguridad de los medios
Medidas de protección
Duplicación de los medios
 DURANTE
Desastre: es cualquier evento , que cuando ocurre,
tiene la capacidad de interrumpir e normal
proceso de una empresa.
Se debe contar con los medios para afrontarlo
cuando éste ocurra.
Los medios quedan definidos en el Plan de
recuperación de desastres, junto con el centro
alternativo de proceso de datos, constituyen el
Plan de Contingencia.
 DURANTE

Plan de contingencia inexcusablemente debe:

 Realizar un análisis de riesgos de sistemas críticos
 Establecer un período crítico de recuperación
 Realizar un análisis de las aplicaciones críticas
estableciendo prioridades de proceso.
 Establecer prioridades de procesos por días del año de las
aplicaciones y orden de los procesos
 Establecer objetivos de recuperación que determinen el
período de tiempo (horas, dias , semanas) entre la
declaración del desastre y el momento en que el centro
alternativo puede procesar las aplicaciones críticas.
DURANTE

 Designar, entre los distintos tipos existentes, un centro alternativo de proceso de datos.
 Asegurar la capacidad de las comunicaciones
 Asegurar la capacidad de los servicios de Back-up
DESPUÉS

De la gama de seguros pueden darse:

 Centro de proceso y equipamiento
 Reconstrucción de medios de software
 Gastos extra ( continuidad de las operaciones y permite
compensar la ejecución del plan de contingencia)
 Interrupción del negocio ( cubre pérdidas de beneficios
netos causados por la caida de sistemas)
 Documentos y registros valiosos
DESPUÉS

 Errores y omisiones
 Cobertura de fidelidad
 Transporte de medios
 Contratos con proveedores y de mantenimiento
DESPUÉS
Edificio :
 Debe encargarse a peritos especializados
 DESPUÉS

Las Áreas en que el auditor revisar directamente

 Organigrama de la empresa
 Dependencias orgánicas, funcionales y jerárquicas.
 Separación de funciones y rotación del personal
 Da la primera y más amplia visión del Centro de Proceso

 Auditoría Interna
 Personal, planes de auditoria, historia de auditorias físicas
DESPUÉS

 Administración de la seguridad

 Director o responsable de la seguridad integral

 Responsable de la seguridad informática
 Administradores de redes
 Administradores de Base de datos
 Responsables de la seguridad activa y pasiva del entorno físico
 Normas, procedimientos y planes existentes
 DESPUÉS

 Centro de proceso de datos e instalaciones

 Entorno en donde se encuentra el CPD
 Sala de Host
 Sala de operadores
 Sala de impresoras
 Cámara acorazada
 Oficinas
 Almacenes
 Instalaciones eléctricas
 Aire acondicionado
 DESPUÉS

 Equipos y comunicaciones
 Host, terminales, computadores personales, equipos de
almacenamiento masivo de datos, impresoras, medios y sistemas de
telecomunicaciones.
 DESPUÉS

 Seguridad física del personal

 Accesos seguros
 Salidas seguras
 Medios y rutas de evacuación, extinción de incendios, sistemas de
bloqueos de puertas y ventanas
 Normas y políticas emitidas y distribuidas al personal referente al uso
de las instalaciones por el personal
 FUENTES DE LA AUDITORIA FISICA
Deberían estar accesibles
Informes de accesos y
visitas
Políticas , normas y
planes de seguridad

Informes sobre pruebas de

Auditorías anteriores, evacuación
generales o parciales

Contratos de seguros, de Políticas del personal

proveedores y de
mantenimiento

Actas e informes de
técnicos y consultores
Inventarios de soportes (cintoteca
, back-up, procedimientos de
archivos, controles de salida y
recuperación de soporte, control
de copias, etc.)
 FUENTES DE LA AUDITORIA FISICA
Políticas , normas
y planes de
seguridad

La políticas de seguridad son esencialmente orientaciones e

instrucciones que indican cómo manejar los asuntos de
seguridad y forman la base de un plan maestro para la
implantación efectiva de medidas de protección tales como:
identificación y control de acceso, respaldo de datos, planes
de contingencia y detección de intrusos.
FUENTES DE LA AUDITORIA FISICA

Auditorías
anteriores, generales
o parciales
FUENTES DE LA AUDITORIA FISICA

Contratos de
seguros, de
proveedores y de
mantenimiento
FUENTES DE LA AUDITORIA FISICA
Actas e informes de
técnicos y
consultores
FUENTES DE LA AUDITORIA FISICA

Informes de
accesos y visitas
FUENTES DE LA AUDITORIA FISICA
Informes sobre pruebas de
evacuación
 FUENTES DE LA AUDITORIA FISICA
Políticas del personal

Recursos Humanos" son los capitales de energía física e

inteligente, de que son propietarias cada una de las personas
componentes de la organización, y que aportan en mayor o
menor medida cantidad y calidad a la misma.

De todos los recursos, el recurso humano es el que impulsa los

demás recursos, y el único que es fuente de creatividad e
innovación.
 FUENTES DE LA AUDITORIA FISICA

Inventarios de soportes (cintoteca ,

back-up, procedimientos de
archivos, controles de salida y
recuperación de soporte, control de
copias, etc.)

Se denomina Cintoteca al almacén de los medios magnéticos ( cinta

magnética, disquete, casetes, cartuchos, Discos removibles, CD, etc.) y de la
información que estos contienen.
Las cintas y otros soportes han de ser guardados de un determinado modo para
proteger la información que contienen de elementos externos

Los Backups se utilizan para tener una o más copias de información

considerada importante y así poder recuperarla en el caso de pérdida de
la copia original.
 Técnicas y herramientas del auditor

Técnicas:
Observación de las instalaciones, sistemas, cumplimiento de normas y
procedimientos, ( tanto de espectador como actor)
Revisión analítica de:
Documentación sobre construcción y preinstalaciones
Documentación sobre seguridad física
Políticas y normas de actividad de sala
Normas y procedimientos sobre seguridad física de los datos Contratos
de seguros y de mantenimiento
Entrevistas con directivos y personal fijo o temporal ( no es
interrogatorio)
Consultas a técnicos y peritos que formen parte de la plantilla o
independientes
 Técnicas y herramientas del auditor

Herramientas:

Cuaderno de campo/ grabadora de audio

Máquina fotográfica / cámara de video

Su uso debe ser discreto y con autorización

FASES DE LA AUDITORÍA
FÍSICA
Considerando la metodología de ISACA (Information
Systems Audit and Control Association)
 Fase 1 Alcance de la Auditoría
 Fase 2 Adquisición de Información general
 Fase 3 Administración y Planificación
 Fase 4 Plan de auditoría
 Fase 5 Resultados de las Pruebas
 Fase 6 Conclusiones y Comentarios
 Fase 7 Borrador del Informe
 Fase 8 Discusión con los Responsables de Area
 Fase 9 Informe Final
 Informe – anexo al informe – carpeta de evidencias
 Fase 10 Seguimiento de las modificaciones acordadas
ALCANCE DE LA AUDITORIA
FISICA
ADQUISICION DE INFORMACION
GENERAL
ADMINISTRACION Y
PLANIFICACION