Auditoria de la seguridad fisica
-
Upload
israel-rey -
Category
Engineering
-
view
85 -
download
1
Transcript of Auditoria de la seguridad fisica
![Page 1: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/1.jpg)
AUDITORIA DE AUDITORIA DE LA LA
SEGURIDAD SEGURIDAD FISICAFISICA
![Page 2: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/2.jpg)
AuditoriaAuditoria• La auditoría física no se debe
limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
![Page 3: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/3.jpg)
LA SEGURIDAD LA SEGURIDAD FISICAFISICA
• La seguridad física Existen tres tipos de seguridad: Seguridad lógica. Seguridad física. Seguridad de las comunicaciones. La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales Contingencia: es la proximidad de algún daño como riesgo de fallo local o general en una relación con la cronológica
![Page 4: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/4.jpg)
Medidas…Medidas…• Antes
o Obtener y mantener un nivel adecuado de seguridad física sobre los activos
• Duranteo Ejecutar un plan de contingencia adecuado
• Despuéso Los contratos de seguros pueden
compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.
![Page 5: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/5.jpg)
AntesAntes• El nivel adecuado de seguridad física , o grado de
seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
• Es un concepto general , no solo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
![Page 6: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/6.jpg)
AntesAntes• Ubicación del edificio• Ubicación del CPD• Compartimentación• Elementos de construcción• Potencia eléctrica• Sistemas contra incendios• Control de accesos• Selección del personal• Seguridad de los medios• Medidas de protección• Duplicación de los medios
![Page 7: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/7.jpg)
DuranteDurante• Desastre: es cualquier evento ,
que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa.
• Se debe contar con los medios para afrontarlo cuando éste ocurra.
• Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.
![Page 8: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/8.jpg)
DuranteDurante• Plan de contingencia inexcusablemente
debe:o Realizar un análisis de riesgos de sistemas críticoso Establecer un período crítico de recuperacióno Realizar un análisis de las aplicaciones críticas estableciendo
prioridades de proceso.o Establecer prioridades de procesos por días del año de las
aplicaciones y orden de los procesoso Establecer objetivos de recuperación que determinen el período
de tiempo (horas, días , semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.
![Page 9: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/9.jpg)
DuranteDuranteo Designar , entre los distintos tipos existentes, un centro alternativo de
proceso de datos.o Asegurar la capacidad de las comunicacioneso Asegurar la capacidad de los servicios de Back-up
![Page 10: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/10.jpg)
DespuésDespués• De la gama de seguros pueden darse:
o Centro de proceso y equipamientoo Reconstrucción de medios de softwareo Gastos extra ( continuidad de las operaciones y
permite compensar la ejecución del plan de contingencia)
o Interrupción del negocio ( cubre pérdidas de beneficios netos causados por la caida de sistemas)
o Documentos y registros valiosos
![Page 11: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/11.jpg)
Areas de la Areas de la seguridad físicaseguridad física
• Edificio :o Debe encargarse a peritos especializados
• Las áreas en que el auditor chequea directamente :o Organigrama de la empresa
• Dependencias orgánicas, funcionales y jeráraquicas.• Separación de funciones y rotación del personal• Da la primera y más amplia visión del Centro de Proceso
o Auditoría Interna• Personal, planes de auditoria, historia de auditorias
físicas
![Page 12: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/12.jpg)
Areas de la Areas de la seguridad físicaseguridad física
o Administración de la seguridad• Director o responsable de la seguridad integral• Responsable de la seguridad informática• Administradores de redes• Administradores de Base de datos• Responsables de la seguridad activa y pasiva del
entorno físico• Normas, procedimientos y planes existentes
o Centro de proceso de datos e instalaciones• Entorno en donde se encuentra el CPD• Sala de Host• Sala de operadores• Sala de impresoras• Cámara acorazada• Oficinas• Almacenes• Instalaciones eléctricas• Aire acondicionado
![Page 13: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/13.jpg)
Áreas de la Áreas de la seguridad físicaseguridad física
o Equipos y comunicaciones• Host, terminales, computadores
personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.
o Seguridad física del personal• Accesos seguros• Salidas seguras• Medios y rutas de evacuación,
extinción de incendios, sistemas de bloqueos de puertas y ventanas
• Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal
![Page 14: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/14.jpg)
Fuentes de la Fuentes de la auditoría Físicaauditoría Física
• Debieran estar accesibles:o Políticas , normas y planes de
seguridado Auditorías anteriores, generales o
parcialeso Contratos de seguros, de
proveedores y de mantenimientoo Actas e informes de técnicos y
consultoreso Informes de accesos y visitaso Informes sobre pruebas de
evacuacióno Políticas del personalo Inventarios de soportes
( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperación de soporte, control de copias, etc.)
![Page 15: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/15.jpg)
Normas ISONormas ISO• es un conjunto de normas sobre calidad y
gestión continua de calidad, establecidas por la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios. Las normas recogen tanto el contenido mínimo como las guías y herramientas específicas de implantación, como los métodos de auditoría.
![Page 16: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/16.jpg)
Su implantación, aunque supone un duro trabajo, ofrece numerosas ventajas para las empresas, entre las que se cuentan con:
•Estandarizar las actividades del personal que trabaja dentro de la organización por medio de la documentación•Incrementar la satisfacción del cliente•Medir y monitorizar el desempeño de los procesos•Disminuir re-procesos•Incrementar la eficacia y/o eficiencia de la organización en el logro de sus objetivos•Mejorar continuamente en los procesos, productos, eficacia, etc.•Reducir las incidencias de producción o prestación de servicios
![Page 17: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/17.jpg)
Técnicas del auditorTécnicas del auditor• Técnicas:
o Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor)
o Revisión analítica de:• Documentación sobre construcción y
preinstalaciones• Documentación sobre seguridad física• Políticas y normas de actividad de sala• Normas y procedimientos sobre seguridad
física de los datos• Contratos de seguros y de mantenimiento
o Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)
o Consultas a técnicos y peritos que formen parte de la plantilla o independientes
![Page 18: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/18.jpg)
o Cuaderno de campo/ grabadora de audioo Máquina fotográfica / cámara de video
• Su uso debe ser discreto y con autorización
Herramientas:
![Page 19: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/19.jpg)
Fases de la auditoría Fases de la auditoría físicafísica
o Fase 1 Alcance de la Auditoríao Fase 2 Adquisición de Información
generalo Fase 3 Administración y Planificacióno Fase 4 Plan de auditoríao Fase 5 Resultados de las Pruebaso Fase 6 Conclusiones y Comentarios
![Page 20: Auditoria de la seguridad fisica](https://reader033.fdocuments.ec/reader033/viewer/2022061611/55d30cd7bb61eb34468b47a8/html5/thumbnails/20.jpg)
o Fase 7 Borrador del Informeo Fase 8 Discusión con los Responsables
de Áreao Fase 9 Informe Final
• Informe – anexo al informe – carpeta de evidencias
o Fase 10 Seguimiento de las modificaciones acordadas