Está en la página 1de 21

Empresa a auditar Objetivo de Control Fecha Auditoria

Administración del Ambiente Físico. 07 07 08

Bibiana García Duque.


Auditores
Paula Andrea Zuluaga.
Responsable auditado
El propósito de está auditoria incluye la definición de los requerimientos físicos del centro de
datos, la selección de instalaciones apropiadas y el diseño de procesos efectivos para
monitorear factores ambientales y administrar el acceso físico. La administración efectiva del
ambiente físico reduce las interrupciones del negocio ocasionadas por daños al equipo de
cómputo y al personal
CONTENIDO

CONTENIDO................................................................................................................ ..................2

1. DESCRIPCIÓN DEL PROCESO............................................................................. ..................3

1.1 OBJETIVO DE CONTROL DE ALTO NIVEL ............................................................................................... 3


1.2 OBJETIVOS DE CONTROL DETALLADOS..................................................................................................4
1.3 INFORMACIÓN DE APOYO.....................................................................................................................6
1.3.1 DIRECTRICES GENERALES..................................................................................................................6
1.3.2 GRÁFICA RACI..............................................................................................................................6
1.3.3 METAS Y MÉTRICAS..........................................................................................................................7
1.4 MODELO DE MADUREZ......................................................................................................................7

2. GUÍA DE AUDIOTORIA.......................................................................................................... .11

2.1 OBJETIVOS DE CONTROL...................................................................................................................11


2.2 OBTENCIÓN DE CONOCIMIENTO..........................................................................................................11
2.2.1 RECURSO HUMANO A CONSULTAR......................................................................................................11
2.2.2 INFORMACIÓN A CONOCER................................................................................................................12
2.3 ASPECTOS A EVALUAR.......................................................................................................................12
2.3.1 EVALUACIÓN DE LOS CONTROLES, CONSIDERANDO SI:...........................................................................12
2.3.2 EVALUACIÓN DE LA SUFICIENCIA, PROBANDO QUE:..............................................................................16

2.3.3 EVALUACIÓN DEL RIESGO................................................................................................................18

2.4 HERRAMIENTAS................................................................................................................................21
Administración del Ambiente Físico
CHauditoria Consultores S.A.

1. DESCRIPCIÓN DEL PROCESO

1.1 Objetivo de control de alto nivel

La protección del equipo de cómputo y del personal, requiere de instalaciones bien


diseñadas y bien administradas. El proceso de administrar el ambiente físico
incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos para
monitorear factores ambientales y administrar el acceso físico. La administración
efectiva del ambiente físico reduce las interrupciones del negocio ocasionadas por
daños al equipo de cómputo y al personal.

Cumplimiento

Confiabilidad
Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

P P

Satisface el requisito del negocio de TI para: proteger los activos de cómputo y


la información del negocio minimizando el riesgo de una interrupción del servicio.

Enfocándose en: proporcionar y mantener un ambiente físico adecuado para


proteger los activos de TI contra acceso, daño o robo.

Descripción del proceso Página 3 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Se logra con:

Implementando medidas de seguridad físicas.

Seleccionando y administrando las instalaciones.

Y se mide con:

Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente físico.

Número de incidentes ocasionados por fallas o brechas de seguridad física.

Frecuencia de revisión y evaluación de riesgos físicos.

Focos de gobierno IT:

Primaria: Administración de Riesgos.


Secundaria: Administración de recursos.

Recursos de TI implicados:

 Infraestructura.

1.2 Objetivos de control detallados

DS12.1 Selección y diseño del centro de datos: Definir y seleccionar los centros
de datos físicos para el equipo de TI para soportar la estrategia de tecnología
ligada a la estrategia del negocio. Esta selección y diseño del esquema de un
centro de datos debe tomar en cuenta el riesgo asociado con desastres naturales

Descripción del proceso Página 4 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

y causados por el hombre. También debe considerar las leyes y regulaciones


correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.

DS12.2 Medidas de seguridad física: Definir e implementar medidas de


seguridad físicas alineadas con los requerimientos del negocio. Las medidas
deben incluir, pero no limitarse al esquema del perímetro de seguridad, de las
zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y
recepción. En particular, mantenga un perfil bajo respecto a la presencia de
operaciones críticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolución de incidentes de
seguridad física.

DS12.3 Acceso Físico: Definir e implementar procedimientos para otorgar, limitar


y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades
del negocio, incluyendo las emergencias. El acceso a locales, edificios y áreas
debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas
las personas que accedan a las instalaciones, incluyendo personal, clientes,
proveedores, visitantes o cualquier tercera persona.

DS12.4 Protección contra factores ambientales: Diseñar e implementar


medidas de protección contra factores ambientales. Deben instalarse dispositivos
y equipo especializado para monitorear y controlar el ambiente.

DS12.5 Administración de instalaciones físicas: Administrar las instalaciones,


incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo
con las leyes y los reglamentos, los requerimientos técnicos y del negocio, las
especificaciones del proveedor y los lineamientos de seguridad y salud.

Descripción del proceso Página 5 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

1.3 Información de apoyo

1.3.1 Directrices Generales

1.3.2 Gráfica RACI

Descripción del proceso Página 6 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

1.3.3 Metas y métricas

1.4 Modelo de Madurez

La administración del proceso de Administrar el ambiente físico que satisface el


requerimiento del negocio de TI de proteger los activos de TI y la información del
negocio y minimizar el riesgo de interrupciones en el negocio es:

0 No-existente cuando, no hay conciencia sobre la necesidad de proteger las


instalaciones o la inversión en recursos de cómputo. Los factores ambientales
tales como protección contra fuego, polvo, tierra y exceso de calor y humedad no
se controlan ni se monitorean.

Descripción del proceso Página 7 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

1 Inicial/Ad Hoc cuando, la organización reconoce la necesidad de contar con un


ambiente físico que proteja los recursos y el personal contra peligros naturales y
causados por el hombre. La administración de instalaciones y de equipo depende
de las habilidades de individuos clave. El personal se puede mover dentro de las
instalaciones sin restricción. La gerencia no monitorea los controles ambientales
de las instalaciones o el movimiento del personal.

2 Repetible pero intuitivo cuando, los controles ambientales se implementan y


monitorean por parte del personal de operaciones. La seguridad física es un
proceso informal, realizado por un pequeño grupo de empleados con alto nivel de
preocupación por asegurar las instalaciones físicas. Los procedimientos de
mantenimiento de instalaciones no están bien documentados y dependen de las
buenas prácticas de unos cuantos individuos. Las metas de seguridad física no se
basan en estándares formales y la gerencia no se asegura de que se cumplan los
objetivos de seguridad.

3 Proceso definido cuando, se entiende y acepta a lo largo de toda la


organización la necesidad de mantener un ambiente de cómputo controlado. Los
controles ambientales, el mantenimiento preventivo y la seguridad física cuentan
con presupuesto autorizado y rastreado por la gerencia. Se aplican restricciones
de acceso, permitiendo el ingreso a las instalaciones de cómputo sólo al personal
aprobado. Los visitantes se registran y acompañan dependiendo del individuo. Las
instalaciones físicas mantienen un perfil bajo y no son reconocibles de manera
fácil. Las autoridades civiles monitorean al cumplimiento con los reglamentos de
salud y seguridad. Los riesgos se aseguran con el mínimo esfuerzo para optimizar
los costos del seguro.

4 Administrado y medible cuando , se entiende por completo la necesidad de


mantener un ambiente de cómputo controlado y se evidencia en la estructura
organizacional y en la distribución del presupuesto. Los requerimientos de

Descripción del proceso Página 8 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

seguridad físicos y ambientales están documentados y el acceso se monitorea y


controla estrictamente. Se establecen y comunican las responsabilidades. El
personal de las instalaciones ha sido entrenado por completo respecto a
situaciones de emergencia, así como en prácticas de salud y seguridad. Están
implementados mecanismos de control estandarizados para la restricción de
accesos a instalaciones y para contrarrestar los factores ambientales y de
seguridad. La gerencia monitorea la efectividad de los controles y el cumplimiento
de los estándares establecidos. La gerencia ha establecido KPIs y KGIs para
medir la administración del ambiente de cómputo. La capacidad de recuperación
de los recursos de cómputo se incorpora en un proceso organizacional de
administración de riesgos. La información integrada se usa para optimizar la
cobertura de los seguros y de los costos asociados.

5 Optimizado cuando, hay un plan acordado a largo plazo para las instalaciones
requeridas para soportar el ambiente cómputo de la organización. Los estándares
están definidos para todas las instalaciones, incluyendo la selección del centro de
cómputo, construcción, vigilancia, seguridad personal, sistemas eléctricos y
mecánicos, protección contra factores ambientales (por ejemplo, fuego, rayos,
inundaciones, etc.). Se clasifican y se hacen inventarios de todas las instalaciones
de acuerdo con el proceso continuo de administración de riesgos de la
organización. El acceso es monitoreado continuamente y controlado estrictamente
con base en las necesidades del trabajo, los visitantes son acompañados en todo
momento. El ambiente se monitorea y controla por medio de equipo especializado
y las salas de equipo funcionan sin operadores humanos. Los KPIs y KGIs se
miden regularmente. Los programas de mantenimiento preventivo fomentan un
estricto apego a los horarios y se aplican pruebas regulares a los equipos
sensibles. Las estrategias de instalaciones y de estándares están alineadas con
las metas de disponibilidad de los servicios de TI y están integradas con la
administración de crisis y con la planeación de continuidad del negocio. La

Descripción del proceso Página 9 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

gerencia revisa y optimiza las instalaciones utilizando los KPIs y KGIs de manera
continua, capitalizando oportunidades para mejorar la contribución al negocio.

Descripción del proceso Página 10 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

2. GUÍA DE AUDIOTORIA

2.1 Objetivos de control

Seguridad Física.

Perfil difuso del lugar de las TI.

Vigilancia al Visitante.

Salud y Seguridad del Personal.

Protección frente a los Factores Ambientales.

Suministro Ininterrumpido de Energía.

2.2 Obtención de conocimiento

2.2.1 Recurso humano a consultar

Administrador de las Instalaciones.

Responsable de Seguridad.

Administrador de Riesgos.

Administración de operaciones de los servicios de información.

Administrador de la seguridad de los servicios de información.

Descripción del proceso Página 11 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

2.2.2 Información a conocer

Políticas y procedimientos de la organización relacionados con la


administración, disposición , seguridad, inventario de activos fijos e
inventario de las instalaciones, así como adquisición y arrendamiento del capital.

Políticas y procedimientos de los servicios de información relacionados con la


disposición o plano de las instalaciones, la seguridad física y lógica,
acceso, mantenimiento, salud, seguridad y requerimientos del entorno,
mecanismos de entrada y salida, informe de seguridad, contratos de seguridad y
mantenimiento, inventario de equipo, procedimientos de vigilancia, y
requerimientos regulatorios.

Una lista de los individuos que tienen acceso a las instalaciones y la


disposición o plano de las instalaciones.

Una lista de los acuerdos de resultado, capacidad y nivel de servicios con


respecto a las expectativas de resultado de los recursos de los sistemas de
información (equipo e instalaciones), incluyendo estándares industriales.

Copia del documento de planificación de recuperación y contingencia en caso de


desastre.

2.3 Aspectos a evaluar

2.3.1 Evaluación de los controles, considerando si:

La localización de las instalaciones no es obviamente externa, se encuentra en el


área u organización menos accesible, y si el acceso es limitado al menor
número de personas.

Descripción del proceso Página 12 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Los procedimientos de acceso lógico y físico son suficientes, incluyendo


perfiles de seguridad de acceso para empleados, proveedores, equipo y
personal de mantenimiento de las instalaciones.
Los procedimientos y prácticas de administración de llave ("Key" ) y lectora de
tarjetas ("card reader") son adecuados, incluyendo la actualización y revisión
continuas tomando como base una “menor necesidad de acceso”.

Las políticas de acceso y autorización de entrada y salida, escolta, registro,


pases temporales requeridos, cámaras de vigilancia son apropiadas para todas las
áreas y especialmente para las áreas más sensibles.

Se llevan a cabo revisiones periódicas de los perfiles de acceso,


incluyendo revisiones administrativas.

Existen y se llevan a cabo los procesos de revocación, respuesta y priorización en


caso de violaciones a la seguridad.

Existe el proceso de “signage” con respecto a la no identificación de las áreas


sensibles, y si es consistente con los requerimientos de seguro, código de
construcción local y regulatorios.

Las medidas de control de seguridad y acceso incluyen los dispositivos de


información portátiles utilizados fuera del sitio.

Se lleva a cabo una revisión de los registros de los visitantes, asignación


de pases, escolta, persona responsable del visitante, log para asegurar tanto
los registros de entradas como de salidas y el conocimiento de la recepcionista
con respecto a los procedimientos de seguridad.

Se lleva a cabo una revisión de los procedimientos de aviso contra


incendio, cambios de clima, problemas eléctricos y procedimientos de alarma, así

Descripción del proceso Página 13 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

como las respuestas esperadas en los distintos escenarios para los diferentes
niveles de emergencias ambientales.

Se lleva a cabo una revisión de los procedimientos de control del aire


acondicionado, ventilación, humedad y las respuestas esperadas en los
distintos escenarios de pérdida o extremos no anticipados.

Existe una revisión del proceso de alarma al ocurrir una violación de la


seguridad, que incluye:

Definición de la prioridad de la alarma (por ejemplo, apertura de la puerta


por parte de una persona armada que ha entrado en las instalaciones).
Escenarios de respuesta para cada alarma.

Responsabilidades del personal interno y personal de seguridad local o


proveedores.
Interacción con las autoridades locales.
Revisión del simulacro de alarma más reciente.

La organización es responsable del acceso físico dentro de los servicios de


información, incluyendo:

Desarrollo, mantenimiento y revisiones continuas de las políticas y


procedimientos de seguridad.
Establecimiento de las relaciones con proveedores relacionados con la
seguridad.
Contacto con la administración de las instalaciones en cuanto a los
problemas de tecnología relacionados con la seguridad.
Coordinación de la formación y concienciación sobre la seguridad para la
organización.

Descripción del proceso Página 14 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Coordinación de las actividades que afectan al control de acceso lógico vía


aplicaciones centralizadas y software del sistema operativo.
Proporcionar formación y crear conciencia de seguridad no sólo dentro de
los servicios de información, sino para los servicios de usuarios.

Se llevan a cabo prácticas de distribuidores automáticos y servicios de


conserjería para investigación del personal en las instalaciones de la
organización.

Se llevan a cabo la actualización y negociación del contenido de los contratos de


servicio.

Los procedimientos de las pruebas de penetración y los resultados.

Coordinan los escenarios de la prueba de penetración física.


Coordinan la prueba de penetración física con los proveedores y
autoridades locales.

Se cumple con las regulaciones de salud, seguridad y entorno.

La seguridad física se toma en cuenta en el plan de recuperación y


contingencia en caso de desastre y abarca una seguridad física similar en las
instalaciones aprovisionadas.

Existen elementos de infraestructura específicos alternativos necesarios para


implementar seguridad:
• Fuente de poder ininterrumpida (UPS). 
• Alternativas o cambio de las rutas de las  líneas de telecomunicaciones. 
• Recursos alternativos de agua, gas, aire acondicionado y humedad.

Descripción del proceso Página 15 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

2.3.2 Evaluación de la suficiencia, probando que:

El personal tiene conciencia y comprende la necesidad de la seguridad y


controles.

Los armarios cableados están físicamente protegidos con el acceso posible


autorizado y el cableado se encuentra bajo tierra o conductos protegidos tanto
como sea posible.

El proceso de “signage” identifica rutas de emergencia y qué hacer en caso de


una emergencia o violación de la seguridad.

Los directorios de teléfono en otra partes de la instalación no identifican


localidades sensibles.

El log de visitantes sigue apropiadamente los procedimientos de seguridad.

Existen los procedimientos de identificación requeridos para cualquier


acceso dentro o fuera vía observación.

Las puertas, ventanas, ascensores, ventiladores y conductos o cualquier


otro modo de acceso están identificados.

La sala de servidores está separada, cerrada y asegurada y se accede


únicamente por el personal de operaciones y personal de mantenimiento
tomando como base un “acceso necesario”.

El personal de las instalaciones rota por turnos y toma vacaciones y


descansos apropiados.

Existen los procedimientos de mantenimiento y registro para un oportuno


resultado de trabajo.

Descripción del proceso Página 16 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Se informa sobre las variaciones de las políticas y procedimientos en las


operaciones del segundo y tercer turno.

Los planes físicos son actualizados a medida que cambia la configuración,


el entorno y las instalaciones.
Los registros y el equipo de seguimiento de seguridad - debajo, en, sobre,
y alrededor – se mantienen.

No se almacenan útiles peligrosos.

Existe el seguimiento de la auditoría de control de acceso sobre el software de


seguridad o informes clave de administración.

Se ha realizado un seguimiento sobre cualquier emergencia ocurrida en el


pasado o sobre su documentación.

El personal con acceso son empleados reales.

Se llevan a cabo verificaciones de suficiencia de la clave de acceso de la


administración.

Se ofrece una educación en seguridad física y concienciación sobre seguridad.

Existe una cobertura y experiencia de seguros para los gastos asociados con
algún evento de seguridad, pérdida de negocio y gastos para recuperar la
instalación.

El proceso para la implementación de cambios de acceso para llaves y


controles de los procesos lógicos es continuo y conocido.

El entorno cumple con los requerimientos reguladores establecidos.

Descripción del proceso Página 17 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Los logs de mantenimiento de las alarmas no se pueden modificar


inapropiadamente.

La frecuencia de los cambios de los códigos de acceso y las revisiones del


perfil – involucramiento de usuario e instalaciones – está documentada.

2.3.3 Evaluación del riesgo

2.3.3.1 Llevando a cabo:

Mediciones (“Benchmarking”) de la administración de las instalaciones con


respecto a organizaciones similares o estándares internacionales y buenas
prácticas reconocidas en la industria.
Comparaciones del plano físico con el crecimiento del edificio y los dispositivos de
seguridad.

Determinaciones sobre:

La no aparición de la instalación en sí como una localidad de los servicios de


sistemas, ni siquiera sugerida indirectamente vía direcciones, señalización de
estacionamiento, etc.
La limitación del número de puertas por códigos locales de construcción y
seguro.
La suficiente protección de las instalaciones a través de barreras físicas
para evitar el acceso inapropiado de vehículos y personas.
Patrones de tránsito para asegurar que el flujo no dirige a las personas
hacia las áreas de seguridad.

Descripción del proceso Página 18 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

La suficiencia del seguimiento con videos y la revisión de cintas.

La existencia de espacio apropiado para la sala de servidores en cuanto a


acceso, temperatura y mantenimiento.
La suficiencia y disponibilidad de las cubiertas para el equipo contra agua o
elementos externos en caso de emergencia.
La revisión de los logs de mantenimiento de alarmas y la información sobre el
último informe de simulacro.

Pruebas sobre temperatura, humedad, electricidad – sobre y debajo de los


suelos; si se han producido anomalías, cuáles fueron las actividades de
investigación y las soluciones resultantes.

Revisiones de todos los seguros y bisagras (bisagras dentro de la habitación).

Una visita de las instalaciones para determinar si se llevan a cabo detenciones e


interrogatorios sobre el hecho de no llevar tarjeta identificativa.

Revisiones de la cobertura del guardia o recepcionista cuando un visitante


es escoltado a través de las instalaciones.

Pruebas de seguridad de penetración en las instalaciones.

2.3.3.2 Identificando

Suficiencia de “signage”, extinguidores de incendios, sistemas de aspersión,


UPS, drenaje, cableado y mantenimiento regular.

Para las ventanas: asegurar que ningún recurso es visible desde el


exterior, que no existen “aparadores” en el centro de datos.
Determinación de las pruebas de seguridad de penetración.

Descripción del proceso Página 19 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

Pruebas de visitantes, incluyendo registro, tarjeta identificativa, escolta,


inspección, salida.

Discrepancias en los log de los visitantes y en las tarjetas identificativas de los


mismos.

Evaluación de los perfiles e historia de acceso tomando como base el informe


clave de la administración incluyendo el reemplazo de la tarjeta identificativa y
tarjetas maestras, y artículos perdidos inactivos.

Revisión de las estadísticas sobre desastres locales.

Desarrollo de los escenarios de penetración en caso de desastre.

Contratos de los proveedores para asegurar que se lleva a cabo una


investigación del personal y el cumplimiento con los requerimientos de salud y
seguridad.

Pruebas de UPS y verificar que los resultados cumplen con los requerimientos
operacionales y la capacidad para sostener las actividades críticas del
procesamiento de datos.

Pruebas de acceso de información (logs, cintas, registros) para asegurar


que éstos se revisan por los usuarios y la administración en cuando a su
propiedad.

Pruebas de procedimientos de seguimiento de la entrada a la instalación cerca


del área.

Descripción del proceso Página 20 de 21


Administración del Ambiente Físico
CHauditoria Consultores S.A.

2.4 Herramientas

Las herramientas para esta auditoria están consignadas en Herramientas Auditoria


DS12

Descripción del proceso Página 21 de 21