REPÚBLICA BOLIVARINA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN UNIVERSITARIA,
CIENCIA Y TECNOLOGÍA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA DE LA FUERZA
ARMADA NACIONAL BOLIVARIANA
U.N.E.F.A
NUCLEO LARA, EXTENSION: BARQUISIMETO

AUDITORIA DE SISTEMAS
(AUDITORIA FISICA Y OFIMATICA)

ESTUDIANTES:
JORVI NOGALES C.I. V-26.797.112
YORGELIS VILARO C.I. V-26.461.206
PEDRO LOPEZ C.I. V-25.961.206
DANIEL VASQUEZ C.I. V-25.348.761

SECCION:
ING. EN SISTEMA 8D01IS.

PROFESOR(A) DE LA MATERIA:
EDECIO R. FREITEZ

BARQUISIMETO, NOVIEMBRE 2020

 LA AUDITORÍA FÍSICA

LA SEGURIDAD FÍSICA
Es el conjunto de mecanismos y acciones que buscan la detección y prevención de
riesgos, con el fin de proteger algún recurso o bien material. La seguridad física orientada a
domicilios, oficinas y otras edificaciones es puesta en práctica por la ciudadanía y por
profesionales en el área (seguridad privada, cerrajeros, sistemas de vigilancia). Cualidad de
estar libre y exento de todo peligro, daño o riesgo. Garantiza la integridad de los activos
humanos, lógicos y materiales de un centro de proceso de datos.

Los profesionales en cerrajería suelen ser actores directos en el plan de seguridad física
porque se encargan de la instalación y mantenimiento de los elementos que componen el
sistema de seguridad (puertas, ventanas y otros accesos). Con el avance de la tecnología,
nuevos profesionales se han sumado al equipo de trabajo de los planes de seguridad física.

SEGURIDAD FÍSICA Y SU AVANCE TECNOLÓGICO

La automatización de procesos en una vivienda, conocida como demótica, es parte del

avance tecnológico de la seguridad física en búsqueda de mejorar la sensación de seguridad
del ser humano en sociedad. La tecnología de fabricación de piezas de cerrajería también ha
evolucionado de acuerdo a las nuevas necesidades de protección. Actualmente las
cerraduras inteligentes y los sistemas reforzados de apertura y cierre de puertas proveen un
nuevo nivel de seguridad para recintos, tanto comerciales como residenciales.

SEGURIDAD FÍSICA ANTES

Se evalúa el Grado de seguridad, que es un conjunto de acciones utilizadas para evitar

el fallo o, en su caso, minorizar las consecuencias que de él se puedan derivar. Obtener y
mantener un nivel adecuado de seguridad física sobre los activos (Ubicación del edificio,
potencia eléctrica y seguridad de los medios de información). Como consecuencia la
disminución de la sensación de seguridad en los seres humanos, se plantearon mecanismos
para la detección y prevención de situaciones de riesgos en espacios físicos.
 Para la detección y prevención de riesgo se toman en cuentan variables fundamentales
entre las que se encuentran:

Estudio del entorno en riesgo.

Probabilidad de ocurrencia de riesgos de acuerdo al tipo.
Características del recinto a proteger.
Ubicación del edificio
Ubicación del CPD
Compartimentación
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Selección del personal
Seguridad de los medios
Medidas de protección
Duplicación de los medios

SEGURIDAD FÍSICA DURANTE

Se evalúa Desastre, es cualquier evento que cuando ocurre tiene la capacidad de

interrumpir el normal proceso de una empresa. Se debe ejecutar un plan de contingencia
adecuada, analizando los riesgos del sistema, de las aplicaciones, estableciendo los
objetivos de nuestra seguridad, determinando las prioridades del proceso, y, además,
asignar las capacidades de comunicaciones y de servicios. Evaluar y controlar
permanentemente la seguridad física del edificio es la base para o comenzar a integrar la
seguridad como una función primordial dentro de cualquier organismo. Una vez que se ha
detectado una posible situación de riesgo, se planifican las acciones de seguridad física. La
planificación suele depender de:

Expectativa de seguridad
Tecnología a emplear
Presupuesto para la inversión en seguridad
Entre los elementos típicos que se incluyen en un plan de seguridad física están:

Protección para accesos (puertas, ventanas y otros).

Sistemas de vigilancia monitorizados (cámaras).
Sistemas de seguridad privada.
lineamientos de seguridad para usuarios (cómo mantener el nivel de seguridad con
acciones cotidianas).
Realizar un análisis de riesgos de los sistemas críticos.
Establecer un periodo crítico de recuperación.
Realizar un análisis de las aplicaciones críticas estableciendo prioridades de
proceso.
Establecer prioridades de procesos por días del año de las aplicaciones y orden de
los procesos.
Establecer objetivos de recuperación que determinen el periodo de tiempo entre la
declaración del desastre y el momento en el que el centro alternativo puede procesar
las aplicaciones críticas.
Designar entre los distintos tipos existentes un centro alternativo de proceso de
datos.
Asegurar la capacidad de las comunicaciones.
Asegurar los servicios de back-up

SEGURIDAD FÍSICA DESPUÉS

Se evalúa la resolución de problemas. Los contratos de seguros pueden confesar en

mayor o menor medida de los perdidos gastos o responsabilidades que se puedan derivar
una vez detectado y corregido el fallo. Los principales intereses de los centros de seguros
son:

Centro de proceso y equipamiento.

Reconstrucción de medios de software.
Gastos extra.
Interrupción del negocio.
Documentos y registros valiosos.
 Errores y omisiones.
Cobertura de fidelidad.
Transporte de medios.
Contratos con proveedores y de mantenimiento.

ÁREAS DE LA SEGURIDAD FÍSICA

Organigrama de la Empresa
Auditoría Interna
Centro de Proceso de Datos (CPD)
Equipos y Comunicaciones• Computadores personales
Seguridad Física del Personal

DEFINICIÓN DE AUDITORÍA FÍSICA

En informática lo físico no solo se refiriere al hardware, es un soporte tangible del

software, es decir, es todo cuanto rodea o incluye al ordenador. La auditoría es el medio
que proporciona la seguridad física en el ámbito en el que se va a realizar la labor. La
auditoría física, sea interna o externa, no es otra cosa que una auditoria parcial, por lo que
no difiere de la auditoría general más que en el alcance de la misma.

Esta también tiene como objetivo comprobar la existencia de los medios físicos, así
como su funcionalidad, racionalidad y seguridad.

FUENTES DE LA AUDITORÍA FÍSICA

Entre las fuentes tenemos:

Políticas, normas y planes sobre seguridad, emitidos y distribuidos por la dirección

de la empresa y por el departamento de seguridad
Auditorias anteriores, referentes a la seguridad física o cualquier otro tipo de
auditoría que se relacione con la seguridad física.
Contratos de seguros
Entrevistas con el personal de seguridad informático y otras actividades
 Actas e informes de técnicos y consultores, que permitan diagnosticar el estado
físico del edificio, y además que informen sobre la calidad y estado de los sistemas
de seguridad
Informe sobre accesos y visitas
Políticas de personal. Planificación y distribución de tareas, contratos, etc
Inventarios de soporte Back-up, controles de salida y recuperación de soportes

En todo CPD (Centro de procesamiento de datos) se señalan algunas fuentes como:

Políticas, normas y planes sobre seguridad

Auditorias anteriores
Contratos de seguros, de proveedores y mantenimiento
Entrevistas.
Actas e informes de técnicos y consultores
Plan de contingencia y valoración de pruebas
Informes sobre accesos y visitas
Políticas de personal
Inventarios de soporte

OBJETIVOS DE LA AUDITORÍA FÍSICA

Los objetivos van en un orden lógico "de afuera a dentro", ejemplo:

Edificio
Instalaciones
Equipamiento y telecomunicaciones 
Datos 
Persona

TÉCNICAS Y HERRAMIENTAS DEL AUDITOR

Técnicas del auditor

Observación de las instalaciones, sistemas de Normas y Procedimientos, etc.

Revisión analítica de:
  Documentación sobre construcción , preinstalaciones y seguridad física
 Políticas y Normas de Actividad de Sala
 Normas y Procedimientos sobre seguridad física de los datos
 Contratos de Seguros y de Mantenimiento•
Entrevistas con directivos y personal
Consultas a técnicos

Herramientas del auditor

Cuaderno de campo/grabadora de audio

Máquina fotográfica/cámara de video

RESPONSABILIDADES DE LOS AUDITORES

El auditor deberá responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma
de actuar como cortapisa de injerencias extra profesionales. Responsabilidad en los casos
en que, debido a errores humanos durante la ejecución de la auditoría, se produzcan daños a
su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalización
y suscripción de seguros que cubran la responsabilidad civil de los auditores con una
suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuación profesional.

La responsabilidad del auditor conlleva la obligación de resarcimiento de los daños o

perjuicios que pudieran derivarse de una actuación negligente o culposa, si bien debería
probarse la conexión causa-efecto originaria del daño

FASES DE LA AUDITORÍA FÍSICA

Considerando la metodología ISACA (information system audit and control association)

Alcance de a auditoria
Adquision de la información general
Administración yplanificación
Plan de la auditoria
Resultados de las pruebas
Conclusiones y comentarios
 Borrador del informe
Discusión con los responsables del área
Informe final

DESARROLLO DE LAS FASES DE LA AUDITORÍA FÍSICA

Durante la auditoria física se deben ejecutar todas sus acciones durante su estadía en el
área que le permitan ver, analizar e informar todas las discrepancias y concurrencias que
ocurran durante su tiempo como auditor dentro de la organización. Para llevar en desarrollo
la auditoria física se debe contar con la máxima cantidad de recursos posibles que le
permitan recaudar datos y estos poder llevarlos a resultados cualitativos o cuantitativos
dentro de la empresa

AUDITORÍA DE LA OFIMÁTICA

La auditoría de la ofimática es la revisión del sistema informatizado que genera,

procesa, almacena, recupera y comunica los presentes datos relacionados con el
funcionamiento de la oficina. Este tipo de auditoria sirve para evaluar los equipos y
aplicaciones existentes y demás procesos de adquisición

Objetivo general, Evaluar el inventario ofimático si refleja con exactitud los equipos y
aplicaciones de la oficina existentes en cada una de estas áreas

CONTROLES DE AUDITORÍA

Existen dos características peculiares de los entornos ofimáticos:

La distribución de las aplicaciones por los diferentes departamentos de la

organización en lugar de encontrarse en una única ubicación centralizada
El traslado de la responsabilidad sobre ciertos controles de los sistemas de
información a usuarios finales no dedicados profesionalmente a la informática, que
 pueden no comprender de un modo adecuado la importancia de los mismos y la
forma de realizarlos.

PROBLEMÁTICAS PROPIAS

Adquisición poco planificada

Desarrollos ineficaces e ineficientes
Falta de conciencia de los usuarios acerca de la seguridad de la información
Utilización de copias ilegales de aplicaciones
Procedimientos de copias de seguridad deficientes
Escasa formación del personal
Ausencia de documentación suficiente

LOS CONTROLES:

Se presentan agrupados siguiendo criterios relacionados con aspectos de economía,

eficacia y eficiencia; seguridad y condicionantes legales, son los suficientemente generales
para servir de base en la elaboración del guión de trabajo de la labor del equipo auditor

ECONOMÍA, EFICACIA Y EFICIENCIA

Determinar si el inventario ofimático refleja los equipos y aplicaciones existentes en la

organización. Se selecciona este control en primer lugar ya que la fiabilidad del inventario
resultará indispensable para auditar otros controles presentados posteriormente. Esto
garantiza que todos los equipos adquiridos en la organización con debidamente
inventariados.

Después constatará la conciliación realizada en la última auditoria financiera entre el

inventario oficial y las adquisiciones efectuadas, más tarde se elabora una relación
exhaustiva de los equipos informáticos y de las aplicaciones y archivos que residen en el
mismo.

Mecanismos para garantizar que los equipos adquiridos son inventariados

Realizar conciliación 
Identificación de diferencias
Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones.
Una adquisición descentralizadas es la que cada departamento se encarga de realizar sus
compras, ofrecer ventajas en cuanto a el equipo; el equipo auditor comprobará que en el
procedimiento de adquisición se valoran aspectos relativos a la necesidad real de los
equipos solicitados y a la integración de los equipos con el sistema.

Partiendo del inventario actualizado, analizará los procedimientos para la adquisición

de los productos seguidos en los diversos departamentos de la organización.

Políticas
Revisión cumplimiento de políticas
Consideración de otros mecanismos que optimicen el proceso actual de adquisición

Evaluar la corrección del procedimiento existente para la realización de los cambios

de versiones y aplicaciones.

Procedimientos y mecanismos formales para la autorización, aprobación,

adquisición de nuevas aplicaciones y cambios de versiones
Comprobación del cumplimiento sobre lo instalado en usuarios
Compatibilidad e integración en el entorno operativo

Determinar si los usuarios cuentan con suficiente formación y la documentación de

apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente:

Plan de formación y/o capacitación

Utilización real de las últimas versiones en los usuarios

Determinar si el sistema existente se ajusta a las necesidades reales de la organización.

El equipo auditor valorará el uso que se realiza

Obsolescencia de equipos
Uso de equipos y labores sobre éstos
Detección de nuevas necesidades

SEGURIDAD
Determinar si existen garantías suficientes para proteger los accesos no autorizados a
la información reservada de la empresa y la integridad de la misma. El acceso a las
aplicaciones ofimáticas que gestionan información reservada a las cuales se tienen accesos
no autorizados puede comprometer el buen funcionamiento de la organización.

Se determinará si el procedimiento de clasificación de la información establecido se

comprobará que cada usuario tiene autorización para acceder únicamente a aquellos datos y
recursos informáticos que precisa para el desarrollo de sus funciones.
Se determinará si el procedimiento de creación, almacenamiento, distribución y
modificación de las claves garantiza su confidencialidad.
Finalmente, comprobará que todos los soportes informáticos permiten identificar la
información que contienen, son inventariados y se almacenan en su lugar con acceso
restringido únicamente al personal.

Determinar si el procedimiento de generación de las copias de respaldo es fiable y

garantiza la recuperación de la información en caso de necesidades.
La información generada por el sistema debe estar disponible en todo momento. La no
disponibilidad de datos, especialmente de aquel procedimiento crítico para la organización,
además de las consabidas pérdidas económicas, podría llevar, en el extremo a la
paralización del departamento

Determinar si está garantizado el funcionamiento ininterrumpido de aquellas

aplicaciones cuya caída podría suponer pérdidas de integridad de la información y
aplicaciones

Determinar el grado de exposición ante la posibilidad de intrusión de virus.

NORMATIVA VIGENTE

Determinar si en el entorno ofimático se producen situaciones que puedan suponer

infracciones a lo di0073puesto en la Ley Orgánica, de protección de datos de carácter
personal. La tarea del equipo auditor consistirá en en determinar que los archivos que
gestionan datos personales en entornos ofimáticos se encuentran bajo control y que han
sido notificados al riesgo general de la agencia de protección de datos.

Determinar si en el entorno ofimático se producen situaciones que puedan suponer

infracciones. La mayoría de las copias ilegales utilizadas en las organizaciones
corresponden a aplicaciones microinformáticas, en especial a aplicaciones ofimáticas.
El equipo auditor deberá elaborar una relación exhaustiva de las aplicaciones residentes en
equipos ofimáticos, que precisen licencia, esta relación se contrastará con el inventario de
la organización para verificar que coincide, y, en caso contrario, deberá averiguar cuáles
son las copias ilegalmente utilizadas.

El equipo auditor se ocupará de verificar la definición y aplicación de medidas con

carácter preventivo, tales como: la existencia de un régimen disciplinario que sea conocido
por todos los empleados, la inhabilitación de las disqueteras y otros puertos de entrada y
salida, y las limitaciones de acceso a redes.

Finalmente, comprobara la definición de medidas correctivas tales como: la eliminación

de copias ilegales que se localicen, los procedimientos para determinar el modo de intrusión
y en consecuencia, definir medidas para evitar que esta situación se repita, y adoptar las
acciones disciplinarias pertinentes.