Portafolio N.

3 (Auditoria Física-Ensayo)

Elaborado por:

Marlon David Palacios Becerra

Yiscar Murillo Palacios

Presentado A:

Margot Mosquera Blandón

Asignatura

Auditoria de Sistemas

Fundación Universitaria Claretiana “UNICLARETIANA”

Facultad de ingeniería

Programa de Ingeniería de Sistemas IX N

Quibdó: 13 /03 2021

Metodología de una Auditoria Informática

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se

pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un
proceso de revisión:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar

visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario
para la obtención de información para evaluar preliminarmente el control interno, solicitud
de plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales
funcionarios de la Organización y de la Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los

diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades,
revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups),
revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente
su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos,
alcance y recursos que usará, definirá la metodología de trabajo, la duración de la auditoria,
presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo
lo anteriormente analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria.

El informe debe contener lo siguiente:

Motivos de la auditoria

Objetivos

Alcance

Estructura Orgánico-Funcional del área Informática

Configuración del Hardware y Software instalado

Control Interno

Resultados de la Auditoria
Principales Áreas de Actividad de la Auditoría de Sistemas

 Auditoría de la dirección (Plan Estratégico de Sistemas)

 Auditoría del desarrollo (gestión de proyecto)
 Auditoría de la Adquisición
 Auditoría Seguridad (Seguridad Física – Plan de Contingencias, evaluación de
riesgos, seguridad lógica)
 Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en
marcha, cambios de programas)
Auditoria física

Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y

que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de
información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple
con las leyes y regulaciones establecidas. Permiten detectar de forma sistemático el uso de
los recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información
eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar
para la consecución de los mismos. Los mecanismos de control pueden ser directivos,
preventivos, de detección, correctivos o de recuperación ante una contingencia.

La auditoría física  es para dar un soporte tangible, no es solo Hardware, en toda actividad
se mezcla lo físico lo funcional y lo humano.
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos sino
también su funcionalidad racionalmente, y SEGURIDAD.
Plan de auditoría lleva a realizar pruebas de cumplimiento y sustantivas. En todo CPD
(Centro de procesamiento de datos).

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de

posibles fallos que puedan suceder dentro de la empresa
Contingencia: Es la proximidad de algún daño como riesgo de fallo local o general en
una relación con la cronológica.

ANTES:
Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
Seguridad física es el conjunto de acciones utilizadas para evitar algún fallo
Las personas hagan uso particular o profesional del entorno físico.
 Ubicación del edificio
 Ubicación del CPD (centro de procesamiento de datos) dentro del edificio.
 Compartimentación
 Elementos de construcción
 Sistemas contra incendios
 Control de accesos
 Selección del personal
 Seguridad de protección
 medidas de protección
 Duplicación de medios
 Potencia eléctrica

DURANTE:
En caso de que ocurriese un desastre, una buena estrategia sería elaborar un plan de
contingencia, que permita coordinar las necesidades del negocio y operaciones de
recuperación. El plan de contingencia permite:

 Realizar un análisis de riesgos

 Establecer un periodo crítico de recuperación
 Realizar un análisis de aplicaciones crítica
 Determinar las prioridades del proceso
 Asegurar la capacidad de las comunicaciones
 Asegurar la capacidad de servidores de back-up

DESPUÉS:
Se toma como alternativa la contratación de servicios, entre ellos se encuentran:
 Reconstrucción de medios de software: cubre el daño producido sobre medios de
software
 Gastos extra: Gastos que se derivan de la continuidad de las operaciones tras un
desastre
 Errores y omisiones: protección legal ante la responsabilidad en que pudiera incurrir
un profesional que cometiera un acto, error u omisión que ocasione una pérdida
financiera a un cliente
 Transporte de medios: cobertura ante pérdidas o daños o medios transportados

ÁREAS DE LA SEGURIDAD FÍSICA

El auditor se ha de valer de otras personas que tengan los conocimientos necesarios para
poder realizar el trabajo de seguridad en cuanto a las instalaciones.
Las áreas en las que el Auditor debe interesarse a parte del tipo de edificio, tienen relación
directa con el hecho informático, siempre considerando la seguridad física.

Organigrama de la empresa: Así se podrá conocer como está conformada la empresa y

los distintos cargos de los empleados.

Auditoria Interna: Se encuentra subordinado o es independiente de la Auditoria

Financiera, que guarda los datos sobre auditorias pasadas.

Administración de la Seguridad: Debe amparar las funciones de los empleados por

ejemplo: Director de la seguridad integral, Responsable de la seguridad informática,
Administradores de redes, de bases de datos, etc.

Centros de proceso de datos e instalaciones: Deben ayudar a realizar la función

informática y a brindar la seguridad a las personas, y materiales etc.

 Sala del Host

 Sala de operadores
 Sala de impresoras
 Cámara acorazada
 Oficinas
  Almacenes
 Sala de aire acondicionado, etc.

Equipos y comunicaciones: Son los elementos principales como: host, terminales, equipo
de almacenamiento masivo, etc. Se debe examinar su ubicación y el control de acceso.

Computadoras personales: Cuando están en red pueden ser una causa de peligro pues se
pueden acceder a los datos, por lo que se debe tener especial cuidado y mucha seguridad.

Seguridad física del personal: Entradas y saldas seguras, rutas de evacuación, sistema
contra incendios, etc.

FUENTES DE LA AUDITORIA FÍSICA

Plan de auditoría lleva a realizar pruebas de cumplimiento y sustantivas

En todo CPD (Centro de procesamiento de datos)
Entre las fuentes tenemos:
 Políticas, normas y planes sobre seguridad, emitidos y distribuidos por la dirección
de la empresa y por el departamento de seguridad
 Auditorias anteriores, referentes a la seguridad física o cualquier otro tipo de
auditoría que se relacione con la seguridad física.
 Contratos de seguros
 Entrevistas con el personal de seguridad informático y otras actividades
 Actas e informes de técnicos y consultores, que permitan diagnosticar el estado
físico del edificio, y además que informen sobre la calidad y estado de los sistemas
de seguridad
 Informe sobre accesos y visitas
 Políticas de personal. Planificación y distribución de tareas, contratos, etc.
 Inventarios de soporte Back-up, controles de salida y recuperación de soportes

OBJETIVOS DE LA AUDITORIA

Los datos son el primer objetivo de toda seguridad, pero la seguridad física va un poco más
allá.

Los objetivos van en un orden lógico "de afuera a dentro", ejemplo:

  Edificio
 Instalaciones
 Equipamiento y telecomunicaciones 
 Datos 
 Persona

FASES DE LA AUDITORÍA FÍSICA

 Alcance de la auditoría
 Adquisición de información general
 Administración y planificación
 Plan de auditoría
 Resultado de las pruebas
 Conclusiones y comentarios
 Borrador del informe
 Discusión con los responsables de área
 Informe final: Informe, anexo, carpeta de evidencias
 Seguimiento de las modificaciones acordadas

DESARROLLO DE LAS FASES DE LA AUDITORÍA FÍSICA

Siguiendo la técnica del chek-list una Fase de adquisición de información

 Acuerdo de empresa para el plan de contingencia

 Acuerdo de un proceso alternativo
 Protección de datos
 Manual del plan de contingencia

TÉCNICAS Y HERRAMIENTAS DEL AUDITOR 

Técnicas

 Observación de las instalaciones, sistemas, cumplimiento de normas, como actor

comprobando el funcionamiento de las mismas.
  Revisión analítica de: Documentación sobre instalación y preinstalaciones, sobre
seguridad física, políticas y normas de actividad de sala, etc. 
 Entrevistas y directivos de personal fijo o temporal. 
 Consultas a técnicos y peritos que formen parte de la empresa o que sean externos.

Herramientas

 Cuaderno de campo / grabadora e audio

 Máquina fotográfica / cámara de video

Su uso debe ser discreto y siempre con permiso del personal entrevistado.

Responsabilidad del Auditor

El auditor no debe dar la impresión de ser un caza infractores, sino debe dar una imagen de
colaborador para no provocar un ambiente tenso en el trabajo.

Auditor Informático interno:

 Revisar los controles relativos a la seguridad física.

 Revisar el cumplimiento de los procedimientos
 Evaluar riesgos
 Participar sin perder independencia en Selección, adquisición e implantación de
equipos
 Planes de seguridad y contingencia, seguimiento, actualización, etc.
 Revisión del cumplimiento de las políticas y normas de seguridad física.
 Efectuar auditorias programadas e imprevistas
 Emitir informes y efectuar recomendaciones

Auditor informático externo.

 Revisar las funciones de los auditores internos 

 Mismas responsabilidades que los auditores internos 
 Revisar los planes de seguridad y contingencia, efectuar pruebas
 Emitir informes y recomendaciones