Bloque 2, Tema 11. Auditoría Informática: objetivos, alcance y metodología.

Técnicas y herramientas. Normas y estándares. Auditoría del ENS y de protección

de datos. Auditoría de seguridad física.

I. GUIA DE ESTUDIO
Las organizaciones cada vez tienen un funcionamiento más complejo. Tanto las
grandes, como las de pequeño tamaño, realizan tareas y actividades que no siempre se
llevan a cabo de la manera más eficiente, ni con un adecuado coste en recursos, ni con
un riesgo conocido y controlado. En definitiva, cualquier tipo de organización necesita
saber lo que hace y cómo lo hace, con el objetivo de intentar mejorar su manera de
hacer las cosas. Es ahí donde entra en juego el papel de las auditorías.

Las auditorías ayudan a las organizaciones a mirarse con ojos externos para intentar
averiguar dónde se puede mejorar. Sirven tanto para aumentar la eficiencia en el uso
de algún recurso, como el tiempo invertido en determinadas tareas, como para evaluar
los riesgos a los que está sometido un valor, por ejemplo los datos.

En este tema vamos a conocer qué son y cómo podemos hacer uso de las auditorías
en nuestra labor como responsables de la información de los organismos públicos, sobre
todo porque la normativa legal nos obliga a llevar a cabo las auditorías.

Entraremos en detalle en las diferentes normas de seguridad, las metodologías y

herramientas que se utilizan.

Tabla de objetivos
Conocer en qué consiste una auditoría

Conocer los distintos tipos de auditoría, en sus diversas clasificaciones

Aprender las características de una auditoría específica en el ámbito de las TIC

Poder explicar e incluso defender la utilidad de las auditorías para una organización, y
concretamente, en el ámbito de las TIC
Conocer las principales normas internacionales acerca de auditorías, y sus
particularidades
Conocer los detalles de la metodología COBIT. Dada el reciente cambio de versión es
probable las preguntas relativas a los cambios y comparación de versiones

1
 II. VOCABULARIO ESPECÍFICO

Auditoría. Es el proceso sistemático (planificación y metodología de trabajo) de obtención y

evaluación de evidencias acerca de las aseveraciones efectuadas por terceros, para testimoniar
el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales,
y comunicar los resultados obtenidos a los destinatarios y usuarios interesados.

Auditoría informática. Según Ron Weber, “es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los
recursos”.

Auditor. Es la persona que realiza la auditoría. Un profesional independiente que da una opinión
sobre la concordancia entre las afirmaciones realizadas por alguien y lo que existe en la realidad.

COBIT (Control OBjetives for Information and related Technologies). Metodología desarrollada
por ISACA. Es la más extendida en el marco de control de las TIC. Es independiente de la
plataforma tecnológica, y plantea su objetivo en términos de control de procesos de información
que soportan los objetivos de negocio de una organización.

Control (según ISO 27000). Son las políticas, procedimientos, prácticas y estructuras
organizativas, diseñadas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido.

Control (según COBIT). Son las políticas, procedimientos, prácticas y estructuras organizativas,
diseñadas para proporcionar garantía de que los objetivos de negocio serán alcanzados.

ISMS (Information Security Management System). Sistema de Gestión de la Seguridad de la

Información (SGSI). Es un conjunto de políticas dedicadas a la gestión de riesgos y seguridad en
el ámbito de las TIC. El término se utiliza con frecuencia en la serie de normas ISO 2700.

Metodología. En el ámbito de la auditoría, es el conjunto de técnicas, normas y estándares que

establecen la forma de avanzar en cada una de las fases del proceso auditor.

NASP (Normas de Auditoría del Sector Público). Normativa anterior a COBIT en la

Administración española.

2
 III. LEGISLACIÓN, NORMATIVA
APLICABLE

NORMA ARTÍCULO/S

ISO/IEC 27000

COBIT 4.1

COBIT 5

COBIT 2019

RD 1720/2007 por el que se aprueba el Reglamento de 96

desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal

RD 1720/2007 por el que se aprueba el Reglamento de 110

desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal

Real Decreto 3/2010, por el que se regula el Esquema 34

Nacional de Seguridad en el ámbito de la Administración
Electrónica

Real Decreto 3/2010, por el que se regula el Esquema Anexo III

Nacional de Seguridad en el ámbito de la Administración
Electrónica

3
 ESQUEMAS
1. AUDITORÍAS

TIPOS DE AUDITOR
● Auditor de primera parte:
○ Interno, audita la organización en nombre de ella misma.
○ Mantenimiento del sistema de gestión y como preparación a la auditoría de
certificación.
● Auditor de segunda parte:
○ Auditor de cliente, audita la organización en nombre de un cliente de la
misma.
○ Por ejemplo, para exigir el cumplimiento de una norma a un proveedor.
● Auditor de tercera parte:
○ Auditor independiente, audita una organización como un externo.
Normalmente se hace para obtener una certificación.
Ejemplo:
Una organización dispone de un departamento TIC que quiere obtener la certificación ISO 9001.
El auditor de primera parte será una persona “de la casa” que llevará a cabo una auditoría de
preparación, con el fin de evaluar el estado de madurez de la organización, y qué aspectos debe
mejorar de cara a la auditoría de certificación oficial.
El resultado de la auditoría interna será un informe que dará lugar a un plan de adaptación para
solventar las incidencias, “no conformidades”, detectadas.
Una vez se han resuelto estas no conformidades, el auditor interno probablemente hará otra
auditoría de preparación. Y así hasta que se decida que se dispone del grado de madurez
necesario.
En ese momento, se acudirá a un auditor de tercera parte, que realizará una auditoría formal y
que llegará a unas conclusiones en un informe, del mismo modo que hizo el auditor interno. Si
el grado de adaptación de la organización es aceptable, el informe incluirá algunas no
conformidades menores que habrá que resolver emitiendo un plan de adaptación que se enviará
al auditor de tercera parte. Si éste lo acepta, la organización llevará a cabo los cambios, los
justificará de forma apropiada al auditor, quien lo evaluará, y decidirá si está conforme con el
resultado. De ser así, la organización habrá obtenido la certificación ISO 9001.
En algunos casos puede que la organización esté obligada a que sus proveedores cumplan
también con la norma, por ejemplo que estén certificados en ISO 9001. Pueden darse dos casos:
si el proveedor dispone de certificación, la organización sólo tiene que incluirlo en sus informes
de preparación para la auditoría de certificación. Pero si el proveedor no dispone de ella, la
organización estará obligada a realizar controles que suplan los puntos de la ISO 9001 que el
proveedor debe cumplir. Dicho de otro modo, la organización deberá justificar que el proveedor
trabaja conforme a ISO 9001, aunque no tenga la certificación. Para realizar este trabajo, un
auditor contratado por la organización acudirá al proveedor a realizar la auditoría y

4
así conseguir información de si trabaja o no conforme a ISO 9001. Este es el caso en que se
llama auditor de segunda parte.

FASES DE UNA AUDITORÍA

1. Toma de contacto:
a. Preparación para realizar la auditoría. Recabar la información necesaria,
planificar objetivos, alcance, personal involucrado, plan de trabajo, etc.
2. Desarrollo de la auditoría:
a. Obtención de evidencias documentales o testimoniales a través de entrevistas,
cuestionarios, observación de los procedimientos, y de situaciones deficientes.
b. Evaluación de esas evidencias realizando pruebas específicas (de cumplimiento
y sustantiva).
3. Creación del informe de auditoría:
a. Creación de un diagnóstico analizando los puntos débiles, fuertes y las posibles
mejoras.
b. Presentación de las conclusiones.
c. Presentación de un plan de mejora, si procede. Sobre todo en consultoría.

DIFERENCIA ENTRE AUDITORÍA Y CONSULTORÍA

La auditoría se centra en señalar si las cosas están bien o no, y da recomendaciones sobre lo
que habría que mejorar. La consultoría indicaría cómo hacer las cosas para que estén bien y
cómo llevar a cabo las mejoras.

La auditoría dice qué hay que hacer. La consultoría dice cómo hay que hacerlo.

TIPOS DE AUDITORÍA

DEL OBJETO A AUDITAR

● Financiera o de cuentas:
○ Se realiza sobre información contable y financiera. El resultado se difunde
entre un gran número de usuarios, llegando incluso a hacerse público como en
los casos de las empresas que cotizan en bolsa.
● Operativa:
○ Se revisan los procedimientos operativos de una organización para evaluar la
eficiencia, eficacia y conformidad con los estándares de la misma. El resultado
se plasma en un informe de recomendaciones a la dirección y no trasciende el
ámbito de la organización.
● De cumplimiento:
○ Sirve para determinar si el auditado sigue procedimientos específicos reglas o
normas establecidas por una autoridad superior. El resultado trasciende a la
unidad auditada y a la autoridad superior.

5
● Integral
○ Financiera + operativa + informática.

DE FUNCIONES
● De funciones verticales
○ Como la función financiera, operativa, unidades de negocio, RRHH, etc.
● De funciones horizontales
○ Como la de Sistemas de Información, servicios comunes, etc.

SEGÚN QUIEN AUDITA

● Auditoría interna:
○ Realizada por personal de la organización independiente del área a auditar. Su
objetivo es ayudar a los miembros de la organización a cumplir sus
obligaciones. Sus resultados no trascienden el ámbito de la organización.
● Auditoría externa:
○ Realizada por personal externo. Sus resultados suelen trascender el ámbito de
la organización.

FUNCIONES DE LA AUDITORÍA INFORMÁTICA

1. Velar por la eficiencia y eficacia del sistema.
2. Comprobar el cumplimiento de normas y estándares.
3. Asegurar la calidad de los sistemas de información.
4. Supervisar los mecanismos de control interno para proteger recursos informáticos
humanos y materiales.
5. Comprobar la seguridad de los sistemas de información (propiedades ACID-N de
seguridad).

TAREAS DE LA AUDITORÍA INFORMÁTICA

● Revisar sistemas en desarrollo.
● Revisar instalaciones informáticas.
● Revisar las aplicaciones.
● Apoyar a los auditores no informáticos.

FASES DE LA AUDITORÍA INFORMÁTICA

1. Definir alcance.
2. Identificar recursos y tiempo necesario para llevarla a cabo.
3. Recopilar información básica de la organización, como la estructura, tamaño, normas,
estándares, y acerca de los elementos particulares que se van a auditar.
4. Programar el trabajo. Repartir el trabajo entre los componentes del equipo de
auditoría.
5. Identificar riesgos potenciales.
6. Identificar controles débiles y fuertes.

6
 7. Pruebas y técnicas a usar.
8. Identificar controles alternativos a los anteriores, si procede.
9. Realizar pruebas y obtener resultados. Verificar todo por escrito, para lo que será
necesario pedir los informes de auditorías anteriores.
10. Crear conclusiones y comentarios. Los comentarios deberán incluir un identificador,
una descripción, la fecha de emisión, las observaciones del auditado y la fecha de
resolución del comentario.
11. Revisar y cerrar papeles de trabajo.
12. Crear borrador del informe.
13. Discutir el informe con el auditado.
14. Emitir y distribuir el informe.

CONTENIDO DEL INFORME DE AUDITORÍA

● Antecedentes o background. Dónde se ha realizado la auditoría, qué características
tenía, etc.
● Alcance de la revisión. Qué es lo que se ha auditado.
● Conclusiones. Se compondrán de un resumen de los comentarios de más riesgo.

2. COBIT

COBIT 5

ELEMENTOS DE COBIT 5
● Dominios: 5
● Procesos: 37
● Áreas de responsabilidad: 4

DOMINIOS EN COBIT 5
● Dominios de Administración:
○ Alinear, Planificar, y Organizar
○ Construir, Adquirir, e Implementar
○ Entregar, Servir y dar Soporte
○ Monitorizar, Evaluar, y Valorar
● Dominio de Gobierno:
○ EDM – Evaluar, Dirigir, y Monitorizar

ÁREAS DE RESPONSABILIDAD EN COBIT 5

● Planificar (APO)
● Construir (BAI)
● Operar (DSS)
● Monitorizar (MEA)

7
 Modelo de Madurez "Process Capability Model" de COBIT 5
0 Incompleto
1 Alcanzado
2 Gestionado
3 Establecido
4 Predecible
5 Optimizado

COBIT 2019

ELEMENTOS DE COBIT
2019
● Componentes sistema de gobierno: 7
● Dominios: 5
● Objetivos 40
● Principios:
• Sistema de Gobierno (Governance System): 6 principios
• Marco de Gobierno (Governance Framework) : 3 principios adicionales
● Procesos: 40
● Factores de diseño: 9
● Flujo trabajo: 4 pasos
● Ciclo vida: 3
● Niveles de capacidad: 5

8
 3. ISO 27000

NORMA DESCRIPCIÓN
ISO/IEC 27000:2013 Proporciona una visión general de las normas que componen la
serie 27000, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción del proceso
Plan-Do-Check-Act (PDCA) y términos y definiciones que se
emplean en toda la serie 27000.
Última versión: enero 2014

ISO/IEC 27001:2013 Norma principal de la serie. Contiene los requisitos del sistema
de gestión de seguridad de la información. Tiene su origen en la
BS 7799-2:2002, que ya quedó anulada, y es la norma con arreglo
a la cual se certifican por auditores externos los SGSIs de las
organizaciones.
Al contrario que la versión de 2005, no hace énfasis en PDCA.
ISO/IEC 27002:2005 Es una guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la
información.
No es certificable.
Contiene 39 objetivos de control y 133 controles, agrupados en
11 dominios.
ISO/IEC 27002:2013 Contiene 35 objetivos de control y 114 controles, agrupados en
14 dominios.

ISO/IEC 27002:2017 No introduce ningún cambio y se la sigue denominando ISO/IEC

27002:2013

ISO/IEC 27003:2017 No certificable.

Es una guía que se centra en los aspectos críticos necesarios
para el diseño e implementación con éxito de un SGSI de
acuerdo ISO/IEC 27001:2005.
Tiene su origen en el anexo B de la norma BS 7799-2.
ISO/IEC 27004:2016 No es certificable.
Es una guía para el desarrollo y utilización de métricas y técnicas
de medida aplicables para determinar la eficacia de un SGSI y de
los controles o grupos de controles implementados según
ISO/IEC 27001.
ISO/IEC 27005:2011 No es certificable.
Proporciona directrices para la gestión del riesgo en la
seguridad de la información.

9
 ISO/IEC 27006:2011 Especifica los requisitos para la acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de
la información.

ISO/IEC 27007:2011 Guía de auditoría de un SGSI para auditorías internas, de

seguimiento, para corregir un problema, y en general cualquiera
que sea sin ánimo de certificación, ya que para esto seguirían la
27006.

Listado completo

 ISO/IEC 27000 — Information security management systems — Overview and

vocabulary
 ISO/IEC 27001 — Information technology - Security Techniques - Information security
management systems — Requirements. The 2013 release of the standard specifies an
information security management system in the same formalized, structured and
succinct manner as other ISO standards specify other kinds of management systems.
 ISO/IEC 27002 — Code of practice for information security controls - essentially a
detailed catalog of information security controls that might be managed through the
ISMS
 ISO/IEC 27003 — Information security management system implementation guidance
 ISO/IEC 27004 — Information security management — Monitoring, measurement,
analysis and evaluation[10]
 ISO/IEC 27005 — Information security risk management[11]
 ISO/IEC 27006 — Requirements for bodies providing audit and certification of
information security management systems
 ISO/IEC 27007 — Guidelines for information security management systems auditing
(focused on auditing the management system)
 ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused on auditing the
information security controls)
 ISO/IEC 27009 — Essentially an internal document for the committee developing
sector/industry-specific variants or implementation guidelines for the ISO27k standards
 ISO/IEC 27010 — Information security management for inter-sector and inter-
organizational communications
 ISO/IEC 27011 — Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
 ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1 (derived from ITIL)
 ISO/IEC 27014 — Information security governance.[12] Mahncke assessed this standard
in the context of Australian e-health.[13]
 ISO/IEC TR 27015 — Information security management guidelines for financial services
 ISO/IEC TR 27016 — information security economics
 ISO/IEC 27017 — Code of practice for information security controls based on ISO/IEC
27002 for cloud services
 ISO/IEC 27018 — Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors
 ISO/IEC TR 27019 — Information security for process control in the energy industry
 ISO/IEC 27031 — Guidelines for information and communication technology readiness
for business continuity
10
 ISO/IEC 27032 — Guideline for cybersecurity
 ISO/IEC 27033-1 — Network security - Part 1: Overview and concepts
 ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design and
implementation of network security
 ISO/IEC 27033-3 — Network security - Part 3: Reference networking scenarios -
Threats, design techniques and control issues
 ISO/IEC 27033-4 — Network security - Part 4: Securing communications between
networks using security gateways
 ISO/IEC 27033-5 — Network security - Part 5: Securing communications across
networks using Virtual Private Networks (VPNs)
 ISO/IEC 27033-6 — Network security - Part 6: Securing wireless IP network access
 ISO/IEC 27034-1 — Application security - Part 1: Guideline for application security
 ISO/IEC 27034-2 — Application security - Part 2: Organization normative framework
 ISO/IEC 27034-6 — Application security - Part 6: Case studies
 ISO/IEC 27035-1 — Information security incident management - Part 1: Principles of
incident management
 ISO/IEC 27035-2 — Information security incident management - Part 2: Guidelines to
plan and prepare for incident response
 ISO/IEC 27036-1 — Information security for supplier relationships - Part 1: Overview and
concepts
 ISO/IEC 27036-2 — Information security for supplier relationships - Part 2:
Requirements
 ISO/IEC 27036-3 — Information security for supplier relationships - Part 3: Guidelines
for information and communication technology supply chain security
 ISO/IEC 27036-4 — Information security for supplier relationships - Part 4: Guidelines
for security of cloud services
 ISO/IEC 27037 — Guidelines for identification, collection, acquisition and preservation of
digital evidence
 ISO/IEC 27038 — Document redaction
 ISO/IEC 27039 — Intrusion prevention
 ISO/IEC 27040 — Storage security[14]
 ISO/IEC 27041 — Investigation assurance
 ISO/IEC 27042 — Analyzing digital evidence
 ISO/IEC 27043 — Incident investigation
 ISO/IEC 27050-1 — Electronic discovery - Part 1: Overview and concepts
 ISO 27799 — Information security management in health using ISO/IEC 27002 - guides
health industry organizations on how to protect personal health information using
ISO/IEC 27002.

11
 4 Auditoria del ENS
Real Decreto 3/2010 de 8 de enero
- Artículo 34 establece los requisitos de la auditoria
- Anexo III establece los términos en los que se desarrolla la auditoria
Nivel Tipo y plazos
Categoría no necesitan auditoría.
BÁSICA
Basta autoevaluación
realizada por el personal
que administra el
sistema de información,
o en quien éste delegue
MEDIA O Cada dos años
ALTA
O excepcionalmente si
hay cambios
Resultado Informe
Documentado, serán analizados por
el responsable de
Indicando si cada medida seguridad
de seguridad:
elevará las
- está implantada conclusiones al
responsable del
- sujeta a revisión
sistema para que
regular
adopte las medidas
- y evidencias que correctoras
sustentan la adecuadas.
valoración.
- Dictaminará sobre el Ídem
grado de
cumplimiento del
Resultado
presente real
determinante para
decreto,
sistemas categoría
ALTA (*)
- Identificará
deficiencias
- posibles medidas
correctoras o
complementarias
necesarias,
- recomendaciones
(*) Deberá incluir los
criterios metodológicos
utilizados, el alcance y el
objetivo de la auditoría, y
los datos, hechos y
observaciones en que se
basen en que se basen las
conclusiones formuladas.
12
 (*) El resultado de la auditoria es determinante para los sistemas de categoría ALTA, ya que
según el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de
operación de alguna información, de algún servicio o del sistema en su totalidad, durante el
tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.

Interpretación

La interpretación que aplica a la auditoria se realizará según el sentido propio de las palabras
del anexo, en relación con el contexto, antecedentes históricos y legislativos, entre los que
figura lo dispuesto en la instrucción técnica CCN-STIC correspondiente

CCN-STIC-802 Auditoría del ENS

https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/800-guia-esquema-nacional-de-
seguridad/502-ccn-stic-802-auditoria-del-ens.html

Informes de auditoría

Podrán ser requeridos por los responsables de cada organización con competencias sobre
seguridad de las tecnologías de la información.

Términos de la auditoría de seguridad

La seguridad de los sistemas de información de una organización será auditada en los

siguientes términos:

Existe definición de los roles y funciones de los responsables de la información, los servicios,
los activos y la seguridad del sistema de información.

Existen procedimientos para resolución de conflictos entre dichos responsables.

Hay personas en los distintos roles a la luz del principio de «separación de funciones».

Se ha realizado un análisis de riesgos, con revisión y aprobación anual.

Se cumplen las recomendaciones sobre Medidas de Seguridad. Anexo II de Real Decreto

3/2010 de 8 de enero.

https://www.boe.es/buscar/act.php?id=BOE-A-2010-1330&p=20151104&tn=1#anii

Existe un sistema de gestión de la seguridad de la información, documentado y con un

proceso regular de aprobación por la dirección.

Evidencias

La auditoría se basará en evidencias que permitan sustentar objetivamente el cumplimiento

de los puntos mencionados

13
 a) Documentación de los procedimientos.

b) Registro de incidencias.

c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

5 Auditoria de Protección de datos

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, articulo
96.

Ámbito: sistemas de información e instalaciones de tratamiento y almacenamiento de datos

de carácter personal

Nivel Tipo y plazos Resultado Informe

deberá dictaminar sobre: serán analizados por

A partir de al menos cada dos años, el responsable de
nivel a una auditoría interna o - adecuación de las seguridad
MEDIO externa. medidas y controles competente, que
a la Ley y elevará las
reglamento conclusiones al
Con carácter
extraordinario siempre responsable del
- identificar
que se realicen fichero o
deficiencias
modificaciones tratamiento para
sustanciales en el - proponer medidas que adopte las
sistema de información correctoras o medidas correctoras
complementarias adecuadas
necesarias.
y quedarán a
Deberá incluir los datos, disposición de la
hechos y observaciones en Agencia Española de
que se basen los Protección de Datos
dictámenes alcanzados y las o, en su caso, de las
recomendaciones autoridades de
propuestas. control de las
comunidades
autónomas.

5.1 Concurrencia de ambas auditorias

Si durante la realización de la auditoría del ENS se identificase algún incumplimiento manifiesto del
RD 1720/2007, es obligación del equipo auditor comunicarlo, e incluirlo en el informe de auditoría.

Se pueden dar todas las combinaciones: por ejemplo, un sistema de categoría básica según el Anexo
I del RD 3/2010, puede tratar datos personales que requieran medidas de nivel alto según el RD
1720/2007

7 Auditoría de la Seguridad Física

Protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las
instalaciones que lo albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes,
robos, catástrofes naturales, etc.
14
Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información confidencial".

Objetivo Principal

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como
por la naturaleza del medio físico en que se encuentra ubicado el centro.

Los objetivos de la seguridad física se basan en prioridades con el siguiente orden:

1. Edificio
2. Instalaciones
3. Equipamiento y Telecomunicaciones
4. Datos
5. y Personas

Características

- Perímetro de Seguridad Física

- Controles de Acceso Físico
- Protección de Oficinas, Recintos e Instalaciones
- Trabajo en áreas seguras
- Acceso a las áreas de distribución y recepción de cargas
- Instrumentos de Evaluación en la Auditoría de la Seguridad Física

Antes Actúan sobre entorno físico

Obtener y mantener un Nivel adecuado de Seguridad Física - Ubicación del Edificio
sobre los activos.
- Ubicación del CPD dentro
El nivel adecuado de Seguridad Física, o grado de seguridad, es del edificio
un conjunto de acciones utilizadas para evitar el Fallo o, en su - Compartimentación
caso, aminorar las consecuencias que de él se pueden derivar - Elementos de construcción
- Potencia eléctrica
- Sistemas contra incendios
- Control de acceso
- Selección del personal
- Seguridad de los medios
- Medidas de protección
- Duplicación de medios
-
Durante Plan de Contingencia
- Realizar un análisis de
Ejecutar el Plan de Contingencia adecuado. riesgos de sistemas críticos

Desastre es cualquier evento que, cuando ocurre, tiene la - Establecer un periodo

15
capacidad de interrumpir el normal proceso de una empresa crítico de recuperación
- Realizar un análisis de
aplicaciones criticas
- Determinar las prioridades
de los procesos por día
- Establecer objetivos de
recuperación
- Designar un centro
alternativo de procesos
- Asegurar la capacidad de las
comunicaciones
- Asegurar la capacidad de
los servicios de Back-up
Después Seguros existentes
- Centro de proceso y
Los Contratos de Seguros vienen a compensar, en mayor o equipamiento
menor medida, las pérdidas, gastos o responsabilidades que se
pueden derivar para el CPD, una vez detectado y corregido el - Reconstrucción de medios
Fallo. software
- Gastos extras
- Interrupción del negocio
- Documentos y registros
valiosos
- Errores y opiniones
- Cobertura de fidelidad
- Transporte de medios
- Contratos con proveedores
y de mantenimiento

16