AUDITORIA DE LA SEGURIDAD FISICA

YESSICA GOMEZ G.

LA SEGURIDAD FISICA

Garantiza la integridad de los activos humanos, lgicos y material de un CPD. No estn claras los lmites , dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lgica, seguridad fsica y seguridad de las comunicaciones Se deben tener medidas para atender los riesgos de fallos, local o general.

Medidas

Antes

Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos

Durante

Ejecutar un plan de contingencia adecuado

Los contratos de seguros pueden compensar en mayor o menor medida las prdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.

Despus

Antes

El nivel adecuado de seguridad fsica , o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias. Es un concepto general , no solo informtico, en las que las personas hagan uso particular o profesional de los entornos fsicos.

Antes

Ubicacin del edificio Ubicacin del CPD Compartimentacin Elementos de construccin Potencia elctrica Sistemas contra incendios Control de accesos Seleccin del personal Seguridad de los medios Medidas de proteccin Duplicacin de los medios

Durante

Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa. Se debe contar con los medios para afrontarlo cuando ste ocurra. Los medios quedan definidos en el Plan de recuperacin de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.

Durante

Plan de contingencia inexcusablemente debe:

Realizar un anlisis de riesgos de sistemas crticos Establecer un perodo crtico de recuperacin Realizar un anlisis de las aplicaciones crticas estableciendo prioridades de proceso. Establecer prioridades de procesos por das del ao de las aplicaciones y orden de los procesos Establecer objetivos de recuperacin que determinen el perodo de tiempo (horas, dias , semanas) entre la declaracin del desastre y el momento en que el centro alternativo puede procesar las aplicaciones crticas.

Durante

Designar , entre los distintos tipos existentes, un centro alternativo de proceso de datos. Asegurar la capacidad de las comunicaciones Asegurar la capacidad de los servicios de Back-up

Despus

De la gama de seguros pueden darse:

Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra ( continuidad de las operaciones y permite compensar la ejecucin del plan de contingencia) Interrupcin del negocio ( cubre prdidas de beneficios netos causados por la caida de sistemas) Documentos y registros valiosos

Despus

Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento

Areas de la seguridad fsica

Edificio :

Las reas en que el auditor chequea directamente :

Debe encargarse a peritos especializados

Organigrama de la empresa

Auditora Interna

Dependencias orgnicas, funcionales y jerraquicas. Separacin de funciones y rotacin del personal Da la primera y ms amplia visin del Centro de Proceso

Personal, planes de auditoria, historia de auditorias fsicas

Areas de la seguridad fsica

Administracin de la seguridad

Centro de proceso de datos e instalaciones

Director o responsable de la seguridad integral Responsable de la seguridad informtica Administradores de redes Administradores de Base de datos Responsables de la seguridad activa y pasiva del entorno fsico Normas, procedimientos y planes existentes
Entorno en donde se encuentra el CPD Sala de Host Sala de operadores Sala de impresoras Cmara acorazada Oficinas Almacenes Instalaciones elctricas Aire acondicionado

Areas de la seguridad fsica

Equipos y comunicaciones

Host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Accesos seguros Salidas seguras Medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueos de puertas y ventanas Normas y polticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal

Seguridad fsica del personal

Fuentes de la auditora Fsica

Debieran estar accesibles:

Polticas , normas y planes de seguridad Auditoras anteriores, generales o parciales Contratos de seguros, de proveedores y de mantenimiento Actas e informes de tcnicos y consultores Informes de accesos y visitas Informes sobre pruebas de evacuacin Polticas del personal Inventarios de soportes ( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperacin de soporte, control de copias, etc.)

Tcnicas y herramientas del auditor

Tcnicas:

Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor) Revisin analtica de:

Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio) Consultas a tcnicos y peritos que formen parte de la plantilla o independientes

Documentacin sobre construccin y preinstalaciones Documentacin sobre seguridad fsica Polticas y normas de actividad de sala Normas y procedimientos sobre seguridad fsica de los datos Contratos de seguros y de mantenimiento

Herramientas:

Cuaderno de campo/ grabadora de audio Mquina fotogrfica / cmara de video

Su uso debe ser discreto y con autorizacin

Fases de la auditora fsica

Considerando la metodologa de ISACA (Information Systems Audit and Control Association)

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Fase 7 Fase 8 Fase 9

Fase 10 Seguimiento de las modificaciones acordadas

Informe anexo al informe carpeta de evidencias

Alcance de la Auditora Adquisicin de Informacin general Administracin y Planificacin Plan de auditora Resultados de las Pruebas Conclusiones y Comentarios Borrador del Informe Discusin con los Responsables de Area Informe Final