FUNDACIN UNIVERSITARIA SAN MARTN Auditora Informtica AUDITORIA FISICA 1.

DEFINICION La Auditora Informtica es la revisin y evaluacin de controles sobre: Los sistemas y procedimientos de la informtica : Los equipos de cmputo, utilizacin, eficiencia y seguridad. La organizacin, partcipe en procesamiento de informacin La seguridad fsica de un centro de cmputo y su entorno. Lo Fsico en Informtica: Soporte tangible en la Informtica; todo lo que rodea o incluye en el computador, su entorno, mezclando lo fsico con lo funcional y humano. La Auditora Fsica es la revisin y evaluacin que proporciona evidencia sobre la seguridad fsica a nivel del centro de cmputo, sistemas de informacin, procesamiento de informacin y su entorno. Frente a la Auditora Integral, es slo una auditora parcial, a nivel interno o externo, que evaluar controles sobre la funcionalidad, racionalidad y seguridad fsica a nivel informtico. 2. SEGURIDAD INTEGRAL Seguridad Lgica Se encarga de aplicar los controles de acceso para salvaguardar la integridad de la informacin generada por los sistemas, as como del mal uso de la informacin. Su violacin puede traer las siguientes consecuencias a la empresa: * Cambio de datos antes o cuando se le da entrada a la PC * Copias de programas y/o informacin, * Cdigo oculto en un programa * Entrada de virus. Tipos de Usuarios: * Propietario * Administrador * Usuario Principal * Usuario de consulta * Usuario de explotacin * Usuario de Auditora Abarca las siguientes reas: * Rutas de acceso * Claves de acceso * Software de control de acceso * Encriptamiento Las restricciones de acceso pueden ser: * Slo lectura * Slo consulta * Lectura y consulta * Lectura y escritura (para crear, actualizar, borrar, ejecutar o copiar) Seguridad Fsica Seguridad de las Comunicaciones 3. OBJETIVOS Establecer polticas, procedimientos y prcticas para evitar interrupciones prolongadas del servicio de procesamiento de informacin por contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, terremotos, catstrofes naturales, y continuar en un medio de emergencia hasta que se restaure el servicio completo. Garantizar la integridad de los activos humanos, lgicos y materiales en un CPD. Algunos conceptos sobre Seguridad Fsica

Desastre: Cualquier evento que, al ocurrir, tiene la capacidad de interrumpir el normal proceso de una empresa. Riesgo de fallo: Es la contingencia o proximidad de un dao en su ocurrencia.

4. RIESGO DE FALLO Es la contingencia de un dao o proximidad de su ocurrencia. Existen tres momentos para atender la falla: 4.1 Antes Obtener y mantener un grado de seguridad adecuado mediante acciones para evitar el fallo o disminucin de efectos. Ubicacin del edificio Antes se acostumbraba colocar equipos de cmputo visibles, con grandes ventanales para ostentar ante la vista del pblico. Hoy, por el riesgo de terrorismo o sabotaje es posible que una persona que quiera perjudicar la empresa quiera daar el centro de cmputo, por lo que es peligroso tenerlo en reas de alto trfico de personas, o en lugar cercano a la calle. El alto flujo de personal altera la eficiencia en el trabajo y disminuye la seguridad. CPD dentro del edificio Se debe prever espacio para: * Almacenamiento de equipos magnticos * Formatos y papel para impresora * Mesas de trabajo y muebles * Consolas del operador * Area y mobiliario para recepcin, programacin y mantenimiento. * Equipo de telecomunicaciones * Microcomputadoras * Fuentes de poder * Bveda de seguridad (archivos maestros y registros en bveda antiincendios) Cmara plena o piso elevado (o pisos falsos) Antes era un requerimiento para todos los centros de cmputo, hoy slo es necesario para microcomputadoras con la instalacin del cableado dentro del piso elevado. Elevado para soportar carga pesada; se recomienda que el piso sea en plstico antiesttico y que la superficie tenga 45 cm de alto si es usado como cmara plena de aire acondicionado. La altura del plafn debe ser 2.4 m; los pneles del piso elevado podrn removerse para la instalacin del cableado y facilitar limpieza con trapo hmedo o aspiradora. Aire acondicionado: Depender del tipo de computadora utilizada y el lugar de instalacin. Verificar con proveedor la temperatura mnima y mxima as como la humedad relativa en la que debern trabajar los equipos. Los ductos de aire acondicionado deben estar limpios; sus instalaciones son fuente de incendio muy frecuente y susceptibles de ataques fsicos. Instalar redes de proteccin en sistema de ductos exterior e interior y contar con detector de humo. presin de aire superior a la de las reas adyacentes para reducir la entrada de polvo y suciedad. Elementos de construccin Potencia elctrica Una de las principales causas de incendios. El auditor debe evaluar el adecuado funcionamiento del sistema elctrico y el suministro de energa: * Cables del sistema elctrico bien identificado (positivos, negativos, tierra fsica) si es posible con colores. * Conexiones independientes para los equipos de cmputo para proteccin contra un corto circuito * Contar con planos de instalacin elctrica actualizados. * La tierra fsica debe estar perfectamente instalada segn especificaciones del proveedor. * Tener proteccin contra roedores/fauna nociva en cables del sistema elctrico y de comunicaciones.(se pueden comer los cables)

* Adquirir reguladores que tengan un sistema de corriente ininterrumpido (UPS) para reducir riesgo por cambio de corriente. * En sistemas de alto riesgo, como el bancario, debe contarse adems con plantas de luz de emergencia por si la energa se pierde por un perodo largo. Sistemas contra incendio El centro de cmputo no debe colocarse en stanos o en reas de planta baja sino en parte alta en una estructura de varios pisos, cuidando que las zonas ssmicas no queden en lugares donde el paso ocasionado por equipos o papel pueda provocar problemas * Instalar detectores de agua o inundacin, bombas de emergencia en caso de estar ubicado en zonas de inundacin, con problemas de drenaje, rotura de caeras, etc.. * Ubicar extintores porttiles, adecuados y capaces de detectar diferentes gases que desprenden cuerpos en combustin, en sitios estratgicos, como de CO para equipo elctrico (revisar su capacidad, cargue y recargue, peso proporcional al de una mujer en caso de utilizarlos, tipo de producto usado, equipo de respiracin, sealizacin salidas de emergencia (sealamiento en la parte inferior cercano al piso) * Tener aspersores contra incendio especiales que no sean de agua * Alarmas conectadas con la alarma central de la empresa, o con el Depto. de Bomberos de la ciudad * Tener detectores de humo y fuego con sistema de deteccin de humo por ionizacin aviso anticipado (suena alarma e indica la situacin del detector activado). No debe interrumpir la corriente elctrica al centro de cmputo) * Control archivo de cintas y discos magnticos en una sala independiente con condiciones ambientales y de seguridad necesarias para su almacenamiento, preferiblemente en armarios con paredes fabricadas para que resistan por lo menos 2 horas de fuego Control de accesos: Controles estrictos durante todo el da que incluirn a todo el personal de la empresa, en especial durante descansos y cambios de turno. * Identificacin previa al ingreso al centro de cmputo. * Se pueden utilizar ciertos recursos como: puerta con cerradura (con tradicional llave de metal); puerta de combinacin ((combinacin para permitir acceso); puerta electrnica (con tarjeta plstica magntica y cdigo especial interno ledo por sensor), puertas sensoriales(con alguna parte de su cuerpo: huella, voz, retina, geometra mano, o bien por la firma); registros de entrada (firma en libro, identificacin con foto si es posible); videocmaras (en sitios estratgicos; los cassettes deben guardarse para su posible anlisis); , escolta controladora para el acceso de visitantes, puertas dobles para mxima seguridad (la 2 se abre cuando la 1 est cerrada). Temperatura y Humedad: Equipos de cmputo grandes (mainframes) o bien los porttiles usados en zonas clidas o desrticas necesitan de sistema de aire acondicionado para permanecer en operacin constante, con base en los siguientes parmetros: Disipacin trmica (BTU); Movimiento de aire (CFM); prdidas de transferencia de calor a travs de paredes, pisos y techos, o por la iluminacin, o bien por ventanas expuestas a los rayos del sol. Temperatura ideal 22C. Instalar instrumentos registradores de temperatura y humedad para su control, ductos de aire limpios. Seguros: plizas de seguros debidamente certificadas tanto a equipos como a programas (software) contra desastres. La organizacin debe reglamentar normas y prcticas eficaces para el cuidado y manejo de los equipos, programas e instalaciones. * Verificar fechas vencimiento, cubrimiento de los riesgos a todo el equipo y su instalacin segn costo de equipos y daos causados por factores externos

(desastres naturales, terremotos, inundacin) como internos (por negligencia de operadores, daos por el aire acondicionado o altibajos en el fluido elctrico). * Dejar claro los riesgos cubiertos y excluidos (por guerra, invasin o ataque enemigo extranjero, rebelin, revolucin, motn, huelga, conspiracin, destruccin o dao por orden del gobierno o autoridad pblica, o bien por reaccin o radiacin nuclear, acto intencional o negligencia manifiesta del asegurado o sus representantes), sumas aseguradas, lmites, primas, indemnizaciones en caso de siniestro. * Seguros deben estar a precio de compra de quipos y no a precio al momento de contratacin del seguro). * En el caso del personal, obtener fianzas por robo, negligencia, sabotaje, acciones deshonestas, etc. Medidas de proteccin: programas originales, controles de uso y trnsito por todos los sistemas (navegar) 4.2 Durante Ejecutar plan de contingencia adecuado para realizar anlisis de riesgos de sistemas crticos, el cual debe: Realizar anlisis de riesgos de sistemas crticos Establecer perodo crtico de recuperacin Realizar anlisis de aplicaciones crticas Determinar prioridades de proceso (por das del ao) Establecer objetivos de recuperacin Designar un Centro Alternativo de Proceso de Datos Asegurar la capacidad de las comunicaciones Asegurar la capacidad de los servicios de back-up 4.3 Despus Los contratos de seguros compensar las prdidas, gastos o responsabilidades que se pueden derivar para el CPD, una vez detectado y corregido el fallo. Entre los tipos de seguros estn: Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento 5. AREAS Organigrama de la Empresa: para obtener amplia visin de conjunto del CPD Auditora Interna: para conocer auditoras pasadas relacionadas con auditora fsica o que le afecten Administracin de la seguridad: normas, procedimientos, planes que haya emitido, distribuido y controlado el departamento. CPC e instalaciones: Sala de Host, de operadores, de impresoras; oficinas; almacenes; sala de instalaciones elctricas, de airea acondicionado; reas de descanso y servicios. Equipos y Comunicaciones: Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Computadores Personales: desde el punto de vista de acceso a datos y a la adquisicin de copias no autorizadas.

Seguridad Fsica del personal: accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios.

Un gran centro de cmputo depende de la integridad, estabilidad y lealtad del personal, de ah que al momento de reclutarlo sea conveniente los exmenes psicolgicos y mdicos, antecedentes de trabajo, valores sociales, toda vez que son personas que trabajan bajo presin y mucho estrs. Debe tener alto sistema tico y de lealtad con el fin de evitar riesgos de fraude o mal uso de la informacin. La empresa debe tener claras el sistema de vacaciones puesto que son difciles de sustituir e indispensables. 6. FUENTES Polticas, normas y planes sobre seguridad emitidos por la empresa. Auditoras anteriores. Contratos de seguros, de proveedores y de mantenimiento Entrevistas: al personal de seguridad, informticos y de otras actividades (limpieza y mantenimiento) Actas e Informes tcnicos y consultores. Plan de contingencia y valoracin de pruebas Informes: sobre accesos y visitas, sobre simulacros de evaluacin ante distintos tipos de amenaza, o sobre evacuaciones reales. Polticas de Personal Inventarios de Soportes ( cintoteca, back-up, procedimientos de archivo, control de copias, etc.) ELEMENTO OBJETO Instalaciones - Edificacin Equipamiento y Telecomunicaciones Redes Personas - Usuarios informticos

7.

8. TECNICAS Y HERRAMIENTAS Finalidad: obtener evidencia fsica

Tcnicas Observacin: de instalaciones, sistemas, cumplimiento de normas y procedimientos, no slo como espectador sino como actor. Revisin Analtica: de documentacin sobre la construccin y preinstalaciones, documentacin sobre seguridad fsica; polticas y normas de actividad, de seguridad fsica de datos; contratos de seguros y mantenimiento. Entrevistas: a directivos, personal Consultas: a tcnicos y peritos independientes Herramientas Cuaderno de campo grabadora de audio Mquina fotogrfica Cmara de video 9. RESPONSABILIDADES DEL AUDITOR Auditor Informtico Interno

Revisar los controles de seguridad fsica Revisar el cumplimiento de procedimientos Evaluar riesgos Participar (sin perder independencia) en la seleccin, compra e implantacin de equipos y materiales; planes de seguridad y contingencia. Efectuar auditoras programas e imprevistas. Elaborar informe; hacer seguimiento a recomendaciones.

Auditor Informtico Externo Revisar funciones de los auditores internos. Revisar planes de seguridad y contingencia. Efectuar pruebas Emitir informes y recomendaciones Idem responsabilidades Auditores Internos. 10. FASES Fase 1 Alcance de la Auditora Fase 2 Adquisicin de informacin general * Acuerdo de empresa para Plan de Contingencia? * Acuerdo de un Proceso Alternativo * Proteccin de Datos * Manual del Plan de Contingencia Fase 3 Administracin y planificacin Fase 4 Plan de Auditora Fase 5 Resultado de las pruebas Fase 6 Conclusiones y comentarios Fase 7 Borrador del informe Fase 8 Discusin con los Responsables de Area Fase 9 Informe Final (informe, anexos y carpeta de evidencias

BIBLIOGRAFIA

1. DESMONTS B., Gabriel. AUDITORIA INFORMATICA: Auditora Fsica. 2. ECHENIQUE G., Jos A. AUDITORIA INFORMATICA: Seguridad Fsica.
Editores Mc Graw Hill. 2e. Mxico, 2001