UNIVERSIDAD LAICA ELOY ALFARO DE MANABI

FACULTAD DE CIENCIAS INFORMATICAS

ASIGNATURA:
Auditoría Y Evaluación de Sistemas Informáticos

TITULO DEL TRABAJO:

Auditoría Física

Integrantes:
Andrade Reyes Luis
Pacheco Rivera Cristopher.
Rodríguez Sánchez Jefferson.
Vera López Madeleine.

Curso:
9 “B”

Docente:
Ing. Ayoví

09 de diciembre de 2018
Contenido
Introducción ............................................................................................................................... 3

Problema .................................................................................................................................... 4

Objetivos .................................................................................................................................... 4

Objetivo general ..................................................................................................................... 4

Objetivos específicos ............................................................................................................. 4

Desarrollo del trabajo ................................................................................................................. 5

La Auditoria Física ................................................................................................................ 5

Seguridad Física ..................................................................................................................... 5

Protección del hardware ......................................................................................................... 6

Problemas a los que nos enfrentamos: ............................................................................... 6

Protección de los datos......................................................................................................... 10

Eavesdropping.................................................................................................................. 10

Copias de seguridad ......................................................................................................... 10

Áreas de la seguridad física ................................................................................................. 11

Organigrama de la Empresa ............................................................................................. 11

Auditoria Interna .............................................................................................................. 11

Administración de la seguridad ....................................................................................... 11

Centro de Proceso de Datos (CPD) .................................................................................. 12

Equipos y Comunicaciones .............................................................................................. 12

Computadores personales ................................................................................................ 12

Seguridad Física del Personal .......................................................................................... 12

Conclusiones ............................................................................................................................ 17

Recomendaciones .................................................................................................................... 17

Términos nuevos o importantes ............................................................................................... 18

Bibliografía .............................................................................................................................. 19
Introducción
(Vargas, 2017) Define a la auditoría física como la revisión y evaluación que promocionan
evidencia sobre la seguridad física a nivel de un centro de cómputo, sistemas de información,
procesamiento de información y su entorno.

(PRATS, 2006) Por lo general, cuando se habla de seguridad informática siempre se piensa en
errores de software, virus, intrusos de red, etc. En definitiva, pensamos en software. La realidad
es que la seguridad informática también implica otro aspecto muy importante y que
generalmente permanece desatendido. Se trata de la Seguridad Física de un sistema.

Para (Meneses) la seguridad física está enfocada a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico donde se encuentra ubicado el centro.

Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el
correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS. (Suárez, 2010)

(Velthuis, 2001) “Una Auditoría Parcial que garantiza la integridad de los activos humanos
lógicos y materiales, por lo que no difiere de la Auditoría General más que en el alcance de
esta.”

Según La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales
de un CPD. Si se entiende la contingencia o proximidad de un daño como la definición de
Riesgo de Fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación
con la cronología del fallo: Antes, Durante y Después.

La auditoría física es aquella que está orientada a proteger las amenazas.

Este trabajo está organizado de la siguiente manera:

o Punto 4. Problema.
o Punto 5. Objetivos: general y específicos.
o Punto 6. Desarrollo del trabajo.
o Punto 7. Conclusiones.
o Punto 8. Recomendaciones.
o Punto 9. Términos nuevos o importantes.
o Puntos 10. Bibliografía.
Problema
¿Cuál es el nivel de conocimientos de los estudiantes de la facultad de ciencias informática
acerca de los procedimientos de auditoria física?

Objetivos
Objetivo general
• Conocer los conceptos básicos de la auditoria física.

Objetivos específicos
• Especificar las áreas en la que se realiza la auditoria física.

• Comprender quienes efectúan la auditoria física

• Detallar las políticas de quienes realizan la auditoria física.

Desarrollo del trabajo
La Auditoria Física
(Mario G. Piattini, 2013)La Auditoría es el medio que va a proporcionar la evidencia o no de
la Seguridad física en el ámbito en el que se va a desarrollar la labor profesional.

Es, por tanto, es necesario asumir que la Auditoría Física no se debe limitar a comprobar la
existencia de los medios físicos, sino también su funcionalidad. racionalidad y seguridad.

(Alberto, 2014)La auditoría física, sea interna o externa, no es otra cosa que una auditoria
parcial, por lo que no difiere de la auditoría general más que en el alcance de la misma.

La Auditoria Física garantiza la integridad de los activos humanos, lógicos y materiales de un

Centro de Proceso de Datos.

Seguridad Física
(SEGU.INFO)La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros,
como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una
sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la
sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de

control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.

(School, 2016)Dependiendo del entorno y los sistemas a proteger esta seguridad será más o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

A continuación, se mencionan algunos de los problemas de seguridad física con los que nos
podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su
impacto.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto
las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad
física de cualquier organización.

Problemas a los que nos enfrentamos:

• Acceso físico
• Desastres naturales
• Alteraciones del entorno

Acceso físico:
Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y
en algunos casos incluso a los dispositivos de red. Cuando el usuario debe usar el hardware
directamente, como usando disqueteras, CDROMs o similares la máquina que alberga estos
dispositivos debe estar cercana al usuario. Lo mismo es aplicable para los servidores y
dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que
tener normalmente acceso físico a los dispositivos de red.

Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las
aplicaciones que han de correr los usuarios finales el mantener al menos los servidores y los
dispositivos de red lejos del usuario final, en racks, armarios o centros de datos. Los usuarios
podrán acceder a sus datos a través de la red local y mantener los datos importantes a salvo,
aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo.
Los sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones
pueden ayudar en esto.

Por tanto, la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina
donde el usuario va a trabajar. Deberemos instar al personal de administración para que
organice el sistema de forma que los usuarios finales trabajen directamente sobre servidores de
ficheros y servidores de aplicaciones, manteniendo así los datos a salvo de errores o
manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional
en hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas
en su constitución y más sencillas de administrar.
Para la prevención hay soluciones para todos los gustos y de todos los precios:

• analizadores de retina
• tarjetas inteligentes
• videocámaras
• vigilantes jurados

Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de

circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que
utilizan los sistemas se conozcan entre sí y sepan quien tiene y no tiene acceso a las distintas
salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.

Desastres naturales

Además de los posibles problemas causados por ataques realizados por personas, es importante
tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias,
sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.

Algunos desastres naturales a tener en cuenta:

• Terremotos y vibraciones
• Tormentas eléctricas
• Inundaciones y humedad
• Incendios y humos

Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados
en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas
que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas
causados por pequeñas vibraciones:

• No situar equipos en sitios altos para evitar caídas

• No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos
• Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos
lanzados desde el exterior los dañen
• Utilizar fijaciones para elementos críticos
• Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente
frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda
generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos,
la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta.

En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el

ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco
interesa tener un nivel de humedad demasiada elevado, ya que puede producirse condensación
en los circuitos integrados que den origen a un cortocircuito. En general no es necesario
emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de
alarmas que nos avisen cuando haya niveles anómalos.

Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers)
que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido
o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos
instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente
en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema
de detección de agua, sino cuando se intente parar ya estará mojado.

Por último, se encuentra el fuego y los humos, que en general provendrán del incendio de
equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que, aunque
pueden dañar los equipos que apaguemos, nos evitarán males mayores. Además del fuego,
también el humo es perjudicial para los equipos, al ser un abrasivo que ataca a todos los
componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.

Alteraciones del entorno

Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual

de las máquinas como: la alimentación eléctrica, el ruido eléctrico producido por los equipos o
los cambios bruscos de temperatura.
Electricidad: Quizás los problemas derivados del entorno de trabajo más frecuentes son los
relacionados con el sistema eléctrico que alimenta nuestros equipos; como por ejemplo
cortocircuitos, picos de tensión, cortes de flujo.

Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o
filtros reguladores de tensión.

Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además
de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas
de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los
aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada
(generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos
de que ha caído la línea o de que se ha restaurado después de una caída).

Por último, indicar que además de los problemas del sistema eléctrico también debemos
preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se
pueden emplear spray antiestáticos o ionizadores y tener cuidado de no tocar componentes
metálicos, evitar que el ambiente esté excesivamente seco, etc.

Ruido eléctrico

El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede
serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de
líneas eléctricas cercanas a nuestra instalación.

Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no
situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese
necesario hacerlo siempre podemos instalar filtros o apantallar las cajas de los equipos.

Temperaturas extremas

En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar
la temperatura emplearemos aparatos de aire acondicionado.
Protección de los datos
Además, proteger el hardware nuestra política de seguridad debe incluir medidas de protección
de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de
información, no la destrucción del medio físico que la contiene.

Los problemas de seguridad que afectan a la transmisión y almacenamiento de datos,

proponiendo medidas para reducir el riesgo.

Eavesdropping
La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso
mediante el cual un agente capta información que va dirigida a él; esta captación puede
realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se
pone en modo promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones
electromagnéticas.

El problema de este tipo de ataque es que en principio es completamente pasivo y en general

difícil de detectar mientras se produce, de forma que un atacante puede capturar información
privilegiada y claves que puede emplear para atacar de modo activo.

Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única
realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el
aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos
de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los
protocolos basados en TCP permiten usar una versión cifrada mediante el uso del TLS.

Copias de seguridad
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las
copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de
operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y
cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se
produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general
el hardware se puede volver a comprar, pero una pérdida de información puede ser
irreemplazable.

Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de
operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se
almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad
alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser
lejos de la sala donde se encuentran los equipos copiados).

Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de
modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar
los datos almacenados.

Soportes no electrónicos

Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado
en un lugar de acceso restringido; también es conveniente que sea de acceso restringido el lugar
donde los usuarios recogen los documentos que lanzan a estos dispositivos.

Además de esto es recomendable disponer de trituradoras de papel para destruir todos los
papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda
obtener información rebuscando en nuestra basura.

Áreas de la seguridad física

Organigrama de la Empresa
Por él se conocerán las dependencias orgánicas, funcionales y jerárquicas de los departamentos
y de los distintos cargos y empleos del personal pudiendo analizar, con ayuda de
documentación histórica, las apropiadas Separación de Funciones y Rotación en el Trabajo.

Da la primera y más amplia visión de conjunto del Centro de Proceso.

Auditoria Interna
Departamento independiente o subordinado al de Auditoría Financiera, si existe, y colaborador
de éste en cualquier caso, debe guardar las auditorías pasadas, la Normas, Procedimientos y
Planes que sobre la Seguridad Física y su Auditoría baja emitido y distribuido la Autoridad
competente dentro de la Empresa.

Administración de la seguridad
Vista desde una perspectiva general que ampare las funciones, dependencias, cargos y
responsabilidades de los distintos componentes:

o Director o Responsable de la Seguridad Integral.

o Responsable de la Seguridad Informática.
o Administradores de Redes.
 o Administradores de Bases de Datos.
o Responsables de la Seguridad activa y pasiva del Entorno físico.

Normas. Procedimientos y Planes que. desde su propia responsabilidad haya emitido,

distribuido y controlado el departamento.

Centro de Proceso de Datos (CPD)

Entorno en el que se encuentra incluso el CPD como elemento físico y en el que debe realizar
su función informática.

Las instalaciones son elementos accesorios que deben ayudar a la realización de la mencionada
función informática y. a la vez. proporcionar seguridad a las personas al soft y a los materiales.

• Sala del Host.

• Sala de Operadores.
• Sala de Impresoras.
• Cámara Acorazada.
• Oficinas.

Equipos y Comunicaciones
Son los elementos principales del CPD: host, terminales, computadores personales, equipos
de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.

Un auditor debe inspeccionar su ubicación dentro del CPD así como el control de Acceso a
los mismos como elementos restringidos.

Computadores personales
Especialmente cuando están en red. son elementos muy potentes e indiscretos que pueden
acceder a prácticamente cualquier lugar donde se encuentren los Datos, por lo que merecerán
especial atención tanto desde el punto de vista de acceso a los mismos como a la adquisición
de copias no autorizadas Es especialmente delicada su conexión a los medios de
telecomunicaciones.

Seguridad Física del Personal

Accesos y salidas seguras, así como medios y rutas de evacuación, extinción de incendios y
medios utilizados por ello (agua en lugares de conducción y aparatos eléctricos, gases
asfixiantes, etc.), sistemas de bloqueo de puertas y ventana, zonas de descanso y servicios.
Normas y políticas emitidas y Dirigidas por la Dirección referente al uso de las instalaciones
por el personal.

Definición de la Auditoría física

La Auditoría física, interno o externa, no es sino una auditoría parcial, por lo que no difiere de
la auditoría general más que en el Alcance de esta.

Riesgo → Control → Pruebas

Fuentes de la Auditoría física

Se señalan a continuación algunas Fuentes que deben estar accesibles en tote Centro de Proceso
de Datos.

• Políticas, Normas y Planes sobre Seguridad emitidos y distribuidos tanto por la

Dirección de la empresa en términos generales como o por el Departamento de
Seguridad siguiendo un enfoque más detallado.
• Auditorias anteriores, generales y parciales, referentes a la Seguridad Física o a
cualquier otro tipo de auditoría que, de una u otra manera, esté relacionadas con la
Seguridad Física.
• Contratos de Seguros, de Proveedores y de Mantenimiento.
• Entrevistas con el personal de segundad, personal informático y de otras actividades,
responsables de seguridad de otras empresas dentro del edificio y de la seguridad
general del mismo, personal contratado para la limpieza y mantenimiento de locales,
etc.
• Actas e Informes de técnicos y consultores. Peritos que diagnostiques d estado físico
del edificio, electricistas, fontaneros, técnicos del aire acondicionado, especialistas en
electrónica que informen sobre la calidad y estado de operatividad de los sistemas de
seguridad y alarma, agencias de seguridad que proporcionan a los Vigilantes jurados,
bomberos, etc.
• Plan de Contingencia y valoración de las Pruebas.
• Informes sobre accesos y visitas. Existencia de un sistema de control de entradas y
salidas diferenciando entre áreas Perimetral, Interna y Restringida.
• Políticas de Personal. Revisión de antecedentes personales y labórales, procedimientos
de cancelación de contratos y despidos, rotación en el trabajo, planificación y
distribución de tareas, contratos fijos y temporales.
 • Inventarios de Sopones (papel y magnéticas): cintoteca, back-up, procedimientos de
archivo, controles de salida y recuperación de soportes, control de copias, etc.

Técnicas y herramientas del auditor

Técnicas
✓ Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos,
etc. no sólo como espectador sino también como actor, comprobando por sí mismo el
perfecto funcionamiento.
✓ Revisión analítica de:

Documentación sobre construcción y preinstalaciones.

Documentación sobre seguridad física.

Políticas y Normas de Actividad de Sala.

Normas y Procedimientos sobre seguridad física de los dalos.

Contratos de Seguros y de Mantenimiento.

✓ Entrevistar con directivos y personal, fijo o temporal, que no dé la sensación de

interrogatorio para vencer el natural recelo que el auditor suele despertar en los
empleados.
✓ Consultas a técnicos y peritos que formen parte de la plantilla e independientes
contratados.

Herramientas
Cuaderno de campo / grabadora de audio

Máquina fotográfica/cámara de video

Su uso debe ser discreto y siempre con el consentimiento del personal.

Responsabilidades de los auditores

Auditor informático interno
El Auditor Informático, en especial el Interno, no debe desarrollar su actividad como una mera
función policial dando la impresión a los usuarios informáticos y 4 resto de empleados de que
se encuentran permanentemente vigilados. Esto crea un ambiente tenso y desagradable que en
nada favorece ni a las relaciones personales ni al buen desarrollo del trabajo.
El auditor debe esforzarse más en dar una imagen de colaborador que intenta ayudar que en la
de fiscalizador o caza-infractores. Para ello es necesario que en las Normas y Procedimientos
emitidos por la Dirección figuren las funciones y responsabilidades de los auditores y que
ambas sean distribuidas y conocidas por toda la plantilla de la empresa.

Dentro del campo de responsabilidades de los auditores, las referentes a Seguridad Física,
quedan establecidas las siguientes para cada tipo de auditor:

Auditor informático externo

• Revisar las funciones de los auditores internos.
• Mamas responsabilidades que los auditores internos.
• Revisar los Planes de Seguridad y Contingencia. Efectuar Pruebas.
• Emitir informes y recomendaciones.

Fase de la auditoría física

• Fase I: Conocimientos del Sistema
• Fase II: Análisis de transacciones y recursos
• Fase III: Análisis de riesgos y amenazas
• Fase IV: Análisis de controles
• Fase V: Evaluación de Controles
• Fase VI: El Informe de auditoría
• Fase VII: Seguimiento de las Recomendaciones

Desarrollo de las fases de la auditoría física

(María, 2011)Nos detalla las 7 fases de la auditoria física.

Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas Internos. Sobre estos
elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia
para su evaluación. Características del Sistema Operativo. Organigrama del área que participa
en el sistema Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditoría realizadas anteriormente Características de la aplicación de computadora
Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para
administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la
aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los
archivos de la aplicación.
Fase II: Análisis de transacciones y recursos: Definición de las transacciones. Dependiendo
del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores. Análisis de las
transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los
flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.
Análisis de los recursos Identificar y codificar los recursos que participan en el sistema
Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas: Identificación de riesgos Daños físicos o

destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente,
archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las
operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores
.Identificación de las amenazas sobre los equipos, sobre documentos fuente, sobre programas
de aplicaciones Relación entre recursos/amenazas/riesgos La relación entre estos elementos
deberá establecerse a partir de la observación de los recursos en su ambiente real de
funcionamiento.

Fase IV: Análisis de controles: Los controles de seguridad informática usualmente se

clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles
administrativos

Fase V: Evaluación de Controles: Objetivos de la evaluación, Verificar la existencia de los

controles requeridos, Determinar la operatividad y suficiencia de los controles existentes, Plan
de pruebas de los controles, Incluye la selección del tipo de prueba a realizar. Debe solicitarse
al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles Análisis de
resultados de las pruebas

Fase VI: El Informe de auditoría: Informe detallado de recomendaciones, Evaluación de las

respuestas, Informe resumen para la alta gerencia. Este informe debe prepararse una vez
obtenidas y analizadas las respuestas de compromiso de las áreas.

Fase VII: Seguimiento de las Recomendaciones Informes del seguimiento Evaluación de los
controles implantados
Conclusiones
La auditoría debe ampliar su enfoque no solo a la evaluación de controles sino también a la
evaluación de riesgos y de esta manera avanzar hacia una auditoria preventiva.

El personal de auditoria interna deberá estar altamente capacitado a un nivel que le permita
cumplir eficientemente sus tareas y contar con apoyo tecnológico e información actualizada.

Para contribuir en la prevención de riesgos, es necesario que las políticas sean conocidas en
forma oportuna por la auditoria interna y que se garanticen los mecanismos organizacionales
necesarios para que ello ocurra.

Recomendaciones
Toda empresa, pública o privada, que posean Sistemas de Información, deben de someterse a
un control estricto de evaluación de eficacia y eficiencia ya que el éxito de una empresa
depende de la eficiencia de sus sistemas de información.

No sirve de nada que una empresa tenga gente de primera, si tiene un sistema informático
propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la
empresa nunca saldrá a adelante.

El trabajo de la auditoría física precisa de gran conocimiento de Informática, seriedad,

capacidad, minuciosidad y responsabilidad; la auditoría de Sistemas debe hacerse por gente
altamente capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas para la
empresa auditada.
Términos nuevos o importantes
CPD (Centro de Proceso de Datos)

Eavesdropping: término inglés que traducido al español significa escuchar secretamente, se

ha utilizado tradicionalmente en ámbitos relacionados con la seguridad, como escuchar
llamadas telefónicas.

Sistemas NAS: es un dispositivo de almacenamiento conectado a una red que permite

almacenar y recuperar los datos en un punto centralizado para usuarios autorizados de la red y
multiplicidad de clientes.

Plan de contingencia: es un instrumento de gestión para el manejo de las Tecnologías de la

Información y las Comunicaciones en el dominio del soporte y el desempeño.

Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar
la continuidad del negocio y las operaciones de una compañía u organización.

Áreas Perimetral: sirve para delinear un límite de control con el exterior que busca reducir el
riesgo de contaminación del área alrededor de los galpones.
Bibliografía
Alberto, D. A. (2014). Auditoria Física. Obtenido de
https://www.academia.edu/7785944/Auditoria_F%C3%ADsica

María, E. (2011). Fases de la Auditoria Informatica. Obtenido de

http://vacamaried.blogspot.com/2011/11/fases-de-la-auditoria-informatica.html

Mario G. Piattini, E. d. (2013). Auditoría informática. Un enfoque práctico. Alfaomega.

Meneses, A. (s.f.). AUDITORIA DE LA SEGURIDADFISICA Y LOGICA. Obtenido de

https://www.academia.edu/29792698/AUDITORIA_DE_LA_SEGURIDAD_FISICA
_Y_LOGICA

PRATS, S. L. (2006). La auditoria de la seguridad física. Obtenido de https://e-

archivo.uc3m.es/bitstream/handle/10016/16070/PFC_Sergio_Lucena_Prats_2006_20
1212212438.pdf?sequence=1&isAllowed=y

School, O. B. (2016). Segurida Física Informática. Obtenido de https://www.obs-

edu.com/int/blog-investigacion/sistemas/seguridad-fisica-informatica-que-se-enfrenta

SEGU.INFO. (s.f.). Seguridad Física. Obtenido de https://www.segu-

info.com.ar/fisica/seguridadfisica.htm

Suárez, L. M. (23 de Mayo de 2010). Blogger.com. Obtenido de AUDITORÍA DE

SISTEMAS: http://audisistemasremington.blogspot.com/2010/05/auditoria-fisica-
i.html

Vargas, M. (2017). La Auditoria Física. Obtenido de

https://es.scribd.com/document/119076918/definicion-de-auditoria-fisica

Velthuis, M. G. (2001). La auditoría de los sistemas de información. España: Alfaomega.