fisica explotacion
TRANSCRIPT
1
Auditoría de Sistemas de Información, Unidad de Competencia I
Auditoría Física
En esta área se proporciona evidencia del nivel de la seguridad física en el ámbito en
el que se va a desarrollar la actividad profesional, no limitándose a comprobar que
existen los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
2
� La seguridad física garantiza la integridad de
los activos humanos, lógicos y materiales en
un centro de procesamiento de información.
Existen tres momentos para responder ante
una falla en esta área, relacionados con la
cronología de la misma:
Antes, Durante y Después
2
3
Antes� Obtener y mantener un grado de
seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos físicos.
� Ubicación del edificio
� Ubicación del centro de procesamiento dentro del edificio
� División
� Elementos de construcción
� Potencia eléctrica
� Sistemas contra incendios
� Control de accesos
� Seguridad de los medios
� Medidas de protección
� Duplicación de medios
4
Durante
� Ejecutar un plan de contingencia adecuado, el cual
realice un análisis de riesgos de sistemas críticos,
establezca un periodo crítico de recuperación (del
desastre), realice un análisis de aplicaciones
críticas, establezca prioridades y objetivos de
recuperación, designe un Centro Alternativo de
Procesamiento, y asegure la capacidad de las
comunicaciones y de los servicios de back-up.
3
5
Después
� Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Información una vez detectado y corregido el fallo.
� Entre algunos tipos de seguros están:
Centro de proceso y equipamientoReconstrucción de medios de softwareGastos extraInterrupción del negocioDocumentos y registros valiososErrores y omisionesCobertura de fidelidadTransporte de mediosContratos con proveedores y de mantenimiento
6
Áreas de la Seguridad Física
� La revisión de la construcción y el estado de
la infraestructura del edificio en sí mismo no
es un objeto del que pueda diagnosticar un
auditor, sino que tendrá que apoyarse de
peritos independientes que den respuesta a
sus preguntas para lograr la valoración.
4
7
� Organigrama de la empresa.
� Auditoría interna.
� Administración de la seguridad.
� Centro de procesamiento e instalaciones.
� Equipos y comunicaciones.
� Computadoras personales.
� Seguridad física del personal.
8
Fuentes de la auditoría física
� Políticas, normas y planes sobre seguridad
� Auditorías anteriores
� Contratos de Seguros, de Proveedores y de Mantenimiento
� Entrevistas con el personal de seguridad, informático y de otras actividades (limpieza y mantenimiento, entre otros)
� Actas e informes de técnicos y consultores
� Plan de contingencia y valoración de las pruebas
� Informes sobre accesos y visitas
� Informes sobre pruebas de evacuación ante diferentes tipos de amenaza
� Informes sobre evacuaciones reales� Políticas de personal
� Inventarios de soporte (back-up, procedimientos de archivo, control de copias, etc.)
5
9
Son objetivo de la Auditoría física
� El edificio
� Las instalaciones
� El equipamiento y las instalaciones
� Los datos
� Las personas
10
Técnicasy Herramientas
� Técnicas:� Observación de las instalaciones, sistemas, cumplimiento
de normas y procedimientos, no sólo como espectador sino como actor.
� Revisión analítica de documentación sobre la construcción y preinstalaciones, documentación sobre la seguridad física, políticas y normas de actividad, normas y procedimientos sobre seguridad física de los datos, contratos de seguros y mantenimiento.
� Entrevistas con directivos y personal.� Consultas a técnicos y peritos independientes.
� Herramientas� Cuaderno de campo, audiograbadora, cámara fotográfica y
de video…
6
Auditoría de Sistemas de Información, Unidad de Competencia I
Auditoría de la Explotación
Para hacer el seguimiento y comprobar que el SI está actuando
como debe, éste habrá de disponer de un control interno que prevenga
los eventos no deseados, o en su defecto que los detecte y los corrija.
12
Introducción
� El nivel de competencia de las empresas les
obliga a tomar decisiones rápidas y
acertadas, por lo que es necesario que los
sistemas sean eficientes y eficaces
7
13
Definición de Explotación
� La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, archivos soportados magnéticamente para otros informáticos, órdenes automatizadas para ejecutar o modificar procesos industriales, etc.
14
Proceso de Auditoría en Explotación
� Para realizar la Explotación Informática se
dispone de una materia prima, los Datos, que
es necesario transformar, y que se someten
previamente a controles de integridad y
calidad.
8
15
� La transformación se realiza por medio del
Proceso informático, el cual está gobernado
por programas. Obtenido el producto final,
los resultados son sometidos a varios
controles de calidad y, finalmente, son
distribuidos al cliente, al usuario.
16
Procedimiento de la Auditoría
FIN1. Archivar los papeles de trabajo
REVISIONES E INFORMES1. Revisión del trabajo
2. Elaboración de informes3. Distribución de informes
REALIZAR EL TRABAJO1. Actualización del programa de trabajo2. Pruebas de cumplimiento3. Pruebas sustantivas
PLANIFICACIÓN1. Planificación estratégica
a. Estudio y evaluación de riesgosb. Establecimiento de objetivos
2. Planificación técnicaa. Programa de trabajo
INICIO1. Contrato o solicitud
9
17
División de la Auditoría
� Evaluación de Controles generales:
� Controles operativos y de organización
� Desarrollo de programas
� Sobre programas y equipo
� Controles de acceso
� Sobre procedimiento de datos
18
División de la Auditoría
� Evaluación de las Aplicaciones
� Sobre la captura de datos
� De proceso
� Salida y distribución
10
19
Clasificación según COBIT
� Actividades y Tareas
� Procesos
� Dominios� Planificación y organización
� Adquisición e implementación
� Suministro y mantenimiento
� monitorización
20
Fuente:
� PIATTINI, Mario y Emilio del Peso. Auditoría
Informática.
Un enfoque práctico. Editorial RA-MA.