Auditorias

Principales áreas de la Auditoría Informática

La Auditoría Física

En esta área se proporciona evidencia del nivel de la seguridad física en el ámbito en el que se va a desarrollar la actividad profesional, no limitándose a comprobar que existen los medios físicos, sino también su funcionalidad, racionalidad y seguridad.

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento de información. Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de la misma:

Antes

Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos físicos.

Ubicación del edificio

Ubicación del centro de procesamiento dentro del edificio

División

Elementos de construcción

Potencia eléctrica

Sistemas contra incendios

Control de accesos

Seguridad de los medios

Medidas de protección

Duplicación de medios

Durante

Ejecutar un plan de contingencia adecuado, el cual realice un análisis de riesgos de sistemas críticos, establezca un periodo crítico de recuperación (del desastre), realice un análisis de aplicaciones críticas, establezca prioridades y objetivos de recuperación, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up.

Después

Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Información una vez detectado y corregido el fallo. Entre algunos tipos de seguros están:

Centro de proceso y equipamiento

Reconstrucción de medios de software

Gastos extra

Interrupción del negocio

Documentos y registros valiosos

Errores y omisiones

Cobertura de fidelidad

Transporte de medios

Contratos con proveedores y de mantenimiento

Áreas de la Seguridad Física

La revisión de la construcción y el estado de la infraestructura del edificio en sí mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendrá que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoración.

Las áreas en las que el auditor ha de interesarse personalmente tienen relación directa con el hecho informático, como lo son:

• Organigrama de la empresa (para obtener amplia visión de conjunto del centro de proceso).

• Auditoría interna (para conocer auditorías pasadas, relacionadas con la seguridad física).

• Administración de la seguridad (normas, procedimientos y planes que haya emitido, distribuido y controlado el departamento).

• Centro de procesamiento e instalaciones (sala del Host, de operadores, de impresoras, oficinas, almacenes, de instalaciones eléctricas, de aire acondicionado, de descanso y servicio…).

• Equipos y comunicaciones (Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones).

• Computadoras personales (desde el punto de vista de acceso a datos y a la adquisición de copias no autorizadas).

• Seguridad física del personal (accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios…).

Fuentes de la auditoría física

• Políticas, normas y planes sobre seguridad

• Auditorías anteriores

• Contratos de Seguros, de Proveedores y de Mantenimiento

• Entrevistas con el personal de seguridad, informático y de otras actividades (limpieza y mantenimiento…)

• Actas e informes de técnicos y consultores

• Plan de contingencia y valoración de las pruebas

• Informes sobre accesos y visitas

• Informes sobre pruebas de evacuación ante diferentes tipos de amenaza

• Informes sobre evacuaciones reales

• Políticas de personal

• Inventarios de soportes (cintoteca, back-up, procedimientos de archivo, control de copias, etc.)

Son objetivo de la Auditoría física

• El edificio

• Las instalaciones

• El equipamiento y las instalaciones

• Los datos

• Las personas

Técnicas

• Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, no sólo como espectador sino como actor.

• Revisión analítica de documentación sobre la construcción y preinstalaciones, documentación sobre la seguridad física, políticas y normas de actividad, normas y procedimientos sobre seguridad física de los datos, contratos de seguros y mantenimiento,

• Entrevistas con directivos y personal.

• Consultas a técnicos y peritos independientes.

Herramientas

Cuaderno de campo, audiograbadora, cámara fotográfica y de video.

La Auditoría de la Explotación

El nivel de competencia que existe entre las empresas les obliga a tomar decisiones rápidas y acertadas, por lo que el funcionamiento adecuado y la continua actualización de los SI son muy necesarios. Los recursos de los SI se han de utilizar de forma que permitan la eficacia y eficiencia de la empresa, además de que deben asegurar la confidencialidad de sus datos.

Para hacer el seguimiento y comprobar que el SI está actuando como debe, éste habrá de disponer de un control interno que prevenga los eventos no deseados, o en su defecto que los detecte y los corrija.

Para esta área de la auditoría es posible seguir la guía de clasificación de los controles que hace el proyecto CobiT (es un marco reconocido internacionalmente, que permite la estandarización de criterio relacionado con controles sobre TI).

Procedimiento de auditoría

1. Contrato o solicitud INICIO

2. Planificación estratégica

a. Estudio y evaluación de riesgos

b. Establecimiento de objetivos

3. Planificación técnica

a. Programa de trabajo PLANIFICACIÓN

4. Actualización del programa de trabajo

5. Pruebas de cumplimiento

6. Pruebas sustantivas REALIZAR EL TRABAJO

7. Revisión del trabajo

8. Elaboración de informes

9. Distribución de informes REVISIONES E INFORMES

...