 La Auditoria Física no se limita a comparar solo la existencia
de los medios físicos, sino también su
funcionalidad, racionalidad y seguridad.

Seguridad Física
Garantiza la integridad de los
activos humanos, lógicos y
materiales del Objeto a analizar.

Desastre; es cualquier
evento que cuando ocurre
tiene la capacidad de
interrumpir el normal
proceso de una empresa.
Por eso se tiene que
ejecutar un plan de
contingencia adecuado.
Antes Durante
Grado de Seguridad; es un
conjunto de acciones
utilizadas para evitar el fallo
o, en su caso, aminorar las Después Los contratos de seguros, vienen a
consecuencias que de el se compensar las perdidas, gastos o
puede derivar. responsabilidades una vez
Por lo que se toma corregido el Fallo.
encuentra los activos de la
empresa
Medidas a preparar según el momento
del Fallo

AREAS DE LA SEGURIDAD FISICA
 Se considerara todas las áreas siempre considerando el aspecto
físico de la seguridad y que serán tales como:
 Organigrama de la Empresa
 Auditoria Interna.
 Administración de la Seguridad
 Centros de Procesos de datos e instalaciones.
 Equipos y Comunicación
 Computadoras Personales
 Seguridad Física del Personal
Organigrama de la Empresa
 Nos servirá para conocer las dependencias orgánicas funcionales
y jerárquicas de los departamentos y los distintos cargos del
personal.

Áreas de Seguridad Física
 Auditoría interna: Es un departamento independiente, que debe guardar
las auditorias pasadas, normas, procedimientos y planes de seguridad
física.
 Administración de la seguridad: Distribución de
responsabilidades, funciones, dependencias y cargos en los
componentes.
 Centro de procesos de datos e instalaciones: Ayudan a la realización de
la función informática y proporcionan seguridad las personas
 Sala de Host
 Sala de Operadores
 Sala de impresoras
 Cámara Acorazada
 Oficinas
 Almacenes….

…Áreas de Seguridad Física
 Computadores personales: Equipos en los que hay que
tener mucho cuidado especialmente cuando están
conectados a la red por seguridad de los datos.
 Equipos y comunicaciones.: El auditor debe tomar en
cuenta que estos equipos son especiales debido a que en
ellos se almacena toda la información.
 Seguridad física del personal: Salidas y accesos
seguros, todo lo que tiene que ver con plan de contingencia
para el personal

Fuentes de Auditoría Física
 Políticas, Normas y planes sobre seguridad emitidos y distribuidos por
la dirección de la empresa y por el departamento de seguridad.
 Auditorias anteriores referentes a la seguridad física.
 Contratos seguros
 Entrevistas con el personal de seguridad informático y otras cosas
 Actas e informes técnicas y consultores, que permitan diagnosticar el
estado físico del edificio
 Informe sobre acceso y visitas
 Políticas del personal, planificación y distribución de
tareas, contratos, etc.
 Inventarios de soporte Back-up, controles de salida y recuperación de
soportes.

Objetivos de la Auditoría Física
 Se basa en la lógica “de fuera adentro” los objetivos de la
auditoría física se basan en prioridades con el siguiente
orden:
 Edificio
 Instalaciones
 Equipamiento y telecomunicaciones
 Datos
 Personas

Técnicas y Herramientas del
Auditor
Su fin es obtener la evidencia física

Técnicas
 Observación
 Revisión analítica
 Entrevistas
 Consultas

Técnicas - Observación
 Instalaciones
 Sistemas
 Cumplimiento de Normas
 Cumplimiento de Procedimientos
 Etc.
 No solo como espectador sino también como actor.

Técnicas - Revisión Analítica
 Políticas y Normas de Actividad de Sala
 Normas y Procedimientos sobre seguridad física de los
datos.
 Contratos de Seguros y de Mantenimiento
 Documentación sobre:
 Construcción y Preinstalaciones
 Seguridad Física

Técnicas - Entrevistas
 Directivos
 Personal
 Que no de la sensación de interrogatorio

Técnicas - Consultas
 Técnicos y peritos que formen parte de la plantilla o
independientes contratados

Herramientas
 Cuaderno de Campo
 Grabadora de Audio
 Máquina Fotográfica
 Cámara de Video

Responsabilidades de los
Auditores
• No debe realizar su actividad como una mera función policial
• Debe esforzarse más en dar una imagen de colaborador que intenta ayudar

Auditor Informático Interno
 Revisar
 Controles relativos a Seguridad Física
 Cumplimiento de los Procedimientos
 Cumplimiento de Políticas y Normas sobre Seguridad Física así como
de las funciones de los distintos Responsables y Administradores de
Seguridad
 Evaluar Riesgos
 Participar sin perder independencia en:
 Selección, adquisición e implantación de equipos y materiales
 Planes de Seguridad y de
Contingencia, seguimiento, actualización, mantenimiento y prueba de
los mismos
 Efectuar auditorías programadas e imprevistas
 Emitir Informes y efectuar el seguimiento de las recomendaciones

Auditor Informático Externo
 Revisar las funciones de los auditores internos
 Mismas responsabilidades que los auditores internos
 Revisar los Planes de Seguridad y Contingencia.
 Efectuar pruebas sobre los planes antes mencionados
 Emitir informes y recomendaciones

Fases de la Auditoría Física
El Ciclo de Vida de este tipo de auditoría quedaría de acuerdo a las siguientes
fases

Fases
1. Alcance de la Auditoría
2. Adquisición de Información General
3. Administración y Planificación
4. Plan de Auditoría
5. Resultado de las Pruebas
6. Conclusiones y Comentarios

Fases
7. Borrador del Informe
8. Discusión con los Responsables de Área
9. Informe Final
 Informe
 Anexo al Informe
 Carpeta de Evidencias
10. Seguimiento de las Modificaciones acordadas

Bibliografía
 Piattini Velthusis, M. G., & Navarro, E. d. (2001). Auditoría
Informática: Un enfoque práctico (2ª edición ed.). (A. G.
Editor, Ed.) Madrid, España: RA-MA.