1
00:00:00,390 --> 00:00:04,050
Muy bien, ahora vamos a ver un ejemplo de un papel de trabajo.

2
00:00:05,040 --> 00:00:10,830
Este es el papel de trabajo de una auditoría realizada a la seguridad física del centro de cómputo.

3
00:00:11,790 --> 00:00:18,600
En este documento vamos a ver las características de una documentación de auditoría en la primera página.

4
00:00:18,630 --> 00:00:21,630
Aquí tenemos el nombre del comercio o de la empresa.

5
00:00:22,230 --> 00:00:30,120
A veces minimarket, el departamento de auditoría, la división que es auditoría de tecnología, usualmente

6
00:00:30,120 --> 00:00:31,770
dentro del departamento de Auditoría.

7
00:00:31,890 --> 00:00:37,620
Hay varias divisiones, puede ser la auditoría financiera, auditoría operacional, auditoría de sistemas.

8
00:00:37,800 --> 00:00:43,920
Por eso en este documento se indica que es auditoría de tecnología la división correspondiente.

9
00:00:44,040 --> 00:00:49,320
Entonces, más abajo tenemos validación, seguridad física del centro de datos.

10
00:00:49,530 --> 00:00:53,040
Ese es el nombre del proceso auditado o el área auditada.

11
00:00:54,240 --> 00:00:56,340
Seguridad física, centro de cómputos.

12
00:00:58,490 --> 00:00:59,480
Papel de trabajo.

13
00:01:00,740 --> 00:01:07,850
Entonces, en la siguiente página acá tenemos básicamente la información que vimos en la primera página.

14
00:01:07,880 --> 00:01:08,900
Lo tenemos acá.

15
00:01:10,110 --> 00:01:11,230
De encabezado.

16
00:01:11,400 --> 00:01:14,520
Entonces iniciamos con la información del control.

17
00:01:14,970 --> 00:01:16,410
Este es el detalle del control.

18
00:01:17,640 --> 00:01:20,670
El nombre del control, seguridad física del centro de cómputo.

19
00:01:22,260 --> 00:01:25,410
Y esta es la descripción del control.

20
00:01:26,280 --> 00:01:32,790
Existen mecanismos de seguridad física diseminados en las instalaciones del centro de cómputo, tales

21
00:01:32,790 --> 00:01:39,240
como control de acceso, extintores y cámaras de vigilancia para asegurar el resguardo de los activos

22
00:01:39,240 --> 00:01:40,680
de información que ahí reside.

23
00:01:40,710 --> 00:01:48,570
Entonces tenemos acá la descripción del control, ya que la seguridad física del centro de cómputo es

24
00:01:48,570 --> 00:01:52,080
un conjunto de controles ambientales que lo componen.

25
00:01:52,140 --> 00:01:57,050
Entonces, en la descripción somos más específicos acerca de lo que se está tratando.

26
00:01:59,230 --> 00:02:03,370
El tipo de control que es preventivo, de eficiencia del diseño.

27
00:02:03,760 --> 00:02:12,550
Esto es, si en el diseño cómo está conformado el control, identificamos una deficiencia ya de antemano.

28
00:02:12,580 --> 00:02:15,950
Aquí podemos indicar si existe una deficiencia o no?

29
00:02:16,420 --> 00:02:22,330
Descripción de la prueba Ahora vamos a ver más detalles acerca de la prueba que se realizó.

30
00:02:22,690 --> 00:02:29,290
Objetivo Verificar que el centro de cómputo se encuentra respaldado por mecanismos y criterios de seguridad

31
00:02:29,290 --> 00:02:30,040
adecuados.

32
00:02:30,530 --> 00:02:37,000
Nuestra fuente de información la obtuvimos por medio a la visita física al centro de cómputo, es decir,

33
00:02:37,000 --> 00:02:38,110
de manera presencial.

34
00:02:38,200 --> 00:02:44,830
Obtuvimos las informaciones necesarias para dar respuesta a nuestra validación o a nuestra auditoría.

35
00:02:45,940 --> 00:02:53,740
El alcance corresponde al perímetro de seguridad y controles de acceso físico al 31 de julio 2020 que

36
00:02:53,740 --> 00:02:54,760
es el Corte.

37
00:02:56,040 --> 00:02:59,580
Entonces nuestro alcance tiene que ver con el perímetro de seguridad.

38
00:02:59,760 --> 00:03:03,330
Todo el entorno de seguridad y controles de acceso físico.

39
00:03:04,020 --> 00:03:07,320
Y aquí tenemos el detalle del procedimiento a realizar.

40
00:03:07,620 --> 00:03:10,080
Esta es la directriz de lo que se debe hacer.

41
00:03:10,980 --> 00:03:17,940
Por eso indica coordinar una visita al centro de cómputo y verificar la existencia de los mecanismos

42
00:03:17,940 --> 00:03:19,170
de seguridad siguientes.

43
00:03:19,890 --> 00:03:26,160
Es importante que el procedimiento esté bien definido porque el auditor de Bede debe de guiarse por

44
00:03:26,160 --> 00:03:28,260
un documento formalmente establecido.

45
00:03:28,320 --> 00:03:33,420
Esto asegura la calidad del trabajo a realizar para que no solamente esté a criterio de la persona que

46
00:03:33,420 --> 00:03:34,590
esté haciendo la revisión.

47
00:03:34,710 --> 00:03:42,480
Estos procedimientos normalmente están sustentados a mejores prácticas y estándares internacionales.

48
00:03:42,510 --> 00:03:48,300
Entonces aquí vamos a verificar la existencia de estos mecanismos de seguridad física.

49
00:03:48,420 --> 00:03:54,540
Estos controles, como el registro de visitas, mecanismos de autenticación para el acceso, extintores,

50
00:03:54,960 --> 00:04:01,440
cámaras de seguridad, detectores de humo, sensores de humedad y de temperatura, servidores ubicados

51
00:04:01,440 --> 00:04:07,410
en armarios apropiados, desnivel del piso, piso falso, cableado organizado, sistema de refrigeración

52
00:04:07,410 --> 00:04:10,980
con redundancia, sistema de suministro ininterrumpido de energía.

53
00:04:11,430 --> 00:04:18,480
Estos son los controles que se deben de revisar en esta auditoría y concluir en base a los resultados.

54
00:04:19,540 --> 00:04:23,490
Entonces, más abajo, aquí tenemos el resultado de la prueba.

55
00:04:23,690 --> 00:04:24,540
Que se coloca.

56
00:04:25,560 --> 00:04:29,010
Se colocan detalles de lo que se observó y de lo que se realizó.

57
00:04:29,280 --> 00:04:32,430
Empezamos con cuando se realizó la prueba.

58
00:04:32,430 --> 00:04:37,770
La fecha es importante de cuando el auditor realizó la auditoría o la revisión.

59
00:04:38,160 --> 00:04:39,240
Quien realizó la prueba.

60
00:04:39,300 --> 00:04:45,390
El nombre del auditor son informaciones que van siempre a estar en o en una documentación de auditoría

61
00:04:46,170 --> 00:04:47,760
con quien se realizó la prueba.

62
00:04:47,850 --> 00:04:52,650
Quien nos asistió del área ya sea de tecnología del área o su área.

63
00:04:52,680 --> 00:04:54,390
Puede ser una o varias personas.

64
00:04:54,450 --> 00:04:58,330
Cómo se selecciona la muestra en caso de haber sido necesario una muestra?

65
00:04:58,350 --> 00:05:00,030
Aquí se colocan los criterios.

66
00:05:00,270 --> 00:05:02,550
Entonces en procedimiento realizado.

67
00:05:02,700 --> 00:05:05,850
Aquí se documenta qué fue lo que se observó.

68
00:05:06,090 --> 00:05:08,490
Por eso colocamos de manera presencial.

69
00:05:08,610 --> 00:05:15,720
Verificamos en el centro de cómputo de abecé minimarket que es el comercio, los mecanismos de seguridad

70
00:05:15,720 --> 00:05:16,350
siguientes.

71
00:05:16,380 --> 00:05:18,870
Y aquí listamos qué fue lo que vimos.

72
00:05:18,990 --> 00:05:25,430
Existe un formulario de registro de visitas en el cual se registra el nombre, firma, departamento,

73
00:05:25,440 --> 00:05:27,060
fecha y hora de la visita.

74
00:05:27,210 --> 00:05:27,890
Excelente.

75
00:05:28,330 --> 00:05:34,200
Aparte de que corroboramos de que el listado de visita está, detallamos qué se registra en el listado

76
00:05:34,200 --> 00:05:34,860
de visitas.

77
00:05:34,950 --> 00:05:40,680
Para ser específico, el acceso al centro de cómputos es controlado por lectores biométricos y tarjeta

78
00:05:40,680 --> 00:05:41,460
magnética.

79
00:05:41,910 --> 00:05:47,370
Comprobamos la existencia de extintores de incendio, cámaras de seguridad, detectores de humo, sensores

80
00:05:47,370 --> 00:05:48,990
de humedad y temperatura.

81
00:05:49,650 --> 00:05:55,230
Verificamos que los servidores están organizados en red y cuentan con un sistema de refrigeración de

82
00:05:55,230 --> 00:05:58,170
precisión para controlar la temperatura de los equipos.

83
00:05:58,290 --> 00:06:00,280
Existe un aire acondicionado de confort?

84
00:06:00,900 --> 00:06:05,970
Eso es lo corroboramos como contingencia en caso de fallas en el aire de precisión.

85
00:06:06,360 --> 00:06:11,370
Es decir, observamos que tienen un aire de precisión y tienen otro de confort en caso de que falla

86
00:06:11,370 --> 00:06:12,150
el de precisión.

87
00:06:12,810 --> 00:06:16,890
Observamos la existencia de rejillas para la organización del cableado.

88
00:06:17,190 --> 00:06:22,380
Verificamos la existencia de un desnivel del piso en la entrada del centro de datos.

89
00:06:22,650 --> 00:06:28,800
La alimentación energética de los equipos está preservada por dos supes redundantes.

90
00:06:28,920 --> 00:06:34,890
Es decir, aquí detallamos todo lo que observamos de acuerdo a lo que exige el programa.

91
00:06:34,890 --> 00:06:36,270
Acá el procedimiento.

92
00:06:39,620 --> 00:06:46,370
Entonces, luego de detallar lo que observamos y comprobamos, entonces concluimos la conclusión es

93
00:06:46,370 --> 00:06:50,810
nuestra opinión como auditores en base a lo que revisamos aquí ponemos.

94
00:06:51,320 --> 00:06:57,050
Luego de la verificación realizada, comprobamos que el centro de cómputo se encuentra respaldado por

95
00:06:57,050 --> 00:07:04,700
mecanismos y criterios de seguridad adecuados y que sea específico en que si los controles no funcionan

96
00:07:04,700 --> 00:07:09,200
adecuadamente o si identificamos debilidades de controles.

97
00:07:09,350 --> 00:07:12,380
Entonces en eso se basa la conclusión del auditor.

98
00:07:13,190 --> 00:07:19,790
Eso defines y habrá alguna observación, hallazgo o si sencillamente la prueba pasó satisfactoriamente.

99
00:07:20,270 --> 00:07:26,810
Otra parte importante es la evidencia en la documentación de auditoría.

100
00:07:26,840 --> 00:07:34,880
Siempre colocábamos de alguna manera los soportes que sustentan nuestra opinión, es decir, las evidencias

101
00:07:34,880 --> 00:07:40,640
que puedan ser pantallas, fotos, reportes, informaciones que corroboran lo que decimos.

102
00:07:41,090 --> 00:07:47,010
Y aquí tenemos las evidencias, por ejemplo, para este caso la organized de esta manera.

103
00:07:47,420 --> 00:07:49,790
Pero hay muchas formas de organizar las evidencias.

104
00:07:49,850 --> 00:07:56,270
En algunos casos se coloca en documentos, a partes, en carpetas, en archivos de Word, de Excel.

105
00:07:56,360 --> 00:08:02,090
Hay mil maneras de colocar las evidencias, pero lo importante es que quede bien documentada y clara.

106
00:08:02,270 --> 00:08:05,840
Aquí colocamos para cada punto la evidencia que tomamos.

107
00:08:06,560 --> 00:08:12,890
Mecanismos de autenticación para el acceso lector de huella biométrica y tarjeta magnética.

108
00:08:13,370 --> 00:08:15,020
Toma la foto y la colocamos ahí.

109
00:08:18,330 --> 00:08:19,800
La cifra de visitas.

110
00:08:22,380 --> 00:08:23,070
Aquí está.

111
00:08:24,240 --> 00:08:31,650
Este fue el sistema utilizado para registrar las visitas de ese capturamos print screen y lo colocamos

112
00:08:31,650 --> 00:08:32,460
como evidencia.

113
00:08:35,070 --> 00:08:37,440
Sensores de humedad y de temperatura.

114
00:08:37,800 --> 00:08:38,670
Tomamos la foto.

115
00:08:38,910 --> 00:08:41,370
El aparato que se encierra a temperaturas en la taza.

116
00:08:42,150 --> 00:08:43,830
Servidores organizados en rack.

117
00:08:44,490 --> 00:08:53,250
Aquí está la foto de que vimos los servidores que estaban organizados para que el cableado estaba organizado.

118
00:08:57,690 --> 00:08:59,430
Vimos extintores de incendio.

119
00:08:59,490 --> 00:09:03,780
Tiramos la foto, se observa y ahí está.

120
00:09:05,340 --> 00:09:06,380
Detector de humo.

121
00:09:06,390 --> 00:09:11,910
También tomamos una foto donde se observa el detector de humo en el techo de la taza, entre cámaras

122
00:09:11,910 --> 00:09:12,730
de seguridad.

123
00:09:13,470 --> 00:09:17,340
Y ahí está la foto del nivel del piso.

124
00:09:18,060 --> 00:09:19,080
Aquí está la foto.

125
00:09:19,920 --> 00:09:23,130
Es importante en cada foto o en cada soporte.

126
00:09:23,190 --> 00:09:30,120
El lector, la persona que lea o vea ese soporte, quede convencido, al igual que el auditor, de lo

127
00:09:30,120 --> 00:09:31,190
que se dice en el informe.

128
00:09:31,230 --> 00:09:36,990
Si afirmamos que está bien que con el soporte automáticamente la persona llegue a la misma conclusión

129
00:09:36,990 --> 00:09:38,160
de que eso está bien.

130
00:09:38,820 --> 00:09:45,090
Si está mal por igual, hay que tomar la evidencia de manera que convence a cualquiera de que está mal.

131
00:09:45,900 --> 00:09:48,600
Sistema de refrigeración con redundancia.

132
00:09:48,720 --> 00:09:54,240
Aquí tomamos dos fotos la foto de la consola y la foto de las de la salida de aire.

133
00:09:54,450 --> 00:10:02,130
En algunas ocasiones hay evidencia que no se pueden tomar directamente o a veces si el aire acondicionado

134
00:10:02,160 --> 00:10:08,730
no está entre el datacenter, sino que tenemos las rejillas y la consola de aire está en un lugar.

135
00:10:08,870 --> 00:10:13,710
En ese momento de la revisión no tenemos acceso a entrar ahí a ese cuarto.

136
00:10:14,010 --> 00:10:20,400
Pero con la captura de la foto de la rejilla del aire y con la evidencia de que el sensor de temperatura

137
00:10:20,940 --> 00:10:24,960
estaba pensando en la temperatura adecuada, ya con eso es suficiente.

138
00:10:24,990 --> 00:10:30,810
No necesariamente tenemos que tirar la foto al equipo como tal en caso de que se dificulte.

139
00:10:31,380 --> 00:10:36,870
Si tenemos la forma de evidenciar de que existe un aire y está funcionando correctamente, entonces

140
00:10:36,900 --> 00:10:43,560
podemos hacerlo de esa manera que tenemos tema de suministro ininterrumpido de energía los peces que

141
00:10:43,560 --> 00:10:44,580
evidenciamos.

142
00:10:44,700 --> 00:10:52,450
Y por último, nombre y firma del preparador y del revisor, que esto también es una parte importante

143
00:10:52,450 --> 00:10:53,670
en los papeles de trabajo.

144
00:10:54,480 --> 00:10:56,010
Quién preparó el papel de trabajo?

145
00:10:56,100 --> 00:10:57,230
Quién lo documentó?

146
00:10:57,420 --> 00:11:00,720
Debe dejar su nombre y firma y quien lo revisó por igual.

147
00:11:01,410 --> 00:11:06,360
Pueden haber incluso varios revisores y se colocan varios nombres.

148
00:11:06,840 --> 00:11:13,860
Los nombre de cada una de las personas que revisaron su firma como constancia de que ese documento fue

149
00:11:13,860 --> 00:11:19,290
preparado y revisado de acuerdo con las normas internacionales de la actividad de auditoría.

150
00:11:20,340 --> 00:11:28,160
Entonces este es un ejemplo de un papel de trabajo de un documento de auditoría Zeros.

151
00:11:28,260 --> 00:11:34,890
Voy a dejar los recursos descargables para que lo puedan analizar y también utilizar como ejemplo o

152
00:11:34,890 --> 00:11:35,730
guía modelo.

153
00:11:36,270 --> 00:11:38,050
Espero esto les sea de mucha utilidad.