IR DIRECTAMENTE A DESCARGA DE ARCHIVOS

Para ir a descarga de archivos, haga click aquí

domingo, 23 de mayo de 2010

Auditoría Física I

AUDITORÍA FÍSICA

Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS.


ÁREAS DE LA SEGURIDAD FÍSICA QUE DEBEN TENERSE EN CUENTA:

a.) Instalaciones, edificación: Dada la poca experticia del auditor Informático en este campo se deberá incluir un perito que realice la evaluación correspondiente a la infraestructura física del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tópicos.

A tener en cuenta están:

  1. Ubicación del edificio

  2. Ubicación del CPD dentro del edificio

  3. Elementos de construcción

  4. Potencia eléctrica

  5. Sistemas contra incendios.

  6. Inundaciones

El auditor informático debe interesarse de manera personal en :

b.) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgánicas, funcionales y jerárquicas, los diferentes cargos. Da la primera visión de conjunto del Centro de Proceso.

c. ) Auditoría Interna: Deberán solicitarse los documentos de las auditorías anteriores, normas, procedimientos y planes que sobre seguridad física se tengan al departamento de auditoría o en su defecto al encargado de calidad.

d.) Administración de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes:

  • Director o responsable de la seguridad integral.

  • Responsable de la seguridad informática.

  • Administradores de redes.

  • Administradores de bases de datos.

e.) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento físico y en el que debe realizar su función:

Las instalaciones son elementos, accesorios que deben ayudar a la realización de la función informática y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras:

  • Sala de Hosts

  • Sala de impresoras

  • Oficinas

  • Almacenes

  • Sala de acondicionamiento eléctrico

  • Aire Acondicionado

  • Áreas de descanso, etc.


f.) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.

Se debe inspeccionar su ubicación dentro del CPD y el control de acceso a los elementos restringidos.


g.) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los back- up's, así como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los métodos y mecanismos de bloqueo al acceso de información no autorizada, inspeccionando o verificando dichos accesos.


h.) Seguridad física del personal: accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc.


FUENTES BÁSICAS DE LA AUDITORÍA FÍSICA


El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.


  • Políticas, normas y procedimientos.

  • Auditorías anteriores.

  • Contratos de seguros, proveedores y de mantenimiento.

  • Entrevistas con el personal de seguridad, personal informático, personal de limpieza, etc.

  • Actas e informes técnicos de peritos que diagnostiquen el estado físico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc.

  • Informes de accesos y visitas.

  • Políticas de personal: Revisión de antecedentes personales y laborales, procedimientos de cancelación de contratos, rotación en el trabajo, contratos fijos, y temporales.

  • Inventario de archivos: físicos y magnéticos: back-up, procedimiento de archivo, control de salida y recuperación de soportes, control de copias, etc.


TÉCNICAS Y HERRAMIENTAS DEL AUDITOR


Técnicas.

  • Observación

  • Revisión analítica de la documentación.

  • Entrevistas con el personal.

  • Consultores o técnicos y/o peritos.


Herramientas

  • Cuaderno y/o grabadora de audio.

  • Cámara fotográfica y/o grabadora de video.


RESPONSABILIDADES DE LOS AUDITORES


Auditor informático interno:


  • Revisar los controles relativos a la seguridad física.

  • Revisar el cumplimiento de los procedimientos

  • Evaluar riesgos

  • Participar en la selección, adquisición e implantación de equipos y materiales.

  • Participar en la creación de planes de contingencia.

  • Revisión del cumplimiento de las políticas y normas de seguridad física.

  • Efectuar auditorías programadas.

  • Emitir informes y efectuar el seguimiento de las recomendaciones.


Auditor informático externo:

  • Revisar las funciones del auditor informático interno.

  • Efectuar pruebas a los planes de contingencia.

  • Mismas del A.I.I.

  • Emitir informes y recomendaciones




Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)