AUDITORÍA FÍSICA
Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS.
ÁREAS DE LA SEGURIDAD FÍSICA QUE DEBEN TENERSE EN CUENTA:
a.) Instalaciones, edificación: Dada la poca experticia del auditor Informático en este campo se deberá incluir un perito que realice la evaluación correspondiente a la infraestructura física del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tópicos.
A tener en cuenta están:
Ubicación del edificio
Ubicación del CPD dentro del edificio
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios.
Inundaciones
El auditor informático debe interesarse de manera personal en :
b.) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgánicas, funcionales y jerárquicas, los diferentes cargos. Da la primera visión de conjunto del Centro de Proceso.
c. ) Auditoría Interna: Deberán solicitarse los documentos de las auditorías anteriores, normas, procedimientos y planes que sobre seguridad física se tengan al departamento de auditoría o en su defecto al encargado de calidad.
d.) Administración de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de bases de datos.
e.) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento físico y en el que debe realizar su función:
Las instalaciones son elementos, accesorios que deben ayudar a la realización de la función informática y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras:
Sala de Hosts
Sala de impresoras
Oficinas
Almacenes
Sala de acondicionamiento eléctrico
Aire Acondicionado
Áreas de descanso, etc.
f.) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.
Se debe inspeccionar su ubicación dentro del CPD y el control de acceso a los elementos restringidos.
g.) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los back- up's, así como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los métodos y mecanismos de bloqueo al acceso de información no autorizada, inspeccionando o verificando dichos accesos.
h.) Seguridad física del personal: accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc.
FUENTES BÁSICAS DE LA AUDITORÍA FÍSICA
El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.
Políticas, normas y procedimientos.
Auditorías anteriores.
Contratos de seguros, proveedores y de mantenimiento.
Entrevistas con el personal de seguridad, personal informático, personal de limpieza, etc.
Actas e informes técnicos de peritos que diagnostiquen el estado físico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc.
Informes de accesos y visitas.
Políticas de personal: Revisión de antecedentes personales y laborales, procedimientos de cancelación de contratos, rotación en el trabajo, contratos fijos, y temporales.
Inventario de archivos: físicos y magnéticos: back-up, procedimiento de archivo, control de salida y recuperación de soportes, control de copias, etc.
TÉCNICAS Y HERRAMIENTAS DEL AUDITOR
Técnicas.
Observación
Revisión analítica de la documentación.
Entrevistas con el personal.
Consultores o técnicos y/o peritos.
Herramientas
Cuaderno y/o grabadora de audio.
Cámara fotográfica y/o grabadora de video.
RESPONSABILIDADES DE LOS AUDITORES
Auditor informático interno:
Revisar los controles relativos a la seguridad física.
Revisar el cumplimiento de los procedimientos
Evaluar riesgos
Participar en la selección, adquisición e implantación de equipos y materiales.
Participar en la creación de planes de contingencia.
Revisión del cumplimiento de las políticas y normas de seguridad física.
Efectuar auditorías programadas.
Emitir informes y efectuar el seguimiento de las recomendaciones.
Auditor informático externo:
Revisar las funciones del auditor informático interno.
Efectuar pruebas a los planes de contingencia.
Mismas del A.I.I.
Emitir informes y recomendaciones
No hay comentarios:
Publicar un comentario