Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REAS DE LA SEGURIDAD FSICA QUE DEBEN TENERSE EN CUENTA: a.) Instalaciones, edificacin: Dada la poca experticia del auditor Informtico en este campo se deber incluir un perito que realice la evaluacin correspondiente a la infraestructura fsica del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tpicos. A tener en cuenta estn: 1. 2. 3. 4. 5. 6. Ubicacin del edificio Ubicacin del CPD dentro del edificio Elementos de construccin Potencia elctrica Sistemas contra incendios. Inundaciones
El auditor informtico debe interesarse de manera personal en : b.) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgnicas, funcionales y jerrquicas, los diferentes cargos. Da la primera visin de conjunto del Centro de Proceso. c. ) Auditora Interna: Debern solicitarse los documentos de las auditoras anteriores, normas, procedimientos y planes que sobre seguridad fsica se tengan al departamento de auditora o en su defecto al encargado de calidad. d.) Administracin de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes:
Director o responsable de la seguridad integral. Responsable de la seguridad informtica. Administradores de redes. Administradores de bases de datos.
e.) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe realizar su funcin:
Las instalaciones son elementos, accesorios que deben ayudar a la realizacin de la funcin informtica y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras:
Sala de Hosts Sala de impresoras Oficinas Almacenes Sala de acondicionamiento elctrico Aire Acondicionado reas de descanso, etc.
f.) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Se debe inspeccionar su ubicacin dentro del CPD y el control de acceso a los elementos restringidos.
g.) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los back- up's, as como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los mtodos y mecanismos de bloqueo al acceso de informacin no autorizada, inspeccionando o verificando dichos accesos.
h.) Seguridad fsica del personal: accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc.
El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.
Contratos de seguros, proveedores y de mantenimiento. Entrevistas con el personal de seguridad, personal informtico, personal de limpieza, etc. Actas e informes tcnicos de peritos que diagnostiquen el estado fsico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc. Informes de accesos y visitas. Polticas de personal: Revisin de antecedentes personales y laborales,procedimientos de cancelacin de contratos, rotacin en el trabajo, contratos fijos, y temporales. Inventario de archivos: fsicos y magnticos: back-up, procedimiento de archivo, control de salida y recuperacin de soportes, control de copias, etc.
Tcnicas.
Observacin Revisin analtica de la documentacin. Entrevistas con el personal. Consultores o tcnicos y/o peritos.
Herramientas
Revisar los controles relativos a la seguridad fsica. Revisar el cumplimiento de los procedimientos Evaluar riesgos
Participar en la seleccin, adquisicin e implantacin de equipos y materiales. Participar en la creacin de planes de contingencia. Revisin del cumplimiento de las polticas y normas de seguridad fsica. Efectuar auditoras programadas. Emitir informes y efectuar el seguimiento de las recomendaciones.
Revisar las funciones del auditor informtico interno. Efectuar pruebas a los planes de contingencia. Mismas del A.I.I. Emitir informes y recomendaciones