Documentos de Académico
Documentos de Profesional
Documentos de Cultura
12
AUDITORA FSICA 1. Auditora Fsica La auditoria fsica, interna o externa, no es sino una auditoria parcial por lo que no difiere de la auditoria en general ms que en el alcance de la misma. Control Prueba Riesgo
En esta rea se proporciona evidencia del nivel de la seguridad fsica en el mbito en el que se va a desarrollar la actividad profesional, no limitndose a comprobar que existen los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La auditora fsica garantiza la integridad de los activos humanos, lgicos y materiales en un centro de procesamiento de informacin. Existen tres momentos para responder ante una falla en esta rea, relacionados con la cronologa de la misma:
Antes Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos fsicos. Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin Potencia elctrica Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin.
Pgina | 1
Despus Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Informacin una vez detectado y corregido el fallo. Entre algunos tipos de seguros estn: Centro de proceso y equipamiento Reconstruccin de medios de software Gastos extra Interrupcin del negocio Documentos y registros valiosos con proveedores y de mantenimiento. | Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos
2. reas de la Seguridad Fsica La revisin de la construccin y el estado de la infraestructura del edificio en s mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendr que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoracin. Las reas en las que el auditor ha de interesarse personalmente tienen relacin directa con el hecho informtico, como lo son: Organigrama de la empresa (para obtener amplia visin de conjunto del centro de proceso). Auditora interna (para conocer auditoras pasadas, relacionadas con la seguridad fsica).
Pgina | 2
3. Fuentes de la Auditoria Fsica Polticas, normas y planes sobre seguridad Auditoras anteriores Contratos de Seguros, de Proveedores y de Mantenimiento Entrevistas con el personal de seguridad, informtico y de otras actividades (limpieza y mantenimiento) Actas e informes de tcnicos y consultores Plan de contingencia y valoracin de las pruebas Informes sobre accesos y visitas Informes sobre pruebas de evacuacin ante diferentes tipos de amenaza
Pgina | 3
4. Tcnicas Y Herramientas del Auditor Tcnicas: Observacin. Revisin analtica de: Documentacin sobre construccin y preinstalaciones. Documentacin sobre seguridad fsica. Polticas y normas de actividad de sala. Normas y procedimiento sobre seguridad de datos. Contratos de seguros y de mantenimiento. Entrevistas. Consultas.
Pgina | 5
FASE 2: Adquisicin de informacin General FASE 3: Administracin y Planificacin FASE 4: Plan de Auditora FASE 5: Recursos de las pruebas FASE 6: Conclusiones y recomendaciones FASE 7: Borrador del informe FASE 8: Discusin con los responsables del rea FASE 9: Informe final: Informe Anexo al Informe Carpetas de Evidencias
Pgina | 6
7. Desarrollo De Las Fases De La Auditora Fsica Resulta clara la prctica idntica entre el ciclo de vida de la auditora fsica con cualquier otro de una auditora diferente. Como ejemplo desarrollaremos la fase 2 adquisicin de informacin general Referente a un plan de contingencia: Acuerdo de empresa para el plan de contingencia Hay algn acuerdo oral o escrito por parte de la direccin? Ha emitido o dirigido la empresa polticas o normas dirigidas al plan de contingencia? Qu persona o departamento tiene la responsabilidad del plan? Estn las responsabilidades del planteamiento bien definidas,
difundidas y entendidas por todo el personal? Se mantiene una estrategia corporativa en el plan? Todos los departamentos deben colaborar en el plan desde su propia especialidad o responsabilidad. Acuerdo de un proceso alternativo Est el acuerdo obligado legalmente cuando se produce un desastre? Es compatible el equipamiento del proceso de datos en el centro alternativo con el equipamiento en el CPD? Incluyen los presupuestos empresariales fondos destinados al desarrollo y mantenimiento del plan de contingencia? Proporciona el centro alternativo suficiente capacidad? Cundo fue la ltima vez que se prob el centro alternativo?
Pgina | 7
8. Proteccin de Datos Tiene la empresa un centro externo para el almacenamiento de backup? Se ha realizado alguna vez una auditora de las cintas y discos almacenados en el centro de back-up externo? Cul es el procedimiento de acceso al centro externo para obtencin de back-up en caso de desastres? Cul es el procedimiento de transporte de los back-up desde el centro externo al centro de proceso alternativo? Cul es la estrategia para la restauracin de programas?. Sern almacenadas las aplicaciones simultneamente o en fases basadas en prioridades? Ha sido asignada prioridad de restauracin a cada aplicacin? Han sido identificados todos los archivos crticos? Se han creado los back-up de los archivos crticos segn una base metodolgica?
Pgina | 8
9. Manual del Plan de Contingencia Cmo est estructurado el plan? Es fcil de seguir el plan en caso de desastre? Indica el plan quien es el responsable de desarrollar tareas especficas? Cmo de activa el plan ante un desastre? Cmo estn contenidos estos procedimientos de activacin de los procedimientos de emergencias normales de la empresa? Han sido probados estos procedimientos en un test de desastre simulado? Contiene el plan procedimientos que fijen los daos en las etapas iniciales de las operaciones de recuperacin? incluye el plan procedimientos para trasladar el proceso desde el centro alternativo al centro restaurado o nuevo? Contiene el plan listados del inventario del proceso de datos y hard de comunicaciones, software, formularios pre impresos y stock de papel y accesorios? Estn actualizados los listines telefnicos del personal de recuperacin as como empleados del proceso de datos, alta direccin, procesos finales, vendedores y suministradores? Cmo est mantenido el plan?
Pgina | 9
10. Objetivos Los objetivos van en un orden lgico de afuera a dentro: Edificio Instalaciones Equipamiento y telecomunicaciones Datos Persona
CONCLUSIONES
Pgina | 10
RECOMENDACIONES
Pgina | 11
Pgina | 12
Pgina | 13