AUDITORIA INFORMÁTICA

Desastre:
Cualquier evento que, al ocurrir, tiene la capacidad de interrumpir elnormal proceso
de una empresa.
•
Riesgo de fallo:
Es la contingencia o proximidad de un daño en su ocurrencia.
4. RIESGO DE FALLO
Es la contingencia de un daño o proximidad de su
o c u r r e n c i a . E x i s t e n t r e s momentos para atender la falla:
4.1 Antes
Obtener y mantener un grado de seguridad adecuado mediante a
c c i o n e s p a r a evitar el fallo o disminución de efectos.
•
Ubicación del edificio
Antes se acostumbraba colocar equipos de cómputo visibles, con
grandesv e n t a n a l e s p a r a o s t e n t a r a n t e l a v i s t a d e l p ú b l i c o .
H o y , p o r e l r i e s g o d e terrorismo o sabotaje es posible que una
p e r s o n a q u e q u i e r a p e r j u d i c a r l a empresa quiera dañar el centro de
cómputo, por lo que es peligroso tenerlo enáreas de alto tráfico de personas,
o en lugar cercano a la calle. El alto flujo depersonal altera la eficiencia en
el trabajo y disminuye la seguridad.
•
CPD dentro del edificio
Se debe prever espacio
para:* A l m a c e n a m i e n t o d e e q u i p o s m a
g n é t i c o s * F o r m a t o s y p a p e l p a r a impres
ora* M e s a s d e t r a b a j o
y m u e b l e s *
C o n s o l a s d e l o p e r a
d o r * Area y mobiliario para recepción, programación y mantenimiento.*
E q u i p o d e t e l e c o m u n i c a c i o n e
s * M i c r o c o m p u t a d o r a s * F u e n t e
s d e p o d e r * B ó v e d a d e s e g u r i d a d (
a r c h i v o s m a e s t r o s y registros en bóveda antiincendios)
•
Cámara plena o piso elevado (o pisos falsos)
Antes era un requerimiento para todos los centros de cómputo,
h o y s ó l o e s necesario para microcomputadoras con la instalación del
cableado dentro delpiso elevado. Elevado para soportar carga pesada;
se recomienda que el pisosea en plástico antiestático y que la superficie tenga
45 cm de alto si es usadocomo cámara plena de aire acondicionado. La altura del
plafón debe ser 2.4 m;los páneles del piso elevado podrán removerse para la
instalación del cableadoy facilitar limpieza con trapo húmedo o aspiradora.
•
Aire acondicionado:
Dependerá del tipo de computadora utilizada y el lugar deinstalación. Verificar con
proveedor la temperatura mínima y máxima así comola humedad relativa en la que
deberán trabajar los equipos. Los ductos de aireacondicionado deben estar
limpios; sus instalaciones son fuente de incendiomuy frecuente y
susceptibles de ataques físicos. Instalar redes de protección ensistema de ductos
– exterior e interior – y contar con detector de humo. presiónde aire superior a la
de las áreas adyacentes para reducir la entrada de polvo ysuciedad.
•
Elementos de construcción
•
Potencia eléctrica
Una de las principales causas de incendios. El auditor debe evaluar el
adecuadofuncionamiento del sistema eléctrico y el suministro de energía:* Cables
del sistema eléctrico bien identificado (positivos, negativos, tierrafísica) si
es posible
con colores.* C o n e x i o n e s i n d e p e n d i e n t e s p a r a l o s e q u i p o s d e c ó m p
u t o p a r a p r o t e c c i ó n contra un corto circuito* Contar con planos de instalación
eléctrica actualizados.* La tierra física debe estar perfectamente instalada según
especificaciones delproveedor.* Tener protección contra roedores/fauna nociva en
cables del sistema eléctricoy de comunicaciones.(se pueden comer los cables)

* Adquirir reguladores que tengan un sistema de corriente ininterrumpido

(UPS)para reducir riesgo por cambio
de corriente.* E n s i s t e m a s d e a l t o r i e s g o , c o m o e l b a n c a r i o , d e b e c
o n t a r s e a d e m á s c o n plantas de luz de emergencia por si la energía se pierde
por un período largo.
•
Sistemas contra incendio
El centro de cómputo no debe colocarse en sótanos o en áreas de
planta bajasino en parte alta en una estructura de varios pisos, cuidando
que las zonassísmicas no queden en lugares donde el paso ocasionado
por equipos o papelpueda provocar problemas* Instalar detectores de agua o
inundación, bombas de emergencia en caso dee s t a r u b i c a d o e n z o n a s d e
i n u n d a c i ó n , c o n p r o b l e m a s d e d r e n a j e , r o t u r a d e cañerías, etc..*
Ubicar extintores portátiles, adecuados y capaces de detectar diferentes gasesque
desprenden cuerpos en combustión, en sitios estratégicos, como de CO
paraequipo eléctrico (revisar su capacidad, cargue y recargue, peso proporcional
ald e u n a m u j e r e n c a s o d e u t i l i z a r l o s , t i p o d e p r o d u c t
o u s a d o , e q u i p o d e respiración, señalización salidas de emer
g e n c i a ( s e ñ a l a m i e n t o e n l a p a r t e inferior cercano al piso)* Tener
aspersores contra incendio especiales que no sean de agua* Alarmas
conectadas con la alarma central de la empresa, o con el Depto.
deBomberos de la ciudad* T e n e r d e t e c t o r e s d e h u m o y f u e g o c o n
sistema de detección de humo
porionización aviso anticipado (suena alarma e indica la situació
n d e l d e t e c t o r activado). No debe interrumpir la corriente eléctrica al centro de
cómputo)* Control archivo de cintas y discos magnéticos en una sala
independiente concondiciones ambientales y deseguridad necesarias para
su almacenamiento, preferiblemente en armarios
conparedes fabricadas para queresistan por lo menos 2 horas de fuego
•
Control de accesos:
Controles estrictos durante todo el día que incluirán atodo el personal de
la empresa, en especial durante descansos y cambios
deturno.* Identificación previa al ingreso al centro de
cómputo.* S e p u e d e n u t i l i z a r c i e r t o s r e c u r s o s c o m o : p u e r t a c
o n c e r r a d u r a ( c o n tradicional llave de metal); puerta de combinación
((combinación para permitiracceso); puerta electrónica (con tarjeta plástica
magnética y código especialinterno leído por sensor), puertas
sensoriales(con alguna parte de su cuerpo:huella, voz, retina, geometría
mano, o bien por la firma); registros de entrada(firma en libro,
identificación con foto si es posible); videocámaras (en sitiosestratégicos;
los cassettes deben guardarse para su posible análisis); ,
escoltac o n t r o l a d o r a p a r a e l a c c e s o d e v i s i t a n t e s , p u e r t a s d o
b l e s p a r a m á x i m a seguridad (la 2ª se abre cuando la 1ª está cerrada).
•
Temperatura y Humedad:
Equipos de cómputo grandes (mainframes) o bienlos portátiles usados en zonas
cálidas o desérticas necesitan de sistema de
airea c o n d i c i o n a d o p a r a p e r m a n e c e r e n o p e r a c i ó n c o n s t a n t e , c o n
b a s e e n l o s siguientes parámetros: Disipación térmica (BTU); Movimient
o de aire (CFM);pérdidas de transferencia de calor a través de paredes, pisos y
techos, o por lailuminación, o bien por ventanas expuestas a los rayos del
sol. Temperaturaideal 22ºC. Instalar instrumentos registradores de temperatura
y humedad parasu control, ductos de aire limpios.
•
Seguros:
pólizas de seguros debidamente certificadas tanto a equipos como
ap r o g r a m a s ( s o f t w a r e ) c o n t r a d e s a s t r e s . L a o r g a n i z a c i ó n d e b e r e
g l a m e n t a r normas y prácticas eficaces para el cuidado y manejo de los equipos,
programase instalaciones.* V e r i f i c a r f e c h a s v e n c i m i e n t o , c u b r i
m i e n t o d e l o s r i e s g o s a t o d o e l e q u i p o y su instalación según
costo de equipos y daños causados por factores externos

(desastres naturales, terremotos, inundación) como internos (por negligencia

deoperadores, daños por el aire acondicionado o altibajos en el fluido eléctrico).*
Dejar claro los riesgos cubiertos y excluidos (por guerra, invasión o
ataquee n e m i g o e x t r a n j e r o , r e b e l i ó n , r e v o l u c i ó n , m o t í n , h u e l
g a , c o n s p i r a c i ó n , destrucción o daño por orden del gobierno o
autoridad pública, o bien porreacción o radiación nuclear, acto i
ntencional o negligencia manifiesta dela s e g u r a d o o s u s r e p r
e s e n t a n t e s ) , s u m a s a s e g u r a d a s , l í m i t e s , p r i m a s , indemni
zaciones en caso de siniestro.* Seguros deben estar a precio de compra de
quipos y no a precio al momentode contratación del
seguro).* E n e l c a s o d e l p e r s o n a l , o b t e n e r f i a n z a s p o r r o b o , n e g l i g
e n c i a , s a b o t a j e , acciones deshonestas, etc.
•
Medidas de protección:
programas originales, controles de uso y tránsito portodos los sistemas (navegar)
4.2 Durante
Ejecutar plan de contingencia adecuado para realizar anál
i s i s d e r i e s g o s d e sistemas críticos, el cual debe:
•
Realizar
análisis de riesgos
de sistemas críticos
•
Establecer
período crítico de recuperación
•
Realizar
análisis de aplicaciones críticas
•
Determinar
prioridades de proceso
(por días del año)
•
Establecer
objetivos de recuperación
•
Designar un
Centro Alternativo de Proceso de Datos
•
Asegurar la
capacidad de las comunicaciones
•
Asegurar la
capacidad de los servicios de back-up
4.3 Después
Los contratos de seguros compensar las pérdidas, gastos o responsabilidades
quese pueden derivar para el CPD, una vez detectado y corregido el
fallo. Entre lostipos de seguros están:
•
Centro de proceso y equipamientoReconstrucción
de medios de software
•
G a s t o s e x t r a I
n t e r r u p c i ó n d
e l n e g o c i o
•
D o c u m e n t o s y r e g i s t r o s v a l i
o s o s E r r o r e s y o m i s i o n e s
•
C o b e r t u r a d e f i d e l i d
a d T r a n s p o r t e d e m e d i
o s
•
Contratos con proveedores y de mantenimiento
5 . A R E A S
•
Organigrama de la Empresa:
para obtener amplia visión de conjunto delCPD
•
Auditoría Interna:
p a r a c o n o c e r a u d i t o r í a s p a s a d a s r e l a c i o n a d a s c o n auditoría física o
que le afecten
•
Administración de la seguridad:
normas, procedimientos, planes quehaya emitido, distribuido y controlado
el departamento.
•
CPC e instalaciones:
Sala de Host, de operadores, de impresoras; oficinas;almacenes; sala de
instalaciones eléctricas, de airea acondicionado; áreas dedescanso y
servicios.
•
Equipos y Comunicaciones:
Ho s t , t e rm in a le s , P Cs , e qu ip o s d e almacenamiento
m a s i v o d e d a t o s , i m p r e s o r a s , m e d i o s y s i s t e m a s d e tele
comunicaciones.
•
Computadores Personales:
desde el punto de vista de acceso a datos y ala adquisición de copias no
autorizadas