Alikd
Páginas: 27 (6501 palabras)
Publicado: 10 de mayo de 2010
Principales áreas de la Auditoría Informática
La Auditoría Física
En esta área se proporciona evidencia del nivel de la seguridad física en el ámbito en el que se va a desarrollar la actividad profesional, no limitándose a comprobar que existen los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
La seguridad física garantiza la integridad de los activos humanos,lógicos y materiales en un centro de procesamiento de información. Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de la misma:
Antes
Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan usode entornos físicos.
Ubicación del edificio
Ubicación del centro de procesamiento dentro del edificio
División
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Seguridad de los medios
Medidas de protección
Duplicación de medios
Durante
Ejecutar un plan de contingencia adecuado, el cual realice un análisis de riesgos de sistemas críticos,establezca un periodo crítico de recuperación (del desastre), realice un análisis de aplicaciones críticas, establezca prioridades y objetivos de recuperación, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up.
Después
Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos oresponsabilidades que se pueden derivar para el Centro de Procesamiento de Información una vez detectado y corregido el fallo. Entre algunos tipos de seguros están:
Centro de proceso y equipamiento
Reconstrucción de medios de software
Gastos extra
Interrupción del negocio
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios
Contratos con proveedores y demantenimiento
Áreas de la Seguridad Física
La revisión de la construcción y el estado de la infraestructura del edificio en sí mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendrá que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoración.
Las áreas en las que el auditor ha de interesarse personalmente tienen relación directa conel hecho informático, como lo son:
• Organigrama de la empresa (para obtener amplia visión de conjunto del centro de proceso).
• Auditoría interna (para conocer auditorías pasadas, relacionadas con la seguridad física).
• Administración de la seguridad (normas, procedimientos y planes que haya emitido, distribuido y controlado el departamento).
• Centro deprocesamiento e instalaciones (sala del Host, de operadores, de impresoras, oficinas, almacenes, de instalaciones eléctricas, de aire acondicionado, de descanso y servicio…).
• Equipos y comunicaciones (Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones).
• Computadoras personales (desde el punto de vista deacceso a datos y a la adquisición de copias no autorizadas).
• Seguridad física del personal (accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios…).
Fuentes de la auditoría física
• Políticas, normas y planes sobre seguridad
• Auditorías anteriores
• Contratos de Seguros, deProveedores y de Mantenimiento
• Entrevistas con el personal de seguridad, informático y de otras actividades (limpieza y mantenimiento…)
• Actas e informes de técnicos y consultores
• Plan de contingencia y valoración de las pruebas
• Informes sobre accesos y visitas
• Informes sobre pruebas de evacuación ante diferentes tipos de amenaza
• Informes sobre...
La Auditoría Física
En esta área se proporciona evidencia del nivel de la seguridad física en el ámbito en el que se va a desarrollar la actividad profesional, no limitándose a comprobar que existen los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
La seguridad física garantiza la integridad de los activos humanos,lógicos y materiales en un centro de procesamiento de información. Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de la misma:
Antes
Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan usode entornos físicos.
Ubicación del edificio
Ubicación del centro de procesamiento dentro del edificio
División
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Seguridad de los medios
Medidas de protección
Duplicación de medios
Durante
Ejecutar un plan de contingencia adecuado, el cual realice un análisis de riesgos de sistemas críticos,establezca un periodo crítico de recuperación (del desastre), realice un análisis de aplicaciones críticas, establezca prioridades y objetivos de recuperación, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up.
Después
Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos oresponsabilidades que se pueden derivar para el Centro de Procesamiento de Información una vez detectado y corregido el fallo. Entre algunos tipos de seguros están:
Centro de proceso y equipamiento
Reconstrucción de medios de software
Gastos extra
Interrupción del negocio
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios
Contratos con proveedores y demantenimiento
Áreas de la Seguridad Física
La revisión de la construcción y el estado de la infraestructura del edificio en sí mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendrá que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoración.
Las áreas en las que el auditor ha de interesarse personalmente tienen relación directa conel hecho informático, como lo son:
• Organigrama de la empresa (para obtener amplia visión de conjunto del centro de proceso).
• Auditoría interna (para conocer auditorías pasadas, relacionadas con la seguridad física).
• Administración de la seguridad (normas, procedimientos y planes que haya emitido, distribuido y controlado el departamento).
• Centro deprocesamiento e instalaciones (sala del Host, de operadores, de impresoras, oficinas, almacenes, de instalaciones eléctricas, de aire acondicionado, de descanso y servicio…).
• Equipos y comunicaciones (Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones).
• Computadoras personales (desde el punto de vista deacceso a datos y a la adquisición de copias no autorizadas).
• Seguridad física del personal (accesos y salidas seguras, medios y rutas de evacuación, extinción de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios…).
Fuentes de la auditoría física
• Políticas, normas y planes sobre seguridad
• Auditorías anteriores
• Contratos de Seguros, deProveedores y de Mantenimiento
• Entrevistas con el personal de seguridad, informático y de otras actividades (limpieza y mantenimiento…)
• Actas e informes de técnicos y consultores
• Plan de contingencia y valoración de las pruebas
• Informes sobre accesos y visitas
• Informes sobre pruebas de evacuación ante diferentes tipos de amenaza
• Informes sobre...
Leer documento completo
Regístrate para leer el documento completo.