Auditoria
Páginas: 5 (1005 palabras)
Publicado: 23 de septiembre de 2012
May 16, 2011
[AUDITORIA INFORMATICA]
CASO PRÁCTICO DE AUDITORIA INFORMATICA En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la seguridad física de un Centro de Proceso de Datos, así como también en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepción delos puntos que durante los hallazgos tengan mayor puntaje. A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores en el centro de procesamiento de datos.
Control de Accesos: Autorizaciones
¿Existe un único responsable de implementar la política de autorizaciones de entrada en el centro de cómputo? R. Si, el jefe de Explotación, pero el director puedeacceder a la sala con los acompañantes sin previo aviso. Recomendaciones: y El acceso al Director se puede dar siempre y cuando mande una notificación previa con u tiempo prudencial al Jefe de Explotación y asignarle un supervisor. y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puedeobviar y enviar una nota después de la visita. Además de la tarjeta magnética de identificación ¿hay que pasar otra especial? No, solamente la primera Recomendaciones: y La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1), llaves u otros medios para una mejor seguridad del centro de datos. y Para llegar al centro de datos deberían de pasar por varias estaciones, elguardia de seguridad, tarjeta magnética, acceso biométrico, etc. ¿Se pregunta a las visitas si desean conocer el centro de cómputo? No, vale la primera autorización. Recomendaciones: y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo y Toda persona que entre al centro de computo tienen que estar autorizada.
1
May 16, 2011
[AUDITORIA INFORMATICA]¿Se prevén las visitas a los centros de cómputo con 24 horas al menos? No, basta que vayan acompañados con el Jefe de explotación o director. Recomendaciones y Si las personas no están autorizadas para ingresar al centro de computo, estas deben de tener un autorización con anticipación por parte gerencia
Control de Accesos: Controles Automáticos
¿Cree usted que los controles automáticos sonadecuados? Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Recomendaciones: y Crear un perímetro de seguridad alrededor del edificio donde solo pueda acceder personal autorizado. y Reforzar la seguridad al campus y al edificio. ¿Quedan registradas todas las entradas y salidas del centro de computo? No, solamente las del personal ajeno a la operación. y yy y Se debe registrar todas las entradas y salidas de todo el personal que accede tanto internamente de la empresa así como personas externas Toda persona que entre y salga del centro de computo tienen que registrarse (día, hora, y que operación realizo), sin excepción alguna del personal. También se puede imprimir el log de accesos por medio de las tarjetas magnéticas. Podría existir laposibilidad de poner un circuito cerrado de cámaras que registren los puntos de acceso.
¿Puede salirse del centro sin tarjeta magnética? Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro. Recomendaciones: y La puerta de emergencia está bien que exista pero tienen que brindarle una mayor seguridad. y Los botones son adecuados cuando se cuente con un sistema de monitoreopermanete. (Anexo 2)
2
May 16, 2011
[AUDITORIA INFORMATICA]
Control de Accesos: Vigilancia
Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver? No. Recomendaciones: y Toda persona que entre debe de ser acompañada hasta la persona que desea ver y a la vez llevar un registro de las visitas y Toda persona que no sea parte de la empresa debe de estar acompañado dentro...
[AUDITORIA INFORMATICA]
CASO PRÁCTICO DE AUDITORIA INFORMATICA En el presente informe se detallan las recomendaciones que se pueden aplicar a la mejora en la seguridad física de un Centro de Proceso de Datos, así como también en los controles que se tengan implementados o la sugerencia a incorporar algunos de estos. Las recomendaciones se basan en punto por punto a excepción delos puntos que durante los hallazgos tengan mayor puntaje. A continuación detallamos las recomendaciones que podríamos brindar pensando como Auditores en el centro de procesamiento de datos.
Control de Accesos: Autorizaciones
¿Existe un único responsable de implementar la política de autorizaciones de entrada en el centro de cómputo? R. Si, el jefe de Explotación, pero el director puedeacceder a la sala con los acompañantes sin previo aviso. Recomendaciones: y El acceso al Director se puede dar siempre y cuando mande una notificación previa con u tiempo prudencial al Jefe de Explotación y asignarle un supervisor. y El acceso al centro de datos tiene que ser lo mayor restringido posible, por lo que para su seguridad el director debe notificar las visitas, en casos extremos se puedeobviar y enviar una nota después de la visita. Además de la tarjeta magnética de identificación ¿hay que pasar otra especial? No, solamente la primera Recomendaciones: y La empresa puede crear anillos de seguridad utilizando accesos biométricos (Anexo1), llaves u otros medios para una mejor seguridad del centro de datos. y Para llegar al centro de datos deberían de pasar por varias estaciones, elguardia de seguridad, tarjeta magnética, acceso biométrico, etc. ¿Se pregunta a las visitas si desean conocer el centro de cómputo? No, vale la primera autorización. Recomendaciones: y Las visitas NO deben estar autorizadas para entrar directamente a los centros de computo y Toda persona que entre al centro de computo tienen que estar autorizada.
1
May 16, 2011
[AUDITORIA INFORMATICA]¿Se prevén las visitas a los centros de cómputo con 24 horas al menos? No, basta que vayan acompañados con el Jefe de explotación o director. Recomendaciones y Si las personas no están autorizadas para ingresar al centro de computo, estas deben de tener un autorización con anticipación por parte gerencia
Control de Accesos: Controles Automáticos
¿Cree usted que los controles automáticos sonadecuados? Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. Recomendaciones: y Crear un perímetro de seguridad alrededor del edificio donde solo pueda acceder personal autorizado. y Reforzar la seguridad al campus y al edificio. ¿Quedan registradas todas las entradas y salidas del centro de computo? No, solamente las del personal ajeno a la operación. y yy y Se debe registrar todas las entradas y salidas de todo el personal que accede tanto internamente de la empresa así como personas externas Toda persona que entre y salga del centro de computo tienen que registrarse (día, hora, y que operación realizo), sin excepción alguna del personal. También se puede imprimir el log de accesos por medio de las tarjetas magnéticas. Podría existir laposibilidad de poner un circuito cerrado de cámaras que registren los puntos de acceso.
¿Puede salirse del centro sin tarjeta magnética? Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro. Recomendaciones: y La puerta de emergencia está bien que exista pero tienen que brindarle una mayor seguridad. y Los botones son adecuados cuando se cuente con un sistema de monitoreopermanete. (Anexo 2)
2
May 16, 2011
[AUDITORIA INFORMATICA]
Control de Accesos: Vigilancia
Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver? No. Recomendaciones: y Toda persona que entre debe de ser acompañada hasta la persona que desea ver y a la vez llevar un registro de las visitas y Toda persona que no sea parte de la empresa debe de estar acompañado dentro...
Leer documento completo
Regístrate para leer el documento completo.