Auditoria
INTRODUCCIÓN
31/10/2007 31/10/2007
LA AUDITORÍA FÍSICA
1
Ing. Laura Bazán Díaz
Lo físico en informática, hasta ahora, ha tenido una importancia relativa; no el vano se ha visto siempre como algo que soporta lo que, en realidad, es la informática y que ocupa un lugar en la mesa. La auditoría es el medio que va a proporcionar la evidencia o no de la Seguridad Física en elámbito en el que se va a desarrollar la labor profesional. Es por tanto, necesario asumir, que no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
2
LA SEGURIDAD FÍSICA
31/10/2007
ANTES
31/10/2007
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un Centro de Procesamientode Datos (CPD). Si se entiende la contingencia o proximidad de un daño como la definición de Riesgo de fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación a la cronología del fallo: ANTES, DURANTE Y DESPUÉS.
Obtener y mantener un nivel adecuado de Seguridad Física sobre los activos. El nivel adecuado de Seguridad Física, o grado de seguridad, es unconjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de él s puedan derivar. Es un concepto general aplicable a cualquier actividad, no sólo informática, en la que las personas hagan uso particular o profesional de entornos físicos.
4
3
1
31/10/2007
ANTES
31/10/2007
DURANTE
31/10/2007
Ubicación del edificio Ubicación del CPD dentro deledificio Compartimentación Elementos de construcción Potencia eléctrica Sistemas contra incendios Control de accesos Selección del personal Seguridad de los medios Medidas de protección Duplicación de medios
5
Ejecutar un Plan de Contingencia adecuado. En general, desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. Laprobabilidad de que ocurra un desastre es muy baja, aunque, si se diera, el impacto podría ser tan grande que resultará fatal para la organización. Como, por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación deDesastres.
6
EL PLAN DE CONTINGENCIA DEBE:
31/10/2007
EL PLAN DE CONTINGENCIA DEBE:
31/10/2007
Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas. Establecer un período crítico de recuperación en el cual los procesos deben ser reanudados antes de sufrir pérdidas significativas o irrecuperables. Realizar un análisis de aplicaciones críticaspor el que se establecerán las prioridades del proceso. Determinar las prioridades del proceso, por días del año, que indiquen cuáles son las aplicaciones y sistemas críticos en el momento de ocurrir un desastre, y el orden del proceso correcto.
Establecer objetivos de recuperación que determinen el período de tiempo (horas, días, semanas) entre la declaración de Desastre y el momento en que elCentro Alternativo puede procesar las aplicaciones críticas. Designar entre los distintos tipos existentes, un centro Alternativo de Proceso de Datos. Asegurar la capacidad de las comunicaciones y de los servicios de back-up.
7
8
2
31/10/2007
DE ENTRE LA GAMA DE SEGUROS EXISTENTES TENEMOS:
DESPUÉS
31/10/2007 31/10/2007
Los contratos de seguros vienen a compensar, en mayor omenor medida, las pérdidas, gastos o responsabilidades que se pueden derivar para el CPD una vez detectado y corregido el fallo.
9
Centros de proceso y equipamiento Reconstrucción de medios software Gastos extra Interrupción del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contratos con proveedores y de mantenimiento Contratos de...
Regístrate para leer el documento completo.