Informe de la auditoria
Páginas: 8 (1785 palabras)
Publicado: 27 de abril de 2010
UNIDAD 6 INFORME DE LA AUDITORIA
6.1 Generalidades de la seguridad del área física
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un Centro de Proceso de Datos (CPD). Las medidas a preparar para ser utilizadas en relación a un fallo son:
❖ Antes: obtener y mantener un nivel adecuado de seguridad física sobre los activos, es decir elconjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias que pueden derivar.
• Ubicación del edificio
• Ubicación del CPD dentro del edificio
• Compartimentación
• Elementos de construcción
• Potencia eléctrica
• Sistemas contra incendios
• Control de acceso
❖ Durante: ejecutar un plan decontingencia adecuado en caso de un desastre, es cualquier evento que, cuando ocurre, tienen la capacidad de interrumpir el proceso normal de una empresa. La probabilidad de que ocurra un desastre es baja, pero si llegase a suceder sería fatal para la empresa.
Un plan de contingencia debe:
• Realizar un análisis de riesgos de sistemas cítricos que determine la tolerancia de los sistemas.• Establecer un periodo crítico de recuperación en el cual los procesos deben ser reanudados antes de que se pierdan.
• Realizar un análisis de aplicaciones críticas para establecer las prioridades de proceso.
• Determinar las prioridades de proceso.
• Establecer objetivos de recuperación para determinar el tiempo entre el desastre y el proceso de lasaplicaciones críticas.
• Asegurara la capacidad de las comunicaciones.
❖ Después: los contratos de seguros compensan las pérdidas, gastos que se pueden derivar para el CPD una vez detectado y corregido el fallo. Se señalan algunos seguros:
• Centro de proceso y equipamiento: cobertura sobre el daño físico en el CPD.
• Reconstrucción de medios software: cubre eldaño producido en el software.
• Gastos extra: cubre los gastos que se deriven de la continuidad de las operaciones tras un desastre.
• Interrupción del negocio: cubre las pérdidas de beneficios causados por las caídas de los medios informáticos.
• Documentos y registros valiosos: para obtener una compensación en valor metálico por la pérdida de documentos.• Errores y omisiones: protección legal ante la responsabilidad de que un profesional cometiera un error.
• Cobertura de fidelidad: cubre pérdidas derivadas de actos deshonestos cometidos por empleados.
• Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados.
• Contratos con proveedores y de mantenimiento: proveedoresque aseguren la existencia de repuestos y consumibles.
Las áreas en las que el auditor ha de interesarse personalmente, una vez que el edificio ha sido encargado al juicio del perito, tendrán relación directa con el hecho informático, siempre considerando el aspecto físico de la seguridad y que serán:
❖ Organigrama de la empresa: dependencias jerárquicas de los departamentos, cargos yempleos del personal.
❖ Auditoría interna: el departamento independiente debe guardar las auditorias pasadas.
❖ Administración de la seguridad: debe amparar las funciones, dependencias, cargos y responsabilidades de los distintos componentes:
• Director o responsable de la seguridad integral.
• Responsable de la seguridad informática.
• Administradorde redes.
• Administradores de bases de datos.
• Responsables de la seguridad activa y pasiva del entorno físico.
❖ Centro de proceso de datos e instalaciones: son elementos que deben ayudar a la realización de la función informática y proporcionar seguridad a las personas, al software y a los materiales.
❖ Equipos y comunicaciones: elementos principales...
6.1 Generalidades de la seguridad del área física
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un Centro de Proceso de Datos (CPD). Las medidas a preparar para ser utilizadas en relación a un fallo son:
❖ Antes: obtener y mantener un nivel adecuado de seguridad física sobre los activos, es decir elconjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias que pueden derivar.
• Ubicación del edificio
• Ubicación del CPD dentro del edificio
• Compartimentación
• Elementos de construcción
• Potencia eléctrica
• Sistemas contra incendios
• Control de acceso
❖ Durante: ejecutar un plan decontingencia adecuado en caso de un desastre, es cualquier evento que, cuando ocurre, tienen la capacidad de interrumpir el proceso normal de una empresa. La probabilidad de que ocurra un desastre es baja, pero si llegase a suceder sería fatal para la empresa.
Un plan de contingencia debe:
• Realizar un análisis de riesgos de sistemas cítricos que determine la tolerancia de los sistemas.• Establecer un periodo crítico de recuperación en el cual los procesos deben ser reanudados antes de que se pierdan.
• Realizar un análisis de aplicaciones críticas para establecer las prioridades de proceso.
• Determinar las prioridades de proceso.
• Establecer objetivos de recuperación para determinar el tiempo entre el desastre y el proceso de lasaplicaciones críticas.
• Asegurara la capacidad de las comunicaciones.
❖ Después: los contratos de seguros compensan las pérdidas, gastos que se pueden derivar para el CPD una vez detectado y corregido el fallo. Se señalan algunos seguros:
• Centro de proceso y equipamiento: cobertura sobre el daño físico en el CPD.
• Reconstrucción de medios software: cubre eldaño producido en el software.
• Gastos extra: cubre los gastos que se deriven de la continuidad de las operaciones tras un desastre.
• Interrupción del negocio: cubre las pérdidas de beneficios causados por las caídas de los medios informáticos.
• Documentos y registros valiosos: para obtener una compensación en valor metálico por la pérdida de documentos.• Errores y omisiones: protección legal ante la responsabilidad de que un profesional cometiera un error.
• Cobertura de fidelidad: cubre pérdidas derivadas de actos deshonestos cometidos por empleados.
• Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados.
• Contratos con proveedores y de mantenimiento: proveedoresque aseguren la existencia de repuestos y consumibles.
Las áreas en las que el auditor ha de interesarse personalmente, una vez que el edificio ha sido encargado al juicio del perito, tendrán relación directa con el hecho informático, siempre considerando el aspecto físico de la seguridad y que serán:
❖ Organigrama de la empresa: dependencias jerárquicas de los departamentos, cargos yempleos del personal.
❖ Auditoría interna: el departamento independiente debe guardar las auditorias pasadas.
❖ Administración de la seguridad: debe amparar las funciones, dependencias, cargos y responsabilidades de los distintos componentes:
• Director o responsable de la seguridad integral.
• Responsable de la seguridad informática.
• Administradorde redes.
• Administradores de bases de datos.
• Responsables de la seguridad activa y pasiva del entorno físico.
❖ Centro de proceso de datos e instalaciones: son elementos que deben ayudar a la realización de la función informática y proporcionar seguridad a las personas, al software y a los materiales.
❖ Equipos y comunicaciones: elementos principales...
Leer documento completo
Regístrate para leer el documento completo.