Seguridad Fisica Y Ambiental
Páginas: 10 (2412 palabras)
Publicado: 10 de junio de 2012
Auditoría de seguridad física y ambiental
RIESGOS DE TI
Dependiendo de su vigencia o permanencia en el tiempo, los riesgos de TI pueden clasificarse en:
* Riesgos estáticos: Son riesgos que no cambian de un año al otro y usualmente están relacionados con la industria en la cual opera la organización. Ejemplo: Si una compañía se dedica a la venta de libros en Internet, tiene un riesgoasociado con los servidores web en los cuales funciona el sistema de procesamiento de órdenes. Si esos servidores dejaran de funcionar, el flujo de efectivo cesaría hasta se sean restaurados.
Riesgos dinámicos: Son riesgos que están en constante cambio. Tienden a estar más relacionados con la evolución de la tecnología que con la industria en sí. Ejemplo: El descubrimiento de una nueva falla deseguridad en Windows 2003 representaría un riesgo dinámico que no fue identificado en la evaluación de riesgo del año anterior. Los riesgos dinámicos también tienen repercusión en la forma en que realizamos la evaluación de riesgos TI, por ejemplo, en el caso mencionado arriba, la evaluación de riesgos TI debería enfocarse en los procesos que la gerencia de TI tiene para monitorear los parches deseguridad implantados y para medir la oportunidad de implantación.
Dependiendo de su alcance dentro de la organización y sus procesos, los riesgos de TI pueden clasificarse en:
* Riesgos específicos de TI: Son riesgos que afectan básicamente a un proceso operativo o una cuenta contable. Ejemplo: Si no se realiza adecuadamente un cotejamiento automático del pedido, la factura y la recepción,entonces seguramente se estará afectando los procesos de cuentas por pagar y efectivo. Riesgos específicos: Se refieren por lo general a los riesgos de aplicación como por ejemplo:Segregación de funciones inadecuadas./Inexistencia de registro de bitácora de operaciones./Inexistencia de reporte de errores de ejecución./Carencia de validaciones de edición de datos.
Riesgos generales de TI: Sonriesgos que no están limitados a un sistema o proceso específico. Estos riesgos impactan toda la organización. Ejemplo: Si una compañía está conectada a Internet y no utiliza un firewall, ¿cuál sería la cuenta de balance que se afecta?
Riesgos generales: Incluyen, entre otros, los siguientes:
* Riesgos Ambientales : Son eventos que ocurren naturalmente o por elementos externosextraordinarios, como por ejemplo: Tormentas eléctricas.Incendios.Terremotos.Erupciones.Huracanes.Tornados.Vandalismo.Terrorismo.
Por lo general estos eventos traen como consecuencia:/Pérdida total o parcial de suministro eléctrico. Esta es una de las áreas de mayor preocupación./Ocasionalmente inundaciones. Por lo general la inundaciones son ocasionadas por problemas con tuberías.
Controles para riesgosambientales: Ubicación estratégica de la sala de computadoras./Paredes, piso falso y cielorraso resistentes a fuego./Actividades inhibidas en el centro de procesamiento./Materiales de oficina resistentes al fuego./Planes documentados y probados de evacuación de emergencia./Protectores de voltaje, UPS y plantas generadoras./Detectores de humedad- agua./Detectores de humo./Panel de control dealarmas./Extintores de incendios./Alarmas manuales de incendio./Sistema de supresión de incendios.
Cómo auditar los controles ambientales: Visitar la sala de cómputo y verificar visualmente la presencia de detectores de humo y de agua./Verificar la ubicación estratégica y revisión actualizada de los extintores manuales de incendio./Revisar la documentación existente sobre revisiones al sistema desupresión de incendios./Observar la existencia de supresores de voltaje, UPS y generadores y revisar las últimas pruebas./Solicitar y revisar la documentación técnica de las paredes, piso y cielorraso. Las paredes deben tener una resistencia al fuego no menor a 2 horas./Revisar la documentación y evidencia de pruebas de los planes de evacuación de emergencias. Validar con los trabajadores si están...
RIESGOS DE TI
Dependiendo de su vigencia o permanencia en el tiempo, los riesgos de TI pueden clasificarse en:
* Riesgos estáticos: Son riesgos que no cambian de un año al otro y usualmente están relacionados con la industria en la cual opera la organización. Ejemplo: Si una compañía se dedica a la venta de libros en Internet, tiene un riesgoasociado con los servidores web en los cuales funciona el sistema de procesamiento de órdenes. Si esos servidores dejaran de funcionar, el flujo de efectivo cesaría hasta se sean restaurados.
Riesgos dinámicos: Son riesgos que están en constante cambio. Tienden a estar más relacionados con la evolución de la tecnología que con la industria en sí. Ejemplo: El descubrimiento de una nueva falla deseguridad en Windows 2003 representaría un riesgo dinámico que no fue identificado en la evaluación de riesgo del año anterior. Los riesgos dinámicos también tienen repercusión en la forma en que realizamos la evaluación de riesgos TI, por ejemplo, en el caso mencionado arriba, la evaluación de riesgos TI debería enfocarse en los procesos que la gerencia de TI tiene para monitorear los parches deseguridad implantados y para medir la oportunidad de implantación.
Dependiendo de su alcance dentro de la organización y sus procesos, los riesgos de TI pueden clasificarse en:
* Riesgos específicos de TI: Son riesgos que afectan básicamente a un proceso operativo o una cuenta contable. Ejemplo: Si no se realiza adecuadamente un cotejamiento automático del pedido, la factura y la recepción,entonces seguramente se estará afectando los procesos de cuentas por pagar y efectivo. Riesgos específicos: Se refieren por lo general a los riesgos de aplicación como por ejemplo:Segregación de funciones inadecuadas./Inexistencia de registro de bitácora de operaciones./Inexistencia de reporte de errores de ejecución./Carencia de validaciones de edición de datos.
Riesgos generales de TI: Sonriesgos que no están limitados a un sistema o proceso específico. Estos riesgos impactan toda la organización. Ejemplo: Si una compañía está conectada a Internet y no utiliza un firewall, ¿cuál sería la cuenta de balance que se afecta?
Riesgos generales: Incluyen, entre otros, los siguientes:
* Riesgos Ambientales : Son eventos que ocurren naturalmente o por elementos externosextraordinarios, como por ejemplo: Tormentas eléctricas.Incendios.Terremotos.Erupciones.Huracanes.Tornados.Vandalismo.Terrorismo.
Por lo general estos eventos traen como consecuencia:/Pérdida total o parcial de suministro eléctrico. Esta es una de las áreas de mayor preocupación./Ocasionalmente inundaciones. Por lo general la inundaciones son ocasionadas por problemas con tuberías.
Controles para riesgosambientales: Ubicación estratégica de la sala de computadoras./Paredes, piso falso y cielorraso resistentes a fuego./Actividades inhibidas en el centro de procesamiento./Materiales de oficina resistentes al fuego./Planes documentados y probados de evacuación de emergencia./Protectores de voltaje, UPS y plantas generadoras./Detectores de humedad- agua./Detectores de humo./Panel de control dealarmas./Extintores de incendios./Alarmas manuales de incendio./Sistema de supresión de incendios.
Cómo auditar los controles ambientales: Visitar la sala de cómputo y verificar visualmente la presencia de detectores de humo y de agua./Verificar la ubicación estratégica y revisión actualizada de los extintores manuales de incendio./Revisar la documentación existente sobre revisiones al sistema desupresión de incendios./Observar la existencia de supresores de voltaje, UPS y generadores y revisar las últimas pruebas./Solicitar y revisar la documentación técnica de las paredes, piso y cielorraso. Las paredes deben tener una resistencia al fuego no menor a 2 horas./Revisar la documentación y evidencia de pruebas de los planes de evacuación de emergencias. Validar con los trabajadores si están...
Leer documento completo
Regístrate para leer el documento completo.