1

Sistemas Informáticos y ComputaciónSistemas Informáticos y Computación

Julio PlazaJulio Plaza

En la auditoría todo lo que rodea al computador incluso el mismo son lo físico, llamado Entorno Físico del computador CPD, (todo lo tangible) ejemplo: pantalla, teclado, cables, e

La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.

tc.

2

La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.

3

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de un CPD.

Existen tres tipos de seguridad en el ámbito informático:› Seguridad lógica› Seguridad física› Seguridad de las comunicaciones

4

Obtener y mantener un nivel adecuado de seguridad física sobre los activos, siendo un conjunto de acciones utilizadas para evitar un fallo o derivaciones de éste.

Ubicación física, Ubicación del CPD dentro del edificio, Compartimentación, Elementos de construcción, Potencia eléctrica, Sistemas contra incendios, etc.

5

Ejecutar un plan de contingencia adecuado donde debería constar lo siguiente:› Análisis de riesgos de sistemas críticos

› Establecer un período crítico de recuperación

› Análisis de aplicaciones críticas

› Determinar prioridades del proceso

› Establecer objetivos de recuperación

› Asegurar la capacidad de las comunicaciones y de los servicios de Back-up

6

7

8

Los datos son el primer objetivo de toda seguridad.

Se basa en la lógica “de afuera adentro” quedan indicados estos objetivos:

Edificio Instalaciones Equipamiento y telecomunicaciones Datos Personas

9

Tienen la finalidad de obtener la evidencia física.

10

Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.

Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros.

Entrevistas con directivos y personal. Consultas a técnicos y peritos.

11

› Cuaderno de campo

› Grabadora de audio

› Cámara fotográfica

› Cámara de video Su uso debe ser discreto y siempre con el

consentimiento del personal si éste va a quedar identificado en cualquiera de las máquinas.

12

13

1. Alcance de la Auditoría

2. Adquisición de Información General

3. Administración y Planificación

4. Plan de Auditoría

5. Resultado de las Pruebas

6. Conclusiones y Comentarios

7. Borrador de Informe

8. Discusión con los Responsables de Área

9. Informe Final

15

¿Hay algún acuerdo oral o escrito por parte de la Dirección?

¿Ha emitido y distribuido la empresa Políticas o Normas dirigidas al Plan de Contingencia?

¿Qué persona o departamento tiene la responsabilidad del Plan?

16

¿Están las responsabilidades de Planeamiento bien definidas, difundidas y entendidas por todo el personal?

¿Se mantiene una estrategia corporativa en el Plan?

¿Incluyen los presupuestos empresariales fondos destinados al desarrollo y mantenimiento del Plan de contingencia?

17

¿Está el Acuerdo obligado e impuesto legalmente cuando se produce un desastre?

¿Es compatible el equipamiento del Proceso de Datos en el Centro Alterativo con el equipamiento en el CPD?

¿Proporciona el Centro Alternativo suficiente capacidad?

¿Cuándo fue la última vez que se probó el Centro Alternativo?

18

• ¿Cuáles fueron los objetivos y el alcance de prueba?

• ¿Cuáles fueron los resultados de la prueba?• ¿Se ha implementado acciones correctivas?• ¿Está prevista una próxima prueba de uso del

Centro Alternativo?• ¿Utiliza la empresa algún equipamiento de

proceso que pueda no estar soportado por el Centro Alternativo?

19

• ¿Tiene la empresa un Centro Externo para el almacenamiento de los back-up?

• ¿Se ha realizado alguna auditoría a los discos almacenados en el Centro Back-up?

• ¿Cuál es el Procedimiento de acceso al Centro externo en el caso de desastre?

• ?Cuál es el procedimiento de transporte de los back-up desde el Centro Externo al Centro de Proceso Alternativo?

20

• ¿Cuál es la estrategia para la restauración de programas?

• ¿Tiene prioridad la restauración?• ¿Se identifican todos los archivos críticos?• ¿Se crea los back-up de los archivos críticos según

una base metódica?• ¿Exiten mínimo de tres copias de back_up en el

Centro Exterior?• ¿Existen copias actualizadas en el Centro Externo?

21

• ¿Cómo esté estructurado el Plan?• ¿Es fácil seguir el Plan en caso de desastre?• ¿Indica quien es el responsable de desarrollar

tareas específicas?• ¿Cómo se activa el plan ante un desastre?• ¿Cómo están contenidos estos procedimientos de

activación en los procedimientos de emergencia normales de la empresa?

22

23