1

Sistemas Informticos y Computacin

Julio Plaza
En la auditora todo lo que rodea al
computador incluso el mismo son lo fsico,
llamado Entorno Fsico del computador
CPD, (todo lo tangible) ejemplo: pantalla,
teclado, cables, e
La auditora fsica no se debe limitar a
comprobar la existencia de los medios
fsicos, sino tambin su funcionalidad,
racionalidad y seguridad.
tc.
2
La auditora fsica no se debe limitar a
comprobar la existencia de los medios
fsicos, sino tambin su funcionalidad,
racionalidad y seguridad.
3
La seguridad fsica garantiza la
integridad de los activos humanos,
lgicos y materiales de un CPD.
Existen tres tipos de seguridad en el
mbito informtico:
Seguridad lgica
Seguridad fsica
Seguridad de las comunicaciones
4
Obtener y mantener un nivel adecuado
de seguridad fsica sobre los activos,
siendo un conjunto de acciones
utilizadas para evitar un fallo o
derivaciones de ste.
Ubicacin fsica, Ubicacin del CPD
dentro del edificio, Compartimentacin,
Elementos de construccin, Potencia
elctrica, Sistemas contra incendios, etc.
5
Ejecutar un plan de contingencia adecuado
donde debera constar lo siguiente:
Anlisis de riesgos de sistemas crticos
Establecer un perodo crtico de recuperacin
Anlisis de aplicaciones crticas
Determinar prioridades del proceso
Establecer objetivos de recuperacin
Asegurar la capacidad de las comunicaciones y
de los servicios de Back-up
6
7
8
Los datos son el primer objetivo de toda
seguridad.
Se basa en la lgica de afuera adentro
quedan indicados estos objetivos:
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
Personas
9
Tienen la finalidad de obtener la
evidencia fsica.
10
Observacin de las instalaciones, sistemas,
cumplimiento de Normas y Procedimientos.
Revisin analtica de: documentacin,
polticas, normas, procedimientos de
seguridad fsica y contratos de seguros.
Entrevistas con directivos y personal.
Consultas a tcnicos y peritos.
11
Cuaderno de campo
Grabadora de audio
Cmara fotogrfica
Cmara de video
Su uso debe ser discreto y siempre con el
consentimiento del personal si ste va a
quedar identificado en cualquiera de las
mquinas.
12
13
1. Alcance de la Auditora
2. Adquisicin de Informacin General
3. Administracin y Planificacin
4. Plan de Auditora
5. Resultado de las Pruebas
6. Conclusiones y Comentarios
7. Borrador de Informe
8. Discusin con los Responsables de rea
9. Informe Final
15
Hay algn acuerdo oral o escrito por
parte de la Direccin?
Ha emitido y distribuido la empresa
Polticas o Normas dirigidas al Plan de
Contingencia?
Qu persona o departamento tiene la
responsabilidad del Plan?
16
Estn las responsabilidades de
Planeamiento bien definidas, difundidas
y entendidas por todo el personal?
Se mantiene una estrategia corporativa
en el Plan?
Incluyen los presupuestos
empresariales fondos destinados al
desarrollo y mantenimiento del Plan de
contingencia?
17
Est el Acuerdo obligado e impuesto
legalmente cuando se produce un
desastre?
Es compatible el equipamiento del
Proceso de Datos en el Centro Alterativo
con el equipamiento en el CPD?
Proporciona el Centro Alternativo
suficiente capacidad?
Cundo fue la ltima vez que se prob el
Centro Alternativo?
18
Cules fueron los objetivos y el alcance de
prueba?
Cules fueron los resultados de la prueba?
Se ha implementado acciones correctivas?
Est prevista una prxima prueba de uso
del Centro Alternativo?
Utiliza la empresa algn equipamiento de
proceso que pueda no estar soportado por el
Centro Alternativo?
19
Tiene la empresa un Centro Externo para el
almacenamiento de los back-up?
Se ha realizado alguna auditora a los discos
almacenados en el Centro Back-up?
Cul es el Procedimiento de acceso al
Centro externo en el caso de desastre?
?Cul es el procedimiento de transporte de
los back-up desde el Centro Externo al Centro
de Proceso Alternativo?
20
Cul es la estrategia para la restauracin de
programas?
Tiene prioridad la restauracin?
Se identifican todos los archivos crticos?
Se crea los back-up de los archivos crticos
segn una base metdica?
Exiten mnimo de tres copias de back_up en el
Centro Exterior?
Existen copias actualizadas en el Centro
Externo?
21
Cmo est estructurado el Plan?
Es fcil seguir el Plan en caso de desastre?
Indica quien es el responsable de desarrollar
tareas especficas?
Cmo se activa el plan ante un desastre?
Cmo estn contenidos estos
procedimientos de activacin en los
procedimientos de emergencia normales de la
empresa?
22
23