Julio Plaza En la auditora todo lo que rodea al computador incluso el mismo son lo fsico, llamado Entorno Fsico del computador CPD, (todo lo tangible) ejemplo: pantalla, teclado, cables, e La auditora fsica no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. tc. 2 La auditora fsica no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. 3 La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales de un CPD. Existen tres tipos de seguridad en el mbito informtico: Seguridad lgica Seguridad fsica Seguridad de las comunicaciones 4 Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos, siendo un conjunto de acciones utilizadas para evitar un fallo o derivaciones de ste. Ubicacin fsica, Ubicacin del CPD dentro del edificio, Compartimentacin, Elementos de construccin, Potencia elctrica, Sistemas contra incendios, etc. 5 Ejecutar un plan de contingencia adecuado donde debera constar lo siguiente: Anlisis de riesgos de sistemas crticos Establecer un perodo crtico de recuperacin Anlisis de aplicaciones crticas Determinar prioridades del proceso Establecer objetivos de recuperacin Asegurar la capacidad de las comunicaciones y de los servicios de Back-up 6 7 8 Los datos son el primer objetivo de toda seguridad. Se basa en la lgica de afuera adentro quedan indicados estos objetivos: Edificio Instalaciones Equipamiento y telecomunicaciones Datos Personas 9 Tienen la finalidad de obtener la evidencia fsica. 10 Observacin de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos. Revisin analtica de: documentacin, polticas, normas, procedimientos de seguridad fsica y contratos de seguros. Entrevistas con directivos y personal. Consultas a tcnicos y peritos. 11 Cuaderno de campo Grabadora de audio Cmara fotogrfica Cmara de video Su uso debe ser discreto y siempre con el consentimiento del personal si ste va a quedar identificado en cualquiera de las mquinas. 12 13 1. Alcance de la Auditora 2. Adquisicin de Informacin General 3. Administracin y Planificacin 4. Plan de Auditora 5. Resultado de las Pruebas 6. Conclusiones y Comentarios 7. Borrador de Informe 8. Discusin con los Responsables de rea 9. Informe Final 15 Hay algn acuerdo oral o escrito por parte de la Direccin? Ha emitido y distribuido la empresa Polticas o Normas dirigidas al Plan de Contingencia? Qu persona o departamento tiene la responsabilidad del Plan? 16 Estn las responsabilidades de Planeamiento bien definidas, difundidas y entendidas por todo el personal? Se mantiene una estrategia corporativa en el Plan? Incluyen los presupuestos empresariales fondos destinados al desarrollo y mantenimiento del Plan de contingencia? 17 Est el Acuerdo obligado e impuesto legalmente cuando se produce un desastre? Es compatible el equipamiento del Proceso de Datos en el Centro Alterativo con el equipamiento en el CPD? Proporciona el Centro Alternativo suficiente capacidad? Cundo fue la ltima vez que se prob el Centro Alternativo? 18 Cules fueron los objetivos y el alcance de prueba? Cules fueron los resultados de la prueba? Se ha implementado acciones correctivas? Est prevista una prxima prueba de uso del Centro Alternativo? Utiliza la empresa algn equipamiento de proceso que pueda no estar soportado por el Centro Alternativo? 19 Tiene la empresa un Centro Externo para el almacenamiento de los back-up? Se ha realizado alguna auditora a los discos almacenados en el Centro Back-up? Cul es el Procedimiento de acceso al Centro externo en el caso de desastre? ?Cul es el procedimiento de transporte de los back-up desde el Centro Externo al Centro de Proceso Alternativo? 20 Cul es la estrategia para la restauracin de programas? Tiene prioridad la restauracin? Se identifican todos los archivos crticos? Se crea los back-up de los archivos crticos segn una base metdica? Exiten mnimo de tres copias de back_up en el Centro Exterior? Existen copias actualizadas en el Centro Externo? 21 Cmo est estructurado el Plan? Es fcil seguir el Plan en caso de desastre? Indica quien es el responsable de desarrollar tareas especficas? Cmo se activa el plan ante un desastre? Cmo estn contenidos estos procedimientos de activacin en los procedimientos de emergencia normales de la empresa? 22 23