Principales áreas de la auditoría informática. Parte II.

Patricio Astorga Vega

AUDITORÍA INFORMÁTICA

Instituto IACC

05 noviembre 2017
 Desarrollo

INSTRUCCIONES: Lea atentamente las situaciones planteadas y responda según lo

solicitado. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la

mejor opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos

mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas contra

incendios.

1. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3

preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center

y recuperación de desastres. Compare las semejanzas que presenta cada checklist para los

diferentes tipos de auditoría.

Checklist auditoría de seguridad

Respaldo de energía y Protección contra incendios

Determinar si las previsiones contra incendio del centro de cómputo están acordes con

los estándares generalmente aceptados para tales medidas de protección.

Revisar los estándares generalmente aceptados para protección contra incendio que

publican las organizaciones nacionales e internacionales y verificar si las medidas que se

adoptan en el centro de cómputo están de acuerdo con estos estándares.

Las tres preguntas serian:

Protección contra incendios

1. ¿Existen extintores en número suficiente y distribución correcta, y de la eficacia

requerida?

2. ¿Todos los enchufes están en buen estado, libres de añadiduras o daños?

3. ¿Los sistemas contra incendios (extintores, sensores de humo/calor, Red contra incendios)

están en buen estado y sus accesos no están bloqueados?

Respaldo de energía serian:

1. ¿Se cuenta con Planta de emergencia?

2. ¿Se tienen protecciones contra corto circuito?

3. ¿Se tiene implementado algún tipo de equipo de energía auxiliar?

Checklist auditoría de data center

Auditoria a un centro de datos. La realización de la auditoría se enfoca en las instalaciones del

centro de datos y se basa en los controles que se están ejerciendo para la mitigación de los

riesgos. Al igual que cualquier proceso de auditoría debe de tener los conocimientos básicos

necesarios para llevar este tipo de análisis que requiere el conocimiento, desarrollo y la

promulgación de normas generales para efectuar la evaluación solicitada.

Respaldo de energía serian:

1. ¿La Conexión a Tierra se encuentra conforme al estándar IEEE 1100 para la unión de las

telecomunicaciones y equipo de cómputo?

2. ¿Los circuitos de alimentación son Independientes y poseen su propio pen o paneles

eléctricos?

3. ¿El acceso está a disposición del sistema de puesta a tierra de telecomunicaciones

especificado por ANSI / TIA / EIAJSTD607A?

Protección contra incendios

1. ¿Los sistemas de protección contra incendios y extintores portátiles cumplen con la

norma?

2. ¿Resistencia al fuego de los muros interiores de salas que no son de uso informático

según lo permitido por norma?

3. ¿ Se tienen Puertas y pinturas ignífugas (para proteger contra el fuego)?

 Las semejanzas que presenta cada checklist para los diferentes tipos de auditoría es que no

estás lista podremos Con las auditorias es posible prevenir eventualidades posteriores no

deseadas, definir las futuras líneas de actuación y eliminar riesgos de caídas del sistema.

Estos últimos habrá que tenerlos muy patentes en las fases de diseño, ejecución y

mantenimiento, ya que este tipo de averías pueden acarrear graves daños en el negocio

2. La evaluación debe considerar un plan de contingencias y recuperación de desastres

usando un segundo sitio. Se le solicita entonces que construya un documento que detalle las

acciones mínimas a realizar en caso de desastre en función de los requerimientos

mencionados en el enunciado

Sección 1. Objetivos principales de un plan de recuperación en caso de siniestro

Aquí se encuentran los objetivos principales de un plan de recuperación tras desastre.

 Reducir al mínimo las interrupciones del funcionamiento normal.

 Limitar el alcance de la interrupción y de los daños.

 Minimizar el impacto económico de la interrupción.

 Establecer anticipadamente medios alternativos de funcionamiento.

 Formar al personal acerca de los procedimientos de emergencia.

 Proporcionar una restauración del servicio uniforme y rápido.

Sección 2. Procedimientos de copia de seguridad de servicios informáticos

Sección 3. Procedimientos para la recuperación en caso de siniestro

Para cualquier plan de recuperación en caso de siniestro, se deben tener en cuenta los tres

elementos indicados.
Sección 4. Plan de recuperación para local de seguridad

Un plan local de seguridad alternativo debería proporcionar un local (copia de seguridad)

alternativo. El local alternativo tiene un sistema de reserva para uso temporal mientras se vuelve

a habilitar el local central.

Sección 5. Proceso de reconstrucción

El equipo de gestión debe evaluar los daños y comenzar la reconstrucción de un nuevo centro de

datos.

Sección 6. Comprobación del plan de recuperación en caso de siniestro

En una planificación de contingencias satisfactoria, es importante comprobar y evaluar

regularmente dicho plan.

Sección 7. Reconstrucción del local del siniestro

Utilice esta información para realizar una reconstrucción del local del siniestro.

Sección 8. Registro de los cambios del plan

Guarde el plan actual y un registro de los cambios efectuados en la configuración, las

aplicaciones y los procedimientos y planificaciones de copia de seguridad.

 Bibliografía

 Contenido Semana 8 Iacc.