• Categories
• Copia de seguridad
• Centro de datos
• Informática
• Tecnología
• Informática y tecnología de la información

Citation preview

Principales áreas de la auditoría informática. Parte II. Patricio Astorga Vega AUDITORÍA INFORMÁTICA Instituto IACC 05 noviembre 2017

Desarrollo INSTRUCCIONES: Lea atentamente las situaciones planteadas y responda según lo solicitado. Usted debe evaluar las instalaciones de un centro de cómputo para determinar la mejor opción para una empresa de procesamiento de tarjetas de crédito. Los requisitos mínimos que se deben cumplir tienen relación con respaldo de energía y sistemas contra incendios. 1. Para cada uno de los requerimientos del enunciado construya un checklist de al menos 3 preguntas a utilizar en una auditoría de seguridad y otro para una auditoría de data center y recuperación de desastres. Compare las semejanzas que presenta cada checklist para los diferentes tipos de auditoría. Checklist auditoría de seguridad Respaldo de energía y Protección contra incendios Determinar si las previsiones contra incendio del centro de cómputo están acordes con los estándares generalmente aceptados para tales medidas de protección. Revisar los estándares generalmente aceptados para protección contra incendio que publican las organizaciones nacionales e internacionales y verificar si las medidas que se adoptan en el centro de cómputo están de acuerdo con estos estándares. Las tres preguntas serian: Protección contra incendios 1. ¿Existen extintores en número suficiente y distribución correcta, y de la eficacia requerida? 2. ¿Todos los enchufes están en buen estado, libres de añadiduras o daños? 3. ¿Los sistemas contra incendios (extintores, sensores de humo/calor, Red contra incendios) están en buen estado y sus accesos no están bloqueados?

Respaldo de energía serian: 1. ¿Se cuenta con Planta de emergencia? 2. ¿Se tienen protecciones contra corto circuito? 3. ¿Se tiene implementado algún tipo de equipo de energía auxiliar? Checklist auditoría de data center Auditoria a un centro de datos. La realización de la auditoría se enfoca en las instalaciones del centro de datos y se basa en los controles que se están ejerciendo para la mitigación de los riesgos. Al igual que cualquier proceso de auditoría debe de tener los conocimientos básicos necesarios para llevar este tipo de análisis que requiere el conocimiento, desarrollo y la promulgación de normas generales para efectuar la evaluación solicitada. Respaldo de energía serian: 1. ¿La Conexión a Tierra se encuentra conforme al estándar IEEE 1100 para la unión de las telecomunicaciones y equipo de cómputo? 2. ¿Los circuitos de alimentación son Independientes y poseen su propio pen o paneles eléctricos? 3. ¿El acceso está a disposición del sistema de puesta a tierra de telecomunicaciones especificado por ANSI / TIA / EIAJSTD607A? Protección contra incendios 1. ¿Los sistemas de protección contra incendios y extintores portátiles cumplen con la norma? 2. ¿Resistencia al fuego de los muros interiores de salas que no son de uso informático según lo permitido por norma? 3. ¿ Se tienen Puertas y pinturas ignífugas (para proteger contra el fuego)?

Las semejanzas que presenta cada checklist para los diferentes tipos de auditoría es que no estás lista podremos Con las auditorias es posible prevenir eventualidades posteriores no deseadas, definir las futuras líneas de actuación y eliminar riesgos de caídas del sistema. Estos últimos habrá que tenerlos muy patentes en las fases de diseño, ejecución y mantenimiento, ya que este tipo de averías pueden acarrear graves daños en el negocio

2. La evaluación debe considerar un plan de contingencias y recuperación de desastres usando un segundo sitio. Se le solicita entonces que construya un documento que detalle las acciones mínimas a realizar en caso de desastre en función de los requerimientos mencionados en el enunciado Sección 1. Objetivos principales de un plan de recuperación en caso de siniestro Aquí se encuentran los objetivos principales de un plan de recuperación tras desastre. 

Reducir al mínimo las interrupciones del funcionamiento normal.



Limitar el alcance de la interrupción y de los daños.



Minimizar el impacto económico de la interrupción.



Establecer anticipadamente medios alternativos de funcionamiento.



Formar al personal acerca de los procedimientos de emergencia.



Proporcionar una restauración del servicio uniforme y rápido.

Sección 2. Procedimientos de copia de seguridad de servicios informáticos Sección 3. Procedimientos para la recuperación en caso de siniestro Para cualquier plan de recuperación en caso de siniestro, se deben tener en cuenta los tres elementos indicados.

Sección 4. Plan de recuperación para local de seguridad Un plan local de seguridad alternativo debería proporcionar un local (copia de seguridad) alternativo. El local alternativo tiene un sistema de reserva para uso temporal mientras se vuelve a habilitar el local central. Sección 5. Proceso de reconstrucción El equipo de gestión debe evaluar los daños y comenzar la reconstrucción de un nuevo centro de datos. Sección 6. Comprobación del plan de recuperación en caso de siniestro En una planificación de contingencias satisfactoria, es importante comprobar y evaluar regularmente dicho plan. Sección 7. Reconstrucción del local del siniestro Utilice esta información para realizar una reconstrucción del local del siniestro. Sección 8. Registro de los cambios del plan Guarde el plan actual y un registro de los cambios efectuados en la configuración, las aplicaciones y los procedimientos y planificaciones de copia de seguridad.

Bibliografía 

Contenido Semana 8 Iacc.