Evaluación de la Seguridad
Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.
2.2.1 Identificar los modelos de Seguridad
- Definir elementos administrativos
- Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
- Organizar y dividir las responsabilidades
- Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
- Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de recursos de emergencia (extinguidores, etc.)
- Definir el tipo de Pólizas de Seguros
- Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
- Codificar la información: Criptografía
- Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que deben ser cambiadas periódicamente
- Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de detección de intrusos, etc.)
2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad
- Anti-spyware, antivirus, llaves para protección de software, etc.
- Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad
- Definir las necesidades de Sistemas de Seguridad para hardware y software
- Flujo de energía
- Cableados locales y externos
- Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
- Planificación de los papeles de los Auditores internos y externos
- Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación)
- Planificación de Pruebas al Plan de Contingencia con carácter periódico
- Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
- Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditoría Informática más importantes.
2.2.3 Definir la auditoria de seguridad física lógica de los datos
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales.
La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
Existen tres tipos de seguridad:
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:
Realizar un análisis de riesgos de los sistemas críticos.
- Establecer un periodo crítico de recuperación.
- Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
- Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
- Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
- Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
- Asegurar la capacidad de las comunicaciones.
- Asegurar los servicios de bookup.
Técnicas:
- Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
- Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros.
- Entrevistas con directivos y personal.
- Consultas a técnicos y peritos.
Fases de la Auditoria:
- Alcance de la Auditoría
- Adquisición de Información General
- Administración y Planificación
- Plan de Auditoría
- Resultado de las Pruebas
- Conclusiones y Comentarios
- Borrador de Informe
- Discusión con los Responsables de Área
- Informe Final
No hay comentarios.:
Publicar un comentario