Seguridad física: fases, controles y plan de contingencia para la continuidad del negocio
Enviado por Chuletator online y clasificado en Diseño e Ingeniería
Escrito el en 
español con un tamaño de 4,17 KB
Fases de la seguridad física
Antes
Mantener un nivel adecuado de seguridad física.
- Acciones útiles para evitar el fallo o, en su caso, aminorar las consecuencias que se puedan derivar.
Durante
Plan de contingencia
- Realizar un análisis de riesgos de los sistemas críticos que determine la tolerancia de los sistemas.
- Establecer un período crítico de recuperación en el cual los procesos deben ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
- Realizar un análisis de las aplicaciones críticas mediante el cual se establecerán las prioridades de proceso.
- Determinar las prioridades de proceso, por días del año, que indiquen cuáles son las aplicaciones y sistemas críticos en el momento de ocurrir el desastre y el orden de proceso correcto.
- Establecer objetivos de recuperación que determinen el período de tiempo (horas, días, semanas) entre la declaración de desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.
- Designar, entre los distintos tipos existentes, un centro alternativo para el procesamiento de datos.
- Asegurar la capacidad de las comunicaciones y de los servicios de backup (copias de seguridad).
Después
Contratos de seguros y coberturas a contemplar.
- Centros de proceso y equipamiento
- Reconstrucción de medios y software
- Gastos extra
- Interrupción del negocio
- Documentos y registros valiosos
- Errores y omisiones
- Cobertura de fidelidad
- Transporte de medios
- Contratos con proveedores y de mantenimiento
Fuentes a utilizar
- Políticas, normas y planes sobre seguridad emitidos y distribuidos tanto por la dirección de la empresa en términos generales como por el departamento de seguridad siguiendo un enfoque detallado.
- Auditorías anteriores, generales y parciales, referentes a la seguridad física o a cualquier otro tipo de auditoría que, de una u otra manera, esté relacionada con la seguridad física.
- Contratos de seguros, de proveedores y de mantenimiento.
- Entrevistas con el personal de seguridad, personal informático y de otras actividades; responsables de seguridad de otras empresas dentro del edificio y de la seguridad general del mismo; personal contratado para limpieza y mantenimiento de locales, etc.
- Actas e informes de técnicos y consultores: peritos que diagnostiquen el estado físico del edificio, electricistas, fontaneros, técnicos del aire acondicionado, especialistas en electrónica que informen sobre la calidad y estado de operatividad de los sistemas de seguridad y alarma, agencias de seguridad que proporcionan a los vigilantes jurados, bomberos, etc.
- Plan de contingencia y valoración de las pruebas.
- Informes sobre accesos y visitas. Existencia de un sistema de control de entradas y salidas diferenciando entre áreas perimetral, interna y restringida.
- Inventarios de soportes (papel y magnéticos): cinta magnética, backup (copias de seguridad), procedimientos de archivo, controles de salida y recuperación de soportes, control de copias, etc.
Observaciones
- En contraste con otros tipos de auditoría, se audita algo físico, material, que puede verse y tocarse, lo que facilita la obtención y documentación de las evidencias.
- Los controles a auditar son complejos y pertenecen a diferentes áreas de conocimiento, la mayoría fuera del campo habitual de los informáticos, siendo en algunos casos más propios de arquitectos e ingenieros industriales. Por ello, es necesario que el auditor disponga de una formación multidisciplinar básica y de la colaboración de expertos en las diferentes ramas o materias implicadas en los controles de seguridad física.