Seguridad física CPD del banco mundial

Actividades

Hecho por / -fecha

Referencia Hoja de Trabajo

Coordinación Trabajo

Preparación y envío carta de notificación a Auditado

• Redacción
• Revisión
• Envío
• Confirmación

WV/ 10-08

Obtención de Conocimiento (en terreno)

Obtención de antecedentes Técnicos generales, relativos a:

• Solicitar al Gerente de Sistemas de Información la relación existente del costo-beneficio de los sistemas computarizados utilizados en el banco.
• Solicitar cartas gantt, manuales de procedimientos, políticas planificaciones y planes relacionados al CPD.
• Conocer la situación actual del área de informática, las actividades y esfuerzos que se realizan específicamente en el CPD del Banco para el logro de los objetivos.
• Asegurar integridad, confidencialidad y confiabilidad de la información trabajada por el CPD (medidas )
• Conocer las Políticas de inversión y contratos de mantención en general necesarios que tengan relación al CPD.

MA/15-08

Obtención de antecedentes Técnicos específicos

• Personal que trabaja en el CPD (organigrama)
• Relevamientos de controles existentes indagando al personal.
• • Accesos al centro de procesamientos de datos (CPD)
  • Métodos de asignación de respaldos.
  • Bitácora de respaldos
  • Bitácoras de procesos bach
  • Solicitar las asignaciones de cargo y claves de acceso del los operadores de sistemas.
  • Con que frecuencia se realizan los respaldos
  • Que tipos de medios se utilizan para hacer los respaldos
  • Control de proveedores que hacen mantención
  • Control personal de aseo.

MA/31-08

Análisis de la información obtenida

• Evaluar la relación costo-beneficio existente para el área de CPD
• Evaluar y revisar los distintos procedimientos y políticas existentes para el área de CDP
• Indagar con respecto a las operaciones que se realizan en el CDP
• Evaluar, revisar e indagar sobre la integridad, confidencibilidad y confiabilidad utiliza en los procesos de operaciones del CPD.
• Evaluar las políticas de inversión y gastos, si estas están a corde con los objetivos de la gerencia
• Solicitar a la gerencia de RRHH un listado con el personal que trabaja en el CPD del banco
• • Revisar los siguientes tipos de controles:
  • • Preventivos
    • Detectivos
    • Correctivos
  • Verificar los accesos al centro de procesamientos de datos, quienes deben estar ahí, quien entra al CPD y con que autorización
  • Verificar, revisar e indagar las asignaciones de respaldos y su continuidad, además revisar las asignaciones de turno
  • Revisar las bitácoras de respaldo, quien las realizo y si están acore con los turnos trabajados, estas deben contener números de procesos, hora y fecha, quien la ejecuto, donde se encuentra físicamente esta información.
  • Revisar la que los procesos batch se hayan ejecutado cuando corresponde y es necesarios revisar si esta información debe ser enviada a alguien del banco.
  • Revisar, verificar e indagar que existan controles de seguridad del CPD: Cuantas puertas de entrada y salidas de emergencia existen, como se hace ingreso al CPD mediante tarjetas magnéticas, Registro de firmas, sistemas biométricos, huellas digitales, geometría de la mano, escaneo retinal, verificación de voz, dinámica de firma, etc.
  • Revisar, verificar e indagar sobre las medidas de seguridad del departamento de operaciones de; además revisar sobre la existencia de ventanales para poder observar el CDP, revisar el sistema de aire acondicionado los ductos deben siempre estar limpios, sistema de detección de humo, revisar si existen extintores de incendio y sus fechas de vencimiento ver el peso que tienen y si los operadores de CPD saben utilizarlo, donde están físicamente estos extintores, piso y/o cielo falso, letreros que indique no fumar, ingreso restringido, salida de emergencia.
  • Revisar los posibles contratos que existan con empresas de seguridad, limites de acceso a la organización, se investiga a los vigilantes si son contratados directamente
  • Verificar que la seguridad se efectúe las 24 horas del día
  • Revisar las claves de acceso del personal que no trabaja en CPD, como los programadores, jefes de proyecto, analistas, etc.
  • Revisar si el CPD tiene salida directa al exterior del banco.
  • Verificar sobre la existencia de alarmas, quien la ejecuta, sonido, donde suena, etc.
  • Verificar que los interruptores de energía eléctrica y acceso a redes estén situados en lugares que no representes peligro.
  • Indagar sobre el control del personal de aseo, cuantas llaves o tarjetas existen para tener acceso al CPD, quien las tiene, donde las manejas, etc.
  • Indagas sobre los planes de contingencias relacionados a posibles cortes de luz, robos de respaldos, incendio, etc.

WV/31-08