Seguridad física CPD del banco mundial

Actividades

Hecho por / -fecha

Referencia Hoja de Trabajo

Coordinación Trabajo

Preparación y envío carta
de notificación a Auditado

• Redacción
• Revisión
• Envío
• Confirmación

WV/ 10-08

Obtención de Conocimiento (en terreno)

Obtención de antecedentes Técnicos
generales, relativos a:

• Solicitar al Gerente de Sistemas de Información la
  relación existente del costo-beneficio de los sistemas computarizados utilizados en
  el banco.
• Solicitar cartas gantt, manuales de procedimientos, políticas planificaciones y
  planes relacionados al CPD.
• Conocer la situación actual del
  área de informática, las actividades y
  esfuerzos que se realizan específicamente en
  el CPD del Banco para el logro de los objetivos.
• Asegurar integridad, confidencialidad y
  confiabilidad de la información trabajada por el
  CPD (medidas )
• Conocer las Políticas de inversión y contratos de mantención en
  general necesarios que tengan relación al
  CPD.

MA/15-08

Obtención de antecedentes Técnicos
específicos

• Personal que trabaja en el CPD (organigrama)
• Relevamientos de controles existentes
  indagando al personal.
• • Accesos al centro de procesamientos de
    datos (CPD)
  • Métodos de asignación de
    respaldos.
  • Bitácora de
    respaldos
  • Bitácoras de procesos bach
  • Solicitar las asignaciones de cargo y
    claves de acceso del los operadores de
    sistemas.
  • Con que frecuencia se realizan los
    respaldos
  • Que tipos de medios se utilizan para hacer los
    respaldos
  • Control de proveedores que hacen
    mantención
  • Control personal de aseo.

MA/31-08

Análisis de la información
obtenida

• Evaluar la relación costo-beneficio
  existente para el área de CPD
• Evaluar y revisar los distintos
  procedimientos y políticas existentes para el
  área de CDP
• Indagar con respecto a las operaciones que se realizan en el
  CDP
• Evaluar, revisar e indagar sobre la
  integridad, confidencibilidad y confiabilidad utiliza
  en los procesos de operaciones del CPD.
• Evaluar las políticas de
  inversión y gastos, si estas están a corde
  con los objetivos de la gerencia
• Solicitar a la gerencia de RRHH un listado
  con el personal que trabaja en el CPD del
  banco
• • Revisar los siguientes tipos de
    controles:
  • • Preventivos
    • Detectivos
    • Correctivos
  • Verificar los accesos al centro de
    procesamientos de datos, quienes deben estar
    ahí, quien entra al CPD y con que
    autorización
  • Verificar, revisar e indagar las
    asignaciones de respaldos y su continuidad,
    además revisar las asignaciones de
    turno
  • Revisar las bitácoras de
    respaldo, quien las realizo y si están
    acore con los turnos trabajados, estas deben
    contener números de procesos, hora y
    fecha, quien la ejecuto, donde se encuentra
    físicamente esta
    información.
  • Revisar la que los procesos batch se
    hayan ejecutado cuando corresponde y es
    necesarios revisar si esta información
    debe ser enviada a alguien del banco.
  • Revisar, verificar e indagar que
    existan controles de seguridad del CPD: Cuantas
    puertas de entrada y salidas de emergencia
    existen, como se hace ingreso al CPD mediante
    tarjetas magnéticas,
    Registro de firmas, sistemas
    biométricos, huellas digitales, geometría de la mano,
    escaneo retinal, verificación de voz,
    dinámica de firma,
    etc.
  • Revisar, verificar e indagar sobre las
    medidas de seguridad del departamento de
    operaciones de; además revisar sobre la
    existencia de ventanales para poder observar el CDP, revisar el
    sistema de aire acondicionado los ductos
    deben siempre estar limpios, sistema de
    detección de humo, revisar si existen
    extintores de incendio y sus fechas de
    vencimiento ver el peso que tienen y si los
    operadores de CPD saben utilizarlo, donde
    están físicamente estos extintores,
    piso y/o cielo falso, letreros que indique no
    fumar, ingreso restringido, salida de
    emergencia.
  • Revisar los posibles contratos que
    existan con empresas de seguridad, limites de
    acceso a la
    organización, se investiga a los
    vigilantes si son contratados
    directamente
  • Verificar que la seguridad se
    efectúe las 24 horas del
    día
  • Revisar las claves de acceso del
    personal que no trabaja en CPD, como los
    programadores, jefes de proyecto, analistas,
    etc.
  • Revisar si el CPD tiene salida directa
    al exterior del banco.
  • Verificar sobre la existencia de
    alarmas, quien la ejecuta, sonido, donde suena,
    etc.
  • Verificar que los interruptores de
    energía eléctrica y
    acceso a redes estén situados en
    lugares que no representes peligro.
  • Indagar sobre el control del personal de aseo,
    cuantas llaves o tarjetas existen para tener
    acceso al CPD, quien las tiene, donde las
    manejas, etc.
  • Indagas sobre los planes de
    contingencias relacionados a posibles cortes de
    luz, robos de respaldos, incendio,
    etc.

WV/31-08