AVERA DE COMPONENTES Para evitar avera de componentes dentro de un centro de tecnologas de informacin es necesario basarnos en normas o reglamentos, que

ayuden a minimizar los riesgos existentes dentro del centro de TI. Tales como: ISO 17799

1. SEGURIDAD FISICA Y DEL ENTORNO 1.1 reas Seguras Los recursos para el tratamiento de informacin crtica o sensible para la organizacin deberan ubicarse en reas seguras protegidas fsicamente, contra accesos no autorizados, daos e interferencias. 1.1.1 Permetro de seguridad fsica Control Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin o recursos de procesamiento de informacin.

Gua de Implementacin Las siguientes pautas deben ser consideradas e implementadas donde sea apropiado para los permetros de seguridad fsicos.

a) El permetro de un lugar que contenga recursos de tratamiento de informacin debera tener solidez fsica (por ejemplo no podr derribarse fcilmente). Todas las puertas exteriores deberan estar convenientemente protegidas contra el acceso no autorizado, por ejemplo con mecanismos de control, alarmas, rejas, cierres, etc. b) Todas las puertas para incendios del permetro de seguridad deberan tener alarma, ser monitoreadas y probadas. 1.1.2 Proteccin Contra Amenazas Externas y Ambientales Control Se debe designar y aplicar proteccin fsica contra el fuego, inundacin, terremoto, explosin, malestar civil y otras formas de desastre natural o humana.

Gua de implementacin Las siguientes pautas, deben ser consideradas para evitar dao por parte del fuego, inundacin, temblores, explosiones, malestar civil y otras formas de desastre natural o humana:

a) Los materiales peligrosos y combustibles se deberan almacenar en algn lugar distante de las reas seguras. b) El equipo y los medios de respaldo deberan estar a una distancia de seguridad conveniente para evitar que se daen por un desastre en el rea principal. c) Equipo apropiado contra incendio debe ser previsto y ubicado adecuadamente.

1.2 Seguridad de los Equipos El equipo debera estar fsicamente protegido de las amenazas. Tambin se debera considerar su instalacin y disponibilidad. 1.2.1 Instalacin y proteccin de equipos Control El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.

Gua de implementacin: Se debera considerar las siguientes pautas para proteger los equipos: a) Los equipos se deberan situar donde se minimicen los accesos innecesarios a las reas de trabajo. b) Los equipos de tratamiento y almacenamiento de informacin que manejen datos sensibles se deberan instalar donde se reduzca el riesgo de que personas no autorizadas vean los procesos durante su uso. c) Los controles deben ser adoptados para minimizar los riesgos de posibles amenazas como robo, incendio, explosivos, humo, agua (o fallo de suministro), polvo, vibraciones, efectos qumicos, interferencias en el suministro elctrico, radiaciones electromagnticas y vandalismo. d) La organizacin debera incluir en su poltica cuestiones sobre fumar, beber y comer cerca de los equipos de tratamiento de informacin.

e) Se deberan vigilar las condiciones ambientales, como temperatura y humedad, que puedan afectar negativamente al funcionamiento de los equipos de tratamiento de informacin. 1.2.2 Suministro elctrico Control Se deberan proteger los equipos contra fallos de energa u otras anomalas elctricas en los equipos de apoyo Gua de implementacin Todas las instalaciones de apoyo, como la electricidad, el suministro de agua, desage, calefaccin/ventilacin y aire acondicionado deben ser adecuados para los sistemas.

Se recomienda instalar un sistema de alimentacin ininterrumpida (U.P.S.) para apoyar un cierre ordenado o el funcionamiento continuo de los equipos que soporten operaciones criticas del negocio. Si el proceso debera continuar en caso de fallo prolongado de energa se debera instalar un generador de respaldo.

Adems se deberan instalar interruptores de emergencia cerca de las puertas de emergencia de las salas de equipos para facilitar una desconexin rpida en caso de emergencia. Por si falla la energa se debera disponer de alumbrado de emergencia.

El suministro de agua debe ser estable y adecuado para suministrar aire acondicionado y sistemas contra incendios (donde sean utilizados). Problemas con el suministro de agua pueden daar el equipo o hacer que los sistemas contra incendios no funcionen efectivamente.

1.2.3 Seguridad del cableado Control Se debera proteger contra interceptaciones o daos el cableado de energa y telecomunicaciones que transporten datos o soporten servicios de informacin. Gua de Implementacin Se deberan considerar las siguientes pautas para la seguridad del cableado.

a) Las lneas de energa y telecomunicaciones en las zonas de tratamiento de informacin. Se deberan enterrar, cuando sea posible o adoptarse medidas alternativas de proteccin. b) La red cableada se debera proteger contra intercepciones no autorizadas o daos, por ejemplo usando conductos y evitando rutas a travs de reas pblicas. c) Se deberan separar los cables de energa de los de comunicaciones para evitar interferencias. 1.2.4 Mantenimiento de Equipos Control Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. Gua de implementacin Las siguientes pautas para el mantenimiento de los equipos deberan ser considerados: a. Los equipos se deberan mantener de acuerdo a las recomendaciones de intervalos y especificaciones de servicio del suministrador. b. Solo el personal de mantenimiento debidamente autorizado debera realizar la reparacin y servicio de los equipos. c. Se deberan registrar documentalmente todos los fallos, reales o sospechados, as como todo el mantenimiento preventivo y correctivo. COBIT 4.1 Evaluar y Administrar los Riesgos de TI.

1. Marco de Trabajo de Administracin de Riesgos Establecer un marco de trabajo de administracin de riesgos de TI que est alineado al marco de trabajo de administracin de riesgos de la organizacin.

2. Establecimiento del Contexto del Riesgo Establecer el contexto en el cual el marco de trabajo de evaluacin de riesgos se aplica para garantizar resultados apropiados. Esto incluye la determinacin del contexto interno y externo de cada evaluacin de riesgos, la meta de la evaluacin y los criterios contra los cuales se evalan los riesgos.

3. Identificacin de Eventos Identificar eventos (una amenaza importante y realista que explota una vulnerabilidad aplicable y significativa) con un impacto potencial negativo sobre las metas o las operaciones de la empresa, incluyendo aspectos de negocio, regulatorios, legales, tecnolgicos, de sociedad comercial, de recursos humanos y operativos. 4. Evaluacin de Riesgos de TI Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando mtodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categora y con base en el portafolio. 5. Respuesta a los Riesgos Desarrollar y mantener un proceso de respuesta a riesgos diseado para asegurar que controles efectivos en costo mitigan la exposicin en forma continua. El proceso de respuesta a riesgos debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar responsabilidades y considerar los niveles de tolerancia a riesgos.

6. Mantenimiento y Monitoreo de un Plan de Accin de Riesgos Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas a los riesgos, identificadas como necesarias, incluyendo la identificacin de costos, beneficios y la responsabilidad de la ejecucin. Monitorear la ejecucin de los planes y reportar cualquier desviacin a la alta direccin.