Cuestionario

Benchmarking de la Administración de Riesgos de Tecnología Informática

8.- Seguridad física y control ambiental Control de acceso físico y ambiental del CPD
3.2.1 Seguridad física - No existen controles efectivos. Personal no autorizado puede acceder
fácilmente a los equipos.
- El acceso se encuentra restringido a personal autorizado, aunque no se cuenta
con un método formal para restringir el acceso (por ejemplo, no existe una
fuerza de seguridad o dispositivos de control de acceso mecánicos).
- El acceso se encuentra restringido a personal autorizado en oportunidades
autorizadas. Se utiliza control de acceso formal (fuerza de seguridad/
dispositivos de control de acceso mecánicos.
- Las violaciones de seguridad se monitorean y revisan.
- Las violaciones de seguridad se monitorean y revisan. Se toman acciones
proactivas para asegurar que las violaciones no vuelvan a ocurrir; por ejemplo,
se rediseñan los dispositivos de seguridad, se revisan los procedimientos.

Cuestiones clave que indican una buena práctica: Sí / No Antecedentes a considerar

Existe una política completa y documentada sobre seguridad física que se actualiza    Ubicación del centro de cómputos:
permanentemente a fin de reflejar los cambios producidos en el ambiente?  Cerca un camino importante, de una ruta aérea, sin cartel a la vista
 Ubicación del centro de cómputos dentro de las instalaciones:
Todo el equipamiento cubierto por servicios de TI es administrado con el mismo   visible o subterránea
nivel de control?  Los procedimientos toman en cuenta el equipo, los datos, los medios y
la documentación en los siguientes niveles:
El sistema de control de acceso identifica en forma unívoca a todo el personal en    edificios
todo momento, proporcionando información para auditar tanto el paradero como  equipo de comunicaciones
los movimientos de todo el personal?  centro de cómputos
 almacenamiento de medios magnéticos
Se mantienen backups de todos los componentes del equipo utilizados para    almacenamiento externo
proporcionar soporte ambiental a la facilidad de TI?  Existen mecanismos para restringir el acceso, incluyendo:
 guardias de seguridad
 credenciales de identificación, tarjetas electrónicas de acceso,
verificaciones biológicas
 sistemas de control de acceso
 circuitos cerrados de televisión, alarmas contra ladrones
 Mantenimiento de listas de inventario del equipo
 Edificio especialmente diseñado

8.- Seguridad física y control ambiental Control de acceso físico y ambiental del CPD
 Cuestionario
Benchmarking de la Administración de Riesgos de Tecnología Informática

3.2.2. Protección del medio ambiente - 1 No existen medidas para proteger el medio ambiente computacional.
- 2 Existe equipo de control ambiental instalado.
- 3 Existe equipo completo de protección ambiental instalado. (los
requerimientos del nivel de equipamiento van a depender de la plataforma de
hardware y la importancia del uso que el negocio hace de esta plataforma.) Se
capacita al personal en el uso del equipo.
- 4 Todo el equipo se somete a pruebas regularmente.
- 5 Las instalaciones del negocio se han desarrollado para proveer protección
del medio ambiente. Se revisa el equipo, las instalaciones, las políticas y los
procedimientos y se toman acciones correctivas para subsanar cualquier
debilidad.

Cuestiones clave que indican una buena práctica: Sí / No Antecedentes a considerar

 Efectivos mecanismos de control implementados, incluyendo:
Hay pleno control ambiental en las instalaciones de TI?    sistemas de protección contra incendios
 sistemas de detección y extinción de incendios
El sistema de administración ambiental es controlado por computadora, con enlace    controles de humedad
a servicios de emergencia adecuados?  cableado oculto, piso falso
 segura ubicación de las cañerías de agua, lejos del equipo delicado
Edificio especialmente diseñado?    UPS y suministro de energía de reserva
 emisión de informes sobre el progreso de los proyectos individuales
por parte de los respectivos comités de proyectos
 Existencia de Sistemas de protección de backup