Cisa

PROGRAMA DEL CURSO

MÓDULO 1: POLÍTICAS DE CONTROL DE ACCESO, MODELOS Y MECANISMOS

1.1 Introducción

1.2 Organización de la función de auditoria de SI

1.3 Administración de los recursos de auditoria de SI

1.4 Planificación de la auditoria

1. 5Efecto de las leyes y regulaciones sobre la planificación de auditoría de SI

1.6 Estándares y directrices de ISACA para la auditoría de SI

1.7 Código de ética profesional de ISACA

1.8 Estándares de ISACA para la auditoría de SI

1.9 Directrices de ISACA para la auditoría de SI

1.10 Procedimientos de ISACA para la auditoría de SI

1.11 Relación entre estándares, directrices y procedimientos

1.12 Análisis de riesgos

1.13 Controles internos

1.14 Objetivos del control interno

1. 15 Objetivos de control de los SI

1.16 COBIT

1.17 Procedimientos de control general

1.18 Procedimientos de control de los SI

1.19 Ejecución de una auditoría de SI

1.20 Clasificación de las auditorías

1.21 Programas de auditoría

1.22 Metodología de auditoría

1.23 Detección de fraudes

1.24 Riesgo de auditoría y materialidad

1.25 Técnicas de evaluación de riesgos

1.26 Objetivos de la auditoría

1.27 Pruebas de cumplimiento vs pruebas sustantivas

1.28 Evidencia

1.29 Entrevistas y observación al personal en el desempeño de sus funciones

1.30 Muestreo

1.31 Técnicas de auditoría asistidas por ordenador (CAATs)

1.32 Evaluación de las fortalezas y debilidades de la auditoría

1.33 Comunicación de los resultados de la auditoría

1.34 Acciones de la dirección para implementar las recomendaciones

1.35 Documentación de la auditoría

1.36 Autoevaluación del control

1.37 Los beneficios de CSA

1.38 Desventajas DECSA

1.39 La función del auditor en CSA

1.40 Impulsores de tecnología para el programa de CSA

1.41 Enfoque tradicional vs CSA

1.42 Cambios emergentes en el proceso de auditoría de SI

1.43 Papeles de trabajo automatizados

1.44 Auditoría integrada

1. 45 Auditoría continua

MÓDULO 2: GOBIERNO DE TI

2.1 Gobierno corporativo

2.2 Prácticas de monitoreo y aseguramiento para la Junta y la Gerencia Ejecutiva

2.3 Mejores prácticas de ITGI para el Gobierno de TI

2.4 Comité de estrategia de TI

2.5 ScoreCard balanceado estándar de TI

2.6 Gobierno de seguridad de información

2.7 Estrategia de sistemas de información

2.8 Planificación estratégica

2.9 Comité(s) de Dirección

2.10 Políticas y procedimientos

2.11 Administración del riesgo

2.12 Desarrollo de un programa de administración del riesgo

2.13 Proceso de administración de riesgos

2.14 Métodos de análisis del riesgo

2.15 Métodos cualitativos y cuantitativos

2.16 Métodos de análisis semicuantitativo

2.17 Métodos de análisis cuantitativo

2.18 Prácticas de gerencia de SI

2.19 Administración de personal

2.20 Contratación

2.21 Manual del empleado

2.22 Políticas de promoción

2.23Entrenamiento

2.24 Cronogramas y reportes de tiempo

2.25 Evaluaciones del desempeño de los empleados

2.26 Prácticas y estrategias de tercerización

2.27 Prácticas y estrategias de globalización

2.28 Tercerización e informes de auditoría a terceros

2.29 Capacidad y planificación del crecimiento

2.30 Mejora del servicio y satisfacción del usuario

2.31 Estándares de la industria/Puntos de referencia

2.32 Gerencia de cambios organizacionales

2.33 Prácticas de gerencia financiera

2.34 Gerencia de la Calidad

2.35 Gerencia de Seguridad de Información

2.36 Optimización del desempeño

2.37 Estructura organizacional y responsabilidades de SI

2.38 Roles y responsabilidades de SI

2.39 Administración de Vendedor/Proveedores y Outsourcer

2.40 Operaciones y mantenimiento de infraestructura

2.41 Cintotecario

2.42 Ingreso de datos

2.43 Administración de Sistemas

2.44 Administración de Seguridad

2.45 Aseguramiento de Calidad

2.46 Administración de Base de Datos

2.47 Análisis de Sistemas

2.48 Arquitecto de Seguridad

2.49 Desarrollo y mantenimiento de aplicaciones

2.50 Desarrollo y mantenimiento de infraestructuras

2.51 Administración de red

2.52 Segregación de funciones dentro de SI

2.53 Controles de segregación de funciones

2.54 Autorización de transacción

2.55 Custodia de activos

2.56 Acceso a los datos

2.57 Controles compensatorios por falta de segregación de funciones

2.59 Auditoría de la estructura e implementación de Gobierno de TI

2.59 Revisión de documentación

2.60 Revisión de los compromisos contractuales

 

MÓDULO 3: ADMINISTRACIÓN DEL CICLO DE VIDA DE SISTEMAS E INFRAESTRUCTURA

 3.1 Realización del negocio

3.2 Administración de carteras/programas

3.3 Desarrollo y aprobación del caso de negocio

3.4 Técnicas de realización de beneficios

3.5 Estructura de la gerencia de proyectos

3.6 Aspectos generales

3.7 Contexto y ambiente del proyecto

3.8 Tipos de estructuras organizacionales de los proyectos

3.9 Comunicación y cultura de proyectos

3.10 Objetivos del proyecto

3.11 Funciones y responsabilidades de grupos y personas

3.12 Prácticas de administración/gestión de proyectos

3.13 Iniciación de un proyecto

3.14 Planificación de proyectos

3.15 Estimación del tamaño del software

3.16 Líneas de código fuente

3.17 Análisis de punto de función

3.18 Puntos de función de FPA

3.19 Presupuestos de costo

3.20 Estimación del costo del software

3.21 Programación de actividades y establecimiento del período de tiempo

3.22 Metodología de la Ruta Crítica

3.23 Gráficas de GANTT

3.24 Técnica de revisión de evaluación de programas

3.25 Administración de la Caja de Tiempo

3.26 Administración general de proyectos

3.27 Documentación

3.28 Automatización de oficinas/Ofimática

3.29 Control de proyectos

3.30 Cierre de un proyecto

3.31 Desarrollo de aplicaciones de negocio

3.32 Enfoque tradicional método del ciclo de vida del desarrollo de sistemas

3.33 Sistemas integrados de gestión/administración de recursos

3.34 Descripción de las etapas tradicionales de SDLC

3.35 Estudio de factibilidad/viabilidad

3.36 Definición de requerimientos

3.37 Diagramas de Entidad – Relación

3.38 Adquisición de software

3.39 Diseño

3.40 Participación del usuario en el diseño

3.41 Definición de fundamentos/línea base de software

3.42 Fin de la etapa de diseño

3.43 Participación del auditor de SI

3.44 Desarrollo

3.45 Métodos y técnicas de programación

3.46 Facilidades de programación en línea (Entorno de desarrollo integrado I.D.E.)

3.47 Lenguajes de programación

3.48 Depuración de programas

3.49 Pruebas

3.50 Elementos de un proceso de prueba de software

3.51 Clasificaciones de pruebas

3.52 Otros tipos de pruebas

3.53 Prueba de aplicación automatizada

3.54 Implementación

3.55 Planificación de la implementación

3.56 Etapa 1 – Desarrollar las estructuras de soporte futuras

3.57 Etapa 2 – Establecer funciones de soporte

3.58 Entrenamiento del usuario final

3.59 Conversión de datos

3.60 Técnicas de cortar y mover (go-live)

3.61 Certificación/Acreditación

3.62 Revisión posterior a la implementación

3.63 Riesgos asociados con el desarrollo de software

3.64 Uso de técnicas estructuradas para el análisis, diseño y desarrollo de software

3.65 Estrategias alternativas para el desarrollo de aplicaciones

3.66 Desarrollo de sistemas orientado a datos

3.67 Desarrollo de sistemas orientado a objetos

3.68 Desarrollo basado en componentes

3.69 Desarrollo de aplicaciones basadas en la Web

3.70 Creación de prototipos

3.71 Desarrollo rápido de aplicaciones

3.72 Desarrollo ágil

3.73 Reingeniería

3.74 Ingeniería inversa o de reversa

3.75 Prácticas de desarrollo/adquisición de infraestructuras

3.76 Etapas de análisis de la arquitectura física del proyecto

3.77 Revisión de la arquitectura existente

3.78 Análisis y diseño

3.79 Borrador de requerimientos funcionales

3.80 Selección de vendedores y de productos

3.81 Redactando los requerimientos funcionales

3.82 Prueba de concepto

3.83 Etapas de planificación de la implementación de la infraestructura del proyecto

3.84 Etapa de adquisición

3.85 Tiempo de entrega

3.86 Plan de instalación

3.87 Plan de prueba de instalación

3.88 Factores críticos de éxito

3.89 Adquisición de hardware

3.90 Pasos para una adquisición

3.91 Adquisición de software de sistema

3.92 Implementación de software de sistema

3.93 Procedimientos de control de cambio de software del sistema

3.94 Prácticas de mantenimiento de los Sistemas de Información

3.95 Perspectiva general del proceso de administración/gestión de cambios

3.96 Implementación de cambios

3.97 Documentación

3.98 Pruebas de los cambios a programas

3.99 Auditando cambios a programas

3.100 Cambios de emergencia

3.101 Actualización de cambios en el entorno de producción

3.102 Riesgos de los cambios (cambios no autorizados)

3.103 Administración/gestión de la configuración

3.104 Herramientas para el desarrollo de sistemas y ayudas a la productividad

3.105 Generadores de código

3.106 Ingeniería de software asistida por ordenador (CASE)

3.107 Lenguajes de cuarta generación (4GLs)

3.108 Prácticas de mejora del proceso

3.109 Reingeniría del proceso del negocio y proyectos de cambio de procesos

3.110 Métodos y técnicas de BPR

3.111 Proceso de benchmarking

3.112 Auditoría y técnicas de evaluación de BPR

3.113 ISO 9126

3.114 Modelo de madurez de la capacidad del software

3.115 Integración del modelo de madurez de capacidad

3.116 ISO 15504

3.117 Controles de aplicación

3.118 Controles de entrada/origen

3.119 Autorización de entrada de datos

3.120 Controles de procesamiento por lote y de balance

3.121 Reporte y manejo de errores

3.122 Integridad de procesamiento por lotes en sistemas en línea o en sistemas de base de datos

3.123 Procedimientos y controles de procesamiento

3.124 Procedimientos de validación y edición de datos

3.125 Controles de procesamiento

3.126 Procedimientos de control de archivos de datos

3.127 Controles de salida

3.128 Aseguramiento de control del proceso de negocio

3.129 Auditoría de los controles de aplicación

3.130 Flujo de las transacciones a través del sistema

3.131 Modelo de estudio de riesgos para analizar los controles de las aplicaciones

3.132 Observar y probar los procedimientos realizados por los usuarios

3.133 Prueba de integridad de los datos

3.134 Integridad de los datos en los sistemas de procesamiento de transacciones en línea

3.135 Sistemas de aplicación de pruebas

3.136 Auditoría continua en línea

3.137 Técnicas de auditoría en línea

3.138 Auditoría del desarrollo, adquisición y mantenimiento de sistemas

3.139 Administración/gestión de proyectos

3.140 Estudio de factibilidad/viabilidad

3.141 Definición de los requerimientos

3.142 Proceso de adquisición del software

3.143 Diseño y desarrollo detallado

3.144 Etapa de pruebas

3.145 Etapa de implementación

3.146 Revisión posterior a la implementación

3.147 Procedimientos de cambios al sistema y proceso de migración de programas

3.148 Sistemas de aplicación del negocio

3.149 Comercio electrónico

3.150 Modelos de comercio electrónico

3.151 Arquitecturas del comercio electrónico

3.152 Riesgos del comercio electrónico

3.153 Requerimientos del comercio electrónico

3.154 Aspectos relacionados con la auditoría y el control del comercio electrónico

3.155 Intercambio electrónico de datos

3.156 Requerimientos generales

3.157 EDI tradicional

3.158 El EDI basado en la Web

3.159 Riesgos y controles de EDI

3.160 Controles en el ambiente de EDI

3.161 Recibo de las transacciones entrantes (Inbound Transactions)

3.162 Transacciones salientes (Outbound Transactions)

3.163 Auditoría de EDI

3.164 Correo electrónico

3.165 Problemas de seguridad del correo electrónico

3.166 Estándares para la seguridad del correo electrónico

3.167 Sistemas de Punto de Venta

3.168 Banca electrónica

3.169 Desafíos de la administración de riesgos en la banca electrónica

3.170 Controles de administración de riesgos para la banca electrónica

3.171 Finanzas electrónicas

3.172 Sistemas de pago

3.173 El modelo de dinero electrónico del sistema de pago

3.174 El modelo de cheques electrónicos del sistema de pago

3.175 El modelo de transferencia electrónica del sistema de pago

3.176 Sistemas integrados de fabricación

3.177 Transferencia electrónica de fondos (EFT)

3.178 Controles en un ambiente de EFT

3.179 Archivo integrado de clientes

3.180 Automatización de oficina

3.181 Cajeros automáticos (ATM)

3.182 Auditoría de ATM

3.183 Sistemas cooperativos de procesamiento

3.184 Sistemas de reconocimiento/respuesta de voz

3.185 Sistemas de orden de respuesta de voz

3.186 Sistema de administración de compras

3.187 Procesamiento de imágenes

3.188 Inteligencia artificial (AI) y sistemas expertos

3.189 Inteligencia de negocio (BI)

3.190 Gobierno de inteligencia de negocio

3.191 Sistema para el soporte de decisiones

3.192 Eficiencia vs eficacia

3.193 Enfoque en la decisión

3.194 Estructuras de un DSS

3.195 Diseño y desarrollo

3.196 Implementación y uso

3.197 Factores de riesgo

3.198 Estrategias de implementación

3.199 Análisis y evaluación

3.200 Características comunes de DSS

3.201 Tendencias del DSS

3.202 Administración de la relación con los clientes

3.203 Administración de cadena de suministros

MÓDULO 4: ENTREGA Y SOPORTE DE SERVICIOS DE TI

4.1 Operaciones de sistemas de información

4.2 Administración de operaciones de SI

4.3 Funciones de control

4.4 Administración de servicios de TI

4.5 Nivel de servicio

4.6 Operaciones de infraestructura

4.7 Operaciones Lights-Out (Operaciones automatizadas no atendidas)

4.8 Funciones de Entrada/Salida de datos

4.9 Personal de entrada de datos

4.10 Contabilidad de trabajos (Job Accounting)

4.11 Preparación de cronogramas (Scheduling)

4.12 Software de creación de cronogramas de trabajo

4.13 Monitoreo del uso de los recursos

4.14 Proceso de manejo de incidentes

4.15 Administración de problemas

4.16 Detección, documentación, control, resolución y reporte de condiciones anormales

4.17 Help Desk/Ayuda (Support/Help desk)

4.18 Proceso de administración de cambios

4.19 Sistemas de administración de bibliotecas de programas

4.20 Software de control de biblioteca

4.21 Integridad de código ejecutable y código fuente

4.22 Comparación de código fuente

4.23 Administración de versiones

4.24 Aseguramiento de la calidad

4.25 Administración de seguridad de información

4.26 Hardware de sistemas de información

4.27 Componentes y arquitecturas de hardware de computadora

4.28 Componentes de procesamiento

4.29 Componentes de entrada y salida

4.30 Tipos de computadoras

4.31 Características comunes de los tipos diferentes de computadoras

4.32 Roles comunes de la computadora

4.33 Bus Serial Universal (USB)

4.34 Tarjetas de memoria

4.35 Identificación de frecuencia de radio (RFID)

4.36 Escribir una vez y leer muchas

4.37 Programa de mantenimiento del hardware

4.38 Procedimientos de monitoreo de hardware

4.39 Administración de la capacidad

4.40 Arquitectura y software de sistemas de información

4.41 Sistemas operativos

4.42 Funciones o parámetros de control de software

4.43 Problemas de integridad de software

4.44 Registro de actividad y opciones de información

4.45 Software de control de acceso

4.46 Software de comunicaciones de datos

4.47 Administración de datos

4.48 Organización de archivos

4.49 Sistema de administración de base de datos (DBMS)

4.50 Arquitectura de DBMS

4.51 Arquitectura detallada de los Metadatos de DBMS

4.52 Diccionario de datos/Sistema de directorio (DD/DS)

4.53 Estructura de base de datos

4.54 Controles de base de datos

4.55 Sistemas de administración de cinta y de disco

4.56 Programas de utillería

4.57 Aspecto de la licencia de software

4.58 Infraestructura de las redes de sistemas de información

4.59 Arquitecturas de red de empresas

4.60 Tipos de redes

4.61 Servicios de red

4.62 Estándares y protocolos de red

4.63 Arquitectura de OSI

4.64 Aplicación del modelo OSI en las arquitecturas de red

4.65 Red de Área Local (LAN)

4.66 Fundamentos y especificaciones de diseño de LAN

4.67 Especificaciones de los medios físicos LAN

4.68 Tecnologías LAN de acceso a medios

4.69 Topologías de red LAN

4.70 Componentes de LAN

4.71 Criterios de selección de la tecnología LAN

4.72 Red de Área Metropolitana (MAN)

4.73 Red de Área Amplia (WAN)

4.74 Técnicas de transmisión de mensajes WAN

4.75 Dispositivos WAN

4.76 Tecnologías WAN

4.77 Protocolo de Punto a Punto (PPP)

4.78 X.25

4.79 Retransmisión de tramas (Frame relay)

4.80 Red Digital de Servicios Integrados (ISDN)

4.81 Modo de Transferencia Asíncrona (ATM)

4.82 Conmutación de Etiqueta de Protocolo Múltiple (MPLS)

4.83 Líneas Digitales de Abonado (DSL)

4.84 Redes Virtuales Privadas (VPN)

4.85 Redes Inalámbricas

4.86 Redes inalámbricas de área amplia

4.87 Redes inalámbricas de área local

4.88 Wired Equivalent Privacy (WEP)

4.89 Redes inalámbricas de área personal

4.90 Redes ad hoc

4.91 Protocolo de aplicación inalámbrica (WAP)

4.92 Infraestructura Pública “Global” de Internet

4.93 TCP/IP y su relación con el modelo OSI de referencia

4.94 Servicios de TCP/IP World Wide Web de Internet

4.95 Terminología general de Internet

4.96 Flujo de datos transfrontera

4.97 Administración y control de red

4.98 Medida del desempeño de la red

4.99 Aspectos de la administración de red

4.50 Herramientas de administración de red

4.51 Aplicaciones en un entorno de red

4.52 Tecnología cliente/servidor

4.53 Middleware

4.54 Auditoría de la infraestructura y de las operaciones

4.55 Revisiones de hardware

4.56 Revisiones del sistema operativo

4.57 Revisiones de la base de datos

4.58 Revisiones de infraestructura e implementación de la red

4.59 Revisiones de control operativo de redes

4.60 Revisiones de las operaciones de SI

4.61 Operaciones de cómputo

4.62 Procedimientos de manejo de archivos

4.63 Control de entrada datos

4.64 Operaciones light a-out (Operaciones automatizadas no asistidas)

4.65 Revisiones de reporte de problemas por la gerencia

4.66 Revisiones de disponibilidad de hardware y de reporte de utilización

4.67 Revisión de cronogramas.

 

MÓDULO 5: PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN

 

Importancia de la administración de la seguridad de la información/gestión

Elementos clave de la administración/gestión de la seguridad de la información

Deberes y responsabilidades de la administración/Gestión de la seguridad de la información

Inventarios de activos de información

Clasificación de los activos de información

Permisos de acceso al sistema

Controles de acceso obligatorios y discrecionales

Problemas de privacidad y seguridad de información

Factores críticos de éxito para la administración de la seguridad de información

Problemas y exposiciones del crimen informático

Tratamiento y respuesta a incidentes de seguridad

Exposiciones y controles de acceso lógico

Exposiciones de acceso lógico

Familiarización con el entorno de la organización de TI

Las vías de acceso lógico

Puntos generales de entrada

Software de control de acceso lógico

Identificación y autenticación

Identificadores de inicio de sesión (Logon ID) y contraseñas

Características de las contraseñas

Las mejores prácticas de identificación y autenticación

Dispositivos de Token (Token Devices), contraseñas de una sola vez

Biométrica

Administración/gestión de la biométrica

Single Sign-on (SSO)

Ingeniería social

Phishing 506

Problemas de autorización

Listas de control de acceso

Administración de seguridad de acceso lógico

Seguridad de acceso remoto

Métodos comunes de conectividad

Acceso remoto usando PDAS

Problemas de acceso con tecnología móvil

Registros (Logging) de auditoría de monitoreo de los accesos al sistema

Derechos de acceso a los logs del sistema

Herramientas para el análisis de pistas (registros/logs) de auditoría

Consideraciones de costes

Restricción y monitoreo de los accesos

Nomenclatura de perfiles para los Controles de Acceso Lógico

Almacenar, recuperar, transportar y descartar información confidencial

Preservando información durante el envío o almacenamiento

Precauciones de almacenamiento soportes específicos

Seguridad de la infraestructura de la red

Seguridad de la LAN

Riesgos y problemas de la LAN

Controles de acceso a llamadas telefónicas (dial-up)

Seguridad cliente/servidor

Riesgos y problemas del cliente/servidor

Amenazas de seguridad inalámbrica y mitigación de riesgos

War driving

War walking

War Chalking

Amenazas y seguridad de Internet

Amenazas a la Seguridad de la Red

Ataques pasivos

Ataques activos

Impacto de las amenazas

Factores eventuales para los ataques en Internet

Controles de Seguridad para Internet

Sistemas de Seguridad Firewall (cortafuegos)

Características generales de los Firewalls

Tipos de Firewall

Firewall de filtrado de paquetes por medio de routers

Sistemas de firewall de aplicación

Firewalls de inspección de estado

Ejemplos de implementaciones de firewall

Problemas de Firewall

Plataformas de Firewall

Sistemas de detección de intrusos (IDS)

Características

Limitaciones

Honeypots y honeynets

Encriptación/Cifrado

Elementos claves de los sistemas de encriptación/cifrado

Sistemas criptográficos de clave privada

Sistemas criptográficos de clave pública

Criptosistema de curva elíptica

Criptografía cuántica

Estándar de encriptación avanzada

Firmas digitales

Sobre digital

Infraestructura de clave pública

Uso de la encriptación en los protocolos OSI

Aplicaciones de sistemas criptográficos

Riesgos de la encriptación y la protección de contraseñas

Virus

Controles de virus y gusanos (Worms)

Controles de procedimiento gerenciales

Controles técnicos

Estrategias de implementación de software antivirus

Voz sobre IP (Voice-over IP)

Problemas de seguridad de VoIP

Central telefónica (PBX)

Riesgos de PBX

Auditoría de PBX

Funcionalidades del sistema PBX

Ataques al sistema PBX

Interceptación de líneas telefónicas de hardware

Conferencia de hardware

Acceso remoto

Mantenimiento

Funcionalidades especiales del fabricante

Funcionalidades de desarrollo y prueba del fabricante

Carga de software y alteración de actualización

Ataques de colapso-reinicio (Crash-Start)

Contraseñas

Auditoría de la estructura de seguridad de información

Auditoría de la estructura de seguridad de información

Revisar las políticas, procedimientos, y estándares escritos

Políticas de seguridad de acceso lógico

Conciencia y entrenamiento formal de seguridad

Propiedad de los datos

Los propietarios de los datos

Los custodios de los datos

El administrador de la seguridad

Los nuevos usuarios de TI

Los usuarios de los datos

Autorizaciones documentadas

Acceso de empleado terminado

Bases de seguridad

Estándares de acceso

Auditoría de acceso lógico

Familiarizarse con el ambiente/entorno de TI

Documentar las vías de acceso

Entrevistar al personal de sistemas

Revisar los reportes provenientes del software de control de acceso

Revisar el manual de operaciones de los sistemas de aplicación

Técnicas para probar la seguridad

Uso de tarjetas y llaves para el uso de terminales

Identificación de terminales

Identificadores de inicio de sesión (Logon-IDS) y contraseñas

Controles sobre los recursos de producción

Bitácora y reporte de las violaciones de acceso a las computadoras

Seguimiento de las violaciones de acceso

Identificar los métodos para evadir la seguridad y los controles compensatorios

Revisar los controles de acceso y la administración de las contraseñas

Técnicas de investigación

Investigación de crimen de computadora

Protección de evidencia y cadena de custodia

Auditoría de seguridad de infraestructura de red

Auditoría del acceso remoto

Auditoría de los “Puntos de presencia” de Internet

Pruebas de penetración de la Red

Revisiones totales de evaluación de la Red

Evaluaciones de redes LAN

Desarrollo y autorización de cambios de Red

Cambios no autorizados

Cómputo forense

Exposiciones y controles ambientales

Problemas y exposiciones ambientales

Controles para las exposiciones ambientales

Panel de control de alarmas

Detectores de agua

Extintores manuales de incendios

Alarmas manuales de incendios

Detectores de humo

Sistemas de supresión de incendios

Ubicación estratégica de la sala de computadoras

Inspección periódica por el Departamento de Bomberos

Paredes, pisos, cielorrasos a prueba de incendios alrededor del Centro de Cómputo

Protectores de voltaje

Suministro/Generador de Energía Eléctrica Ininterrumpida (UPS)

Interruptor de energía de emergencia

Líneas de energía provenientes de dos subestaciones

Alambrado colocado en los paneles eléctricos y conductos

Actividades inhibidas dentro del centro de procesamiento de información

Materiales de oficina resistentes al fuego

Planes documentados y probados de evacuación de emergencia

Auditoría de los controles ambientales

Detectores de agua y de humo

Extintores manuales de incendio

Sistemas de supresión de incendios

Inspección periódica del Departamento de Bomberos

Paredes, pisos, cielorrasos a prueba de incendios alrededor del Centro de Cómputo

Protectores de voltaje

Líneas de energía provenientes de dos subestaciones

Plan totalmente documentado y probado de la continuidad del negocio

Alambrado colocado en paneles y conductos eléctricos

UPS/Generador

Planes documentados y probados de evacuación durante emergencias

Control de humedad/temperatura

Exposiciones y controles de acceso físico

Problemas y exposiciones de acceso físico

Exposiciones de acceso físico

Posibles perpetradores

Controles de acceso físico

Auditoría al acceso físico

Computación móvil

 

MÓDULO 6: CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN DE DESASTRES

 

Planificación de la continuidad del negocio/recuperación de desastres

Planificación de la continuidad del negocio/recuperación de desastres de SI

Desastres y otras interrupciones

Tratando con daños a la imagen, la reputación o la marca

Proceso de BCP

Política de continuidad del negocio y recuperación de desastres

Administración de incidentes dentro de BCP

Análisis del impacto al negocio

Clasificación de las operaciones y análisis de la criticidad

Objetivo de punto de recuperación y objetivo de tiempo de recuperación

Estrategias de recuperación

Alternativas de recuperación

Tecnologías de recuperación

Obtención de hardware alternativo

Desarrollo de planes de continuidad del negocio y recuperación de desastres

Organización y asignación de responsabilidades

Otros aspectos a tener en cuenta en el desarrollo del plan

Componentes de un BCP

Personal clave para la toma de decisiones

Respaldos de los suministros requeridos

Métodos de recuperación de desastre de las redes de telecomunicaciones

Arreglo redundante de discos baratos (RAID)

Descripción de los niveles de RAID

Seguros 650

Prueba del plan

Especificaciones

Ejecución de pruebas

Documentación de resultados

Análisis de resultados

Mantenimiento del plan

Respaldo (backup) y recuperación

Controles de la biblioteca en el sitio alterno

Seguridad y control de las instalaciones alternas (off-site)

Respaldos de los medios y de la documentación

Procedimientos periódicos de copias de respaldo

Frecuencia de rotación

Tipos de medios y documentación rotada

Método de rotación

Mantenimiento de los archivos almacenados en el sitio alterno

Mejores prácticas de administración de la continuidad del negocio (Management

best practices-BCM)

Resumen de continuidad del negocio y recuperación de desastres

Auditoría al plan de continuidad del negocio/recuperación de desastres

Revisión del plan de continuidad del negocio (BCP)

Evaluación de los resultados de las pruebas anteriores

Evaluar el sitio de almacenamiento alterno

Entrevistar al personal clave

Evaluar la seguridad del sitio alterno

Revisar el contrato de procesamiento alternativo

Revisar la cobertura de seguros

Vacaciones requeridas

Políticas de terminación de contrato

Prácticas de sourcing