Trabajo practico de Auditoria Informatica

Tema: Auditoria en Entornos de Hardware

Alumno: Donald Marcelo Flores

Universidad Catolica Campus Itapua

Ao 2011

Introduccin
En la actualidad las organizaciones se apoyan en gran medida de la confiabilidad y presicin de los datos proporcionados por los sistemas de infromacin computarizados, pero existen numerosos riesgos, que si no son tenidos en cuenta podria colocar a la misma en una situacion desventajosa y hasta provocar su extincin. En el presente trabajo describimos sobre los aspectos a tener en cuenta en la planificacin estrategica de la auditoria en los entornos de hardware. La evaluacin de la utilidad del hardware, las normas para la adquisicin de nuevo hardware, las politicas para la utilizacin de los equipos por parte del personal, los aspectos para el cuidado en lo referente a la seguridad fisica de la instalacin y los planes de contingencia ante los posibles desastres que se puedan presentar en la organizacin.

Verificacin de utilidad del hardware

Los objetivos son evaluar la configuracion actual, tomando en consideracn las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las politicas seguidas por la unidad de informatica en la conservacin de su programoteca. Esta verificacin esta orientada a: 1. Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo (computadoras, unidades perifericos, redes, sistemas de comunicacin) con la carga de trabajo actual, o de comprar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. 2. Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. 3. Evaluar la utilizacin de los diferentes dispositivos perifricos. Para ello es bueno llevar a cabo un custionario con el fin de optener informacin sobre las capacidades y tambien referente al tiempo de uso del equipo en cuestin, obtener informacin si el equipo esta o no conectado a la red, tambien si el tiempo de respuesta por parte de hardware es el indicado o si se piensa que podria ser mejor.

Normas para utilizacin de equipos.

En la actualidad los programas y equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se tomas las siguientes medidas: 1. Se debe restringir el acceso a los programas y a los archivos 2. Los operadores deben trabajar con poca supervisn y sin la participacin de los programadores, y no deben modificar los programas ni los archivos. 3. Se debe asegurar que en todo momento que los datos y archivos usados sean los adecuados, procurando no usr respaldos inadecuados. 4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar los terminales. 5. En los casos de informacin confidencial, esta debe usarse, de ser posible, en forma codificada o criptografiada. 6. Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. 7. Se debe monitorear periodicamente el uso que se les esta danto a las terminales. 8. Se debe hacer auditorias periodicas sobre el area de operacin y utilizacin de las terminales. 9. El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto se lograra por medio de controles adecuados, los cuales deben ser definidos desde el momento del diseo generan del sistema. 10. Debe existir una perfecta divisin de responsabilidades entre los capturistas de datos y los operadores de computadora, y entre los operadores y las personas responsables de las libreras. 11. Debe existir registros que reflejan la transferencias de informacin entre las diferentes funciones de un sistema. 12. Debe controlarse la distribucin de las salidas(reportes, cintas, etccetera). 13. Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad; por ejemplo los bancos. 14. Se deben tener un estricto control sobre el transporte de discos y cintas de la sala de computo al local de almacenaje distante. 15. Se debe controlar e identificar perfectamente los archivos. 16. Se debe tener estricto control sobre el acceso fisica a los archivos. 17. En el caso de programas, se debe asignar a cada uno de ellos una clave que identifique el sistema, subsistema, programa y versin. En los sistema de cmputo en que se tiene sistemas en tiempo real, base de datos y red de computadoras, se deben tomar medidas de alta seguridad en: 1. 2. 3. 4. 5. 6. 7. Equipos, programas y archivos. Control de aplicaciones por terminal. Definir estrategia de seguridad de la red y de respaldos. Requerimientos Fisicos. Estandrt de Aplicaciones y Control. Estandrt de Archivos Auditoria interna en el momento del diseo del sistema, de su implementacin y puntos de verificacin y control.

Normas de seleccion del hardware.

El equipo que se adquiere dentro de una organizacin debe de cumplir con el esquema de adquisicin de toda la organizacin. En lo posible, se deben tener equipos estandares dentro de la organizacin, a menos que por requerimientos especficos se necesite un equipo con caracteristicas distintas. Esto no implica que los equipos tengan que ser del mismo proveedor, aunque s deben tener la misma filosofa. Las compras por impulso u oportunistas pueden provocar que se tegan diferentes equipos, modelos, estructuras y filosofas. Esto puede provocar problemas de compatibilidad, expansin y de confianza. Tener diferentes plataformas de programacin, sistemas operativos, bases de datos, equipos de comunicacin y leguajes propietarios, provoca que se incrementen los costos, que se haga mas problemtico el mantenimiento, que se requiera personal con diferente preparacin tcnica, y que se necesiten diferentes programas de capacitacin. En la actualidad cada da las computadoras son ms poderosas y menos costosas, y las organizaciones tambien cada da dependen ms de las computadoras, asi es que existe la tendencia de comprar cada da computadoras ms poderosas, sin considerar que en el futuro existirn computadoras ms poderosas a menor precio. La decisin de adquirir o cambiar una computadora debera estar basda en un estudio muy detallado que demuestre el incremento de los beneficios en relacin con su costo, y en la relacin costo/beneficio de los equipos actuales. Los criterios para seleccionar hardware son: Equipos: 1. La configuracin debe estar acorde a las necesidades de la carga del procesamiento de datos. 2. Debe tener una capacidad de crecimiento vertical (en el mismo equipo), horizontal (con otros equipos). 3. Fabricante de calidad (muy bueno), reconocido prestigio mundial. 4. Tiempo de garanta. 5. Tecnologa de "punta" (Alta). Proveedor: Debe tener las siguientes caractersticas: 1. Reconocido prestigio local. 2. Soporte de mantenimiento: personal especializado, stock de repuestos. 3. Tiempo de atencin, local apropiado, comunicacin rpida. 4. Cartera de clientes con equipos equivalentes a los adquiridos. Tiempo de entrega oportuno. Precios: Se debe considerar lo siguiente: 1. Condiciones de pago. 2. Detallado por componentes de la configuracin. 3. Descuentos por volumen. 4. Costo de mantenimiento.

Seguridad fisica
El objetivo es establecer polticas, procedimientos y prcticas para evitar que las interrupciones prolongadas del servicio de procesamiento de informacin, debudi a contingencias como incendios, inundaciones, huelgas, disturbios, sabotajes, terremotos, huracanes, etc., y continuar en un medio de emergencia hasta que sea restaurado el servicio completo. Ubicacin y Construcion del Centro de Computo En la Actualidad se considera extremadamente peligroso tener el centro de cmputo en las areas de alto trafico de personas, o bien en un lugar cercano a la calle o con un alto nmero de invitados. Otros elementos referentes al material y construccin del edificio del centro de computo con los que se debe tener precaucin son los materiales altamente inflamables, que despiden humos sumamente txicos, o las paredes que no quedan perfectamente selladas y despiden polvo, los cuales deben ser evitados. En lo posible tambien se debe tomar precauciones en cuanto a la orientacin del centro de cmputo y se debe evitar, en lo posible, los grandes ventanales, los cuales ademas de permitir la entrada del sol, son riesgosos para la seguridad del centro de computo. Las dimensiones mnimas del centro de cmputo deben determinarse por la cantidad de componentes del sistema, el espacio requerido para cada unidad, para su mantenimiento, el rea de operacin. Ademas en el centro de cmputo se debe prever espacio para lo siguiente: 1. Almacenamiento magnetico 2. Formatos y papel para impresora 3. Mesas de trabajos y muebles 4. Area y mobiliario para mantenimiento 5. Equipo de telecomunicaciones 6. Area de programacin 7. Consolas del Operador 8. Area de recepcin 9. Microcomputadoras 10. Fuentes de Poder 11. Bveda de seguridad. Con los archivos maestros que deben ser guardados antiincendios con proteccin maxima. Piso elevado o camara plena Pisos falsos: En la actualidad este requerimiento solo es necesario o deseable para macrocomputadoras, por lo que habria que verificar con el proveedor la necesidad de contar con l. Una ventaja del piso falso es que permite organizar el tendido y proteccin del cableado y facilitan el reacomodo del sistema. Se recomienda que el acabado del piso sea de plastico antiestatico y que la superfici del piso elevado tenga 45 cm de alto, cuando es usado como camara plena de aire acondicionado. La altura del plafn, desde el piso falso terminado, debe ser de 2.4m. Asimismo, los paneles del piso elevado

deben poder ser removidos fcilmente para permitir la instalacin del cableado del sistema y ser de fcil limpieza con trapo hmedo o aspiradora. Aire Acondicionado El equipo de A.A es otro de los dispositivos que dependern del tipo de computadora que se utilice y del lugar donde est instalado, para lo cual se recomienda verificar con el proveedor la temperatura mnima y mxima, asi como la humedad relativa en la que debern trabajar los equipos. Los ductos de A.A son una fuente de incendio muy frecuente, son susceptibles a ataques fsicos, especialmente a travz de los ductos. Se deben instalar redes de proteccin en todo el sistema de ductos, tanto exteriores como interiores, y deber contarse con detectores de humo que indiquen la posible presencia de fuego. Se recomienda que la presin de aire en la sala de cmputo sea ligeramente superior a la de las reas adyacentes, para reducir asi la entrada de polvo y suciedad. Instalacin electrica y Suministro de Energia Uno de los dispositivos que deben ser evaluados y controlados con mayor cuidado es la instalacin elctrica, ya que no solamente puede provocar fallas de energa que pueden producir prdidas de informacin y de trabajo, sino que tambien es uno de los principales provocadores de incendios. El auditor se debe valer de la asesoria de un experto en esta area para poder evaluar el estado del sistema auditado. Los cables del sistema elctrico deben estar perfectamente identificados(positivos, negativos y tierra), lo mas frecuente es identificarlos por medio de colores. Deben existir conexiones independientes para los equipos de cmputo, ademas deben estar identificados y contar con conexin a tierra fisica, lo cual protegera a los equipos contra cortocircuitos en caso de una descarga. Los planos de la instalacin electrica deben estar debidamente actualizados. La tierra fsica debe estar perfectamente instalada de acuerdo con las especificaciones del proveedor, dependiendo de la zona en que est instalado el equipo y de las caractersticas de ste. Se debe tener una proteccin contra roedores o fauna nociva en los cables de sistema elctrico y de comunicaciones. Es comun que los roedores se coman el plastico de los cables. Los reguladores son dispositivos elctricos que reducen el riesgo de tener un accidente por los cambios de correinte. Dichos protectores son comnmente construidos dentro de un sistema de correinte ininterrumpido denominado UPS.

Planes de desastre
Los accidentes pueden surgir por un mal manejo de la administracin, por negligencia o por ataque deliberados hechos por ladrones, por fraudes, sabotajes o bien por situaciones propias de las organizacin. El trabajar con posibilidad de que ocurra un desastre es algo comn, aunque se debe evitar en lo posible y palnear de antemano las medidas en caso de que esto ocurra. El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad de que funcionar. Segn una de los ocho grandes firmas estadounidenses de contadores publicos, los planes de seguridad deben: 1. Garantizar la integridad y exactitud de los datos 2. Permitir identificar la informacin confidencial, de uso exclusivo o delicada. 3. Proteger los activos de desastres provocados por la mano del hombre y por actos abiertamente hostiles y conservarlos. 4. Asegurar la capacidad de la organizacin para sobrevivr a accidentes 5. Proteger a los empleados contra tentaciones y sospechas innecesarias 6. Proteger a la Administracin contra cargos por imprudencia. La prueba del plan de contingencia o emergencia debe hacerse sobre la base de que un desastre es posible y que se ha de utilizar respaldos (posiblemente en otras instituciones). Habra que cambiar la configuracin y posiblemente se tengan que usar algunos metodos manuales considerando que la emergencia puede existir. Se deben evitar suposiciones que, en un momento de emergencia, vuelvan inoperante el respaldo. El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. Los de desastres pueden clasificarse de la siguiente manera: 1. Destruccin completa del centro de cmputo 2. Destruccn parcial del centro de cmputo 3. Destruccin o mal funcionammiento de los equipos auxiliares del centro de cmputo(Electricidad, Aire Acondicionado, etctera). 4. Destruccin parcial o total de los equipos descentralizados. 5. Perdida total o parcial de informacin, manuales o documentacin. 6. Perdida del personal clave. 7. Huelga o problemas laborales. El plan de contingencia es definido como: la identificacin y proteccin de los procesos crticos de la organizacin y los recursos requeridos para mantener aceptable el nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacin en caso de desastre. Para la preparacin del plan se seleccionar el personal que realice las actividades clave de ste. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direcion de informatica. Cada uno de ellos debe tener tareas especficas, como la operacin del equipo de respaldo, la interfase administrativa y la de logstica. Cada miembro del

grupo debe tener asignada una tarea y contar con una persona de su respaldo. Se debera elaborar un directorio de emergencia con telefonos particulares que contenga adems los nombre y direcciones. Este debera estar almacenado en un lugar seguro y accesible. Entre los objetivos del paln de contingencia se encuentran: 1. Minimizar el impacto de desstre en la organizacin 2. Establecer tareas para evaluar los procesos indispensables de la organizacin. 3. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travz de una buena metodologa. 4. Determinar el costo del paln de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos criticos de la orgranizacion cuado ocurra una interrupcin de las operaciones. La metodologa del plan de contingencias determina los procesos crticos de la organizacin para restablecer sus operaciones y debe tomar en cuanta ser eficaz y eficiente, los aspectos legales, el impacto de servicio al cliente y los siesgos para que sobreviva la organizacin. El plan de contingencias debe contemplar lo siguiente: 1. 2. 3. 4. 5. La naturaleza, la extencin y la complejidad de las actividades de la organizacin. El grado de riesgo al que la organizacin est expuesta. El tamao de las instalaciones de la organizacin. La evaluacin de procesis crticos. La formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. 6. La justificacin del costo de implementar las medidas de seguridad Entre las etapas del proyecto del plan de contingencias estn: 1. 2. 3. 4. 5. Anlisis del impacto en la organizacin Seleccin de la estrategia Preparacin del plan Prueba Mantenimiento