Auditoria de Sistemas

Listado de Temas del curso consultas al mail: stmas@speedy.com.pe

viernes, agosto 04, 2006

Tema 4 - Seguridad y Administracion de Informatica

SEGURIDAD Y ADMINISTRACION DE EQUIPOS DE CÓMPUTO

La importancia de una auditoria de los equipos de cómputo es en cuanto a la eficiencia y desempeño de los sistemas auditados, haciendo esto que generen mas confiabilidad en su utilización.

•Crear una evaluación para la manera o forma en que esta configurada actualmente la unidad informática considerando las aplicaciones y uso del equipo, así como también la eficiencia con la que se suplen todas las necesidades del usuario.

•Poner en práctica procedimientos para evitar las interrupciones del servicio de procesamiento de datos, información ya sea por negligencias y / o percances no previstos .

•Hacer una verificación de los diferentes controles de mantenimiento existentes para los equipos de computación.

•Asegurar que exista documentación de los equipos que se interrelacionan dentro de la unidad de informática, que bien puede ser documentos de compra, manuales, etc.



Controles y Procesos a considerar

•Para poder realizar una buena auditoria es necesario de disponer de una serie de información que se complemente con los datos coleccionados por los auditores; hay aspectos que se deben aplicar a todas la auditorias solo que enfocadas al área que se evalúa. El trabajo de la auditoria de sistemas comprende aspectos de software y hardware, de aquí que muchos controles y procedimientos sean aplicables para ambos.


•Para tener una buena administración por proyectos se requiere que el personal de auditoria involucrado elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado.




Planeación de la Auditoria


Para hacer una adecuada planeación de la auditoria, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:


- Evaluación de los sistemas y procedimientos.
-
Evaluación de los equipos de cómputo.



Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.



Contratos sobre equipos


Es muy necesario de que los auditores examinen y controlen los diferentes contratos sobre los equipos a la hora de adquirirlos, considerando los siguientes puntos.


•Se dispone de copias firmada de los contratos o facturas de los proveedores para cada plazo de equipo comprado o alquilado.
•Se dispone de copia de los contratos de mantenimiento para cada pieza de equipo..

•¿Se cumplen consistentemente los términos de los contratos?. ¿Se evita cuando sea posible los cargos por alquiler extra o tiempo de mantenimiento no programado?.
•¿Se revisan por el departamento legal los contratos para ventas, venta, alquiler o renta de equipos?


Controles sobre adquisición de equipo

Es de mucha importancia tomar medidas de control a la hora de realizar compras de equipo; para ello se deben de tomar en cuenta los siguientes puntos:



•Se debe tener controles estratégicos sobre el inventario físico y la facturación; se debe contar con una adecuada separación de las funciones entre las ordenes de compra de los equipos y la aprobación de las facturas, controlar si el equipo se deprecia.

•Hay que tener un control entre las facturas mensuales y las cantidades contratada por el uso del equipo, se debe revisar por alguien en el centro de cómputo las facturas mensuales específicamente para verificar su exactitud y aprobación de pagos.

•Las facturas de los equipos no se deben retener en los centros de computo.
•Entre otros

Orden en el Centro de Computo



Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cómputo. Los dispositivos del sistema de cómputo, los archivos, pueden ser dañados si se manejan en forma inadecuada y eso puede traducirse en perdidas irreparables de información o en costos muy elevados en la reconstrucción de archivos.


Controles

CONTROL MEDIOS DE ALMACENAMIENTO MASIVO

Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia de la cual se presta servicio. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que servirán de base a registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de información), principalmente en el caso de las cintas.



CONTROL DE MANTENIMIENTO

•Existen básicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno.

•El segundo tipo de mantenimiento es “por llamada”, en el cual en caso de descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo(casi todos los proveedores incluyen, en la cotización de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones.


•El tercer tipo de mantenimiento es el que se conoce como “en banco”, y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y este hace una cotización de acuerdo con el tiempo necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el adecuado para computadoras personales).

Evaluación de la configuración del centro de computo

Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual
el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática.
Esta orientada a:


•Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo.
•Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.
•Evaluar la utilización de los diferentes dispositivos periféricos.

Seguridad

SEGURIDAD FÍSICA
Se establecen políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, información debido a contingencias y continuar en medio de emergencia hasta que sea restaurado el servicio completo.
Entre algunas de las precauciones que se deben revisar están:

•En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso.

•En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil utilizarlos.

•También se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso.

•Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente controladas para evitar robos por medio de estas salidas.

•Los materiales más peligrosos son las cintas magnéticas que al quemarse, producen gases tóxicos y el papel carbón que es altamente inflamable.

SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO
En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar que puedan producir algún deterioro a los sistemas si no se toman las siguientes medidas:
1.Se debe restringir el acceso a los programas y a los archivos.
2.Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y no deben modificar los programas ni los archivos.
3.Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados.
4.No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.
5.Se deben realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos.
6.Se deben monitorear periódicamente el uso que se le está dando a las terminales.
7.Se deben hacer auditorias periódicas sobre el área de operación y la utilización de las terminales.
8.El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente.
9.Deben existir registros que reflejen la transformación entre las diferentes funciones de un sistema.
10.Debe controlarse la distribución de las salidas (reportes, cintas, etc.).
11.Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos.
12.Se debe tener un estricto control sobre el acceso físico a los archivos.
13.En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versión.

SEGURIDAD AL RESTAURAR EL EQUIPO
Se deben definir planes de recuperación y reanudación, para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de recuperación disponibles en el ámbito operativo pueden ser algunas de las siguientes:

1.En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso.
2.Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada.

3.El procesamiento anterior complementado con un registro de las transacciones que afectaron a los archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partir de él reanudar el proceso.

4.Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia.

5.Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

Procedimiento de respaldo en caso de desastre
Se debe establecer en cada dirección de informática un plan de emergencia el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento como información para ayudar a la recuperación de interrupciones en la operación del sistema de cómputo.
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia, se tenga la seguridad que funcionará. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos.
Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber diferencias en la configuración, el sistema operativo, en disco etc.


Conclusión
•La Auditoria de Sistemas, comprendemos que su utilidad para las empresas ya sean pequeñas, medianas o grandes que poseen unidades de informática, es muy valiosa, ya que por medio de esta podemos asegurarnos de que todos los equipos dentro de la unidad de informática están debidamente evaluados, revisados y respaldados para posibles cambios en su configuración, con un bajo costo, la cual puede ser de Hardware o procedimientos, métodos o técnicas.

•También es importante al momento de evaluar los controles y los procedimientos ya establecidos, así como la seguridad que existe dentro de la unidad de informática, que puede crear un entorno adecuado para el almacenamiento seguro, y su mantenimiento en general.