24532491-leccion-8-4-1-auditoria-de-hardware

EMPRESA: IDSystemsUNIVERSIDAD NACIONAL FEDERICO VILLARREAL GRUP. N. 8

8.4.1 AUDITORIA DE HARWARE

1. INTRODUCCION

A medida que una empresa incrementa su grado de informatizacion aumenta progresivamente el tratamiento de la informacion. Asi, muchas de las actividades empresariales dependen de la exactitud y seguridad de la informacion con que se opera.

Cualquier distorsion cobra cada vez mayor vigencia la maxima que dice que la informacion de una empresa es parte importante de su activo y, en consecuencia, toma relevante importancia el garantizar su calidad e integridad.

A tal fin, la auditoria del entorno hardware vendra a verificar la seguridad no solamente en la operativa de los componentes materiales del ordenador, sino de todo lo relativo a los aspectos fisicos concernientes al departamento de procesos de datos.

En este capitulo se pretende un acercamiento a la auditoria del entorno operativo hardware: sus objetivos, formas de actuacion, puntos a revisar, recomendaciones a tener en cuenta, etc.

Se incluyen tambien unas paginas dedicadas a los planes de contingencia y desastre. Concluye el capitulo con un cuestionario-guia de auditoria.

Y como hemos visto a lo largo de este curso de Administracion de Centros de Computo, generalmente la Auditoria Informatica en el area de Hardware utiliza alguno de las herramientas de software que para tal fin fueron creadas, y las cuales abundan.

2. OBJETIVOS DE AUDITORIA

Para "aterrizar" en el tema objeto de este capitulo se enumeraran algunos de los objetivos de la auditoria informatica del entorno hardware:

- Determinar si el hardware se utiliza eficientemente

1


- Revisar los informes de la direccion sobre la utilizacion del hardware- Revisar si el equipo se utiliza por el personal autorizado.- Examinar los estudios de adquisicion, seleccion y evolucion del hardware- Comprobar las condiciones ambientales- Revisar el inventario hardware- Verificar los procedimientos de seguridad fisica- Examinar los controles de acceso fisico- Revisar la seguridad fisica de los componentes de la red de teleproceso- Revisar los controles sobre la transmision de los datos entre los perifericos y el ordenador- Comprobar los procedimientos de prevencion/deteccion/correccion frente a cualquier tipo de desastre- Colaborar en la confeccion de un plan de contingencias y desastres.

3. AUDITORIA INFORMATICA DEL ENTORNO HARDWARE

Como ya se decia al principio del capitulo, cuando se utiliza el termino "hardware" se estan englobando todos aquellos aspectos materiales, fisicos, es decir que "se ven" y "se tocan", dentro de la funcion informatica de la empresa.

Por ello, cuando el auditor informatico planifique su revision del entorno hardware, debe pensar tanto en examinar las seguridades y por contra las debilidades de los componentes fisicos del equipo, de las comunicaciones, etc., y tambien, por supuesto, de las seguridades fisicas de la instalacion donde se ubica el centro de proceso de datos.

Cuando se audita la seguridad de los componentes materiales (unidad central y perifericos) debera tenerse presente que la multiprogramacion añade riesgos adicionales por las posibles interacciones entre usuarios que pueden provocar que de modo accidental o provocado se interfieran datos o programas de otro usuario a los que en principio deberia estar restringido el acceso. Por consiguiente, deberan tomarse medidas para evitar este tipo de problemas. Estas pueden en su mayor parte estar bajo la supervision del software, si bien el hardware debe asumir una postura conveniente.

El auditor debera vigilar que se han implantado determinadas medidas hardware para garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su informe de recomendaciones a que tales medidas se hagan efectivas.

Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margen de seguridades. Cuando la informacion se encuentra en la memoria central se la puede proteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoria y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque o palabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimiento de llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de proteccion y a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si una instruccion de un programa hace referencia a una direccion de memoria contenida en un bloque determinado, se comprobara si la llave del programa puede abrir la cerradura del bloque en cuestion.

Claramente el sistema debera estar provisto de una llave maestra para acceder a todas las particiones de memoria. Otro procedimiento de proteccion de memoria central es el de los registros limites, segun el cual a cada programa se asignan dos registros que contienen respectivamente la primera y la ultima direccion de

2


memoria a las que puede acceder ese programa. Todas las direcciones referenciadas por el programa deberan estar comprendidas entre los limites citados.

Hay por supuesto, mas metodos de proteccion como el que se puede establecer en la conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion enumerar una larga lista.

Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno que el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo, la paridad.

Las redes de transmision son otro punto delicado dada su fragilidad, ya que un experto puede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarse precauciones si la confidencialidad de la informacion a transmitir asi lo requiere.

Los dispositivos hardware para el manejo de errores introducidos por la comunicación ofrecen la ventaja de eliminar la comprobación por parte del hombre, especialmente en aquellos casos en que esto último sea un tanto dificil, por ejemplo, por la velocidad de transmisión y recepción.

Además de los controles que se deberán establecer a la entrada de las aplicaciones de usuario cuando éstas manejen datos recibidos de una transmisión' y que valorarán los códigos y valores sensibles, existen una serie de técnicas usadas en la detección de errores como son: la utilización de bloques de redundancia cíclica; la comprobación del eco y la consiguiente retransmisión de datos erróneos; la inclusión de paridad en los mensajes (longitudinal, transversal, diagonal): caracteres de comprobación; registros sumarios; códigos polinómicos, etcétera. Para concluir estas líneas que se están dedicando a la auditoria de las comunicaciones se citarán algunos otros puntos que no deben escapar del examen del auditor:

- Se revisará la documentación sobre los aspectos técnicos y configuración de la red, así como los procedimientos de recuperación y rearranque, al objeto de evitar en la medida de lo ãosible las fuertes dependencias personales que puedan proucirse.

- Se comprobarán los analisis y controles de rendimientos de la red y puestas a punto correspondientes para mejorar los tiempos de respuesta.

- Debe examinarse que efectivamente se está realizando una supervisión de la actividad diaria del teleproceso mediante la revisión del «logging› que proporciona el sistema y no sólo ante eventuales incidencias como suele ser norma en muchas instalaciones.

- Si el teleproceso es un elemento de importancia critica en las funciones de la entidad debera verificarse que existen los adecuados elementos de respaldo para la red de teleproceso de modo que ante fallos de elementos claves (concentradores, ordenadores para comunicaciones, controladores, etc.) la actividad del centro no se vea paralizada. En determinados casos puede ser interesante desarrollar un estudio de viabilidad para la implantación de una versión más reducida del teleproceso de forma que se garantice, cuanto menos, la continuidad de las transacciones vitales en espera de la total restauración de servicio tras una caida grave.

La seguridad fisica del local donde se instalará el centro del proceso de datos es una cuestión que afortunadamente preocupa cada vez más no ya sólo a los responsables del proceso de datos, sino también a la dirección general a quien, como se sabe, no siempre es fácil concienciar de los temas que afecten a las funciones informaticas.

3


Todavia se encuentran hoy ordenadores en unas condiciones peregrina; y en los lugares más inverosimiles pero como se está diciendo, la concienciación es cada vez mayor y ya la alta dirección suele sentirse sensible ante la denuncia de un evidente riesgo de inundación por lo deficiente de la instalación. o las posibles influencias de un campo electromagnético próximo al computador.

A la hora de auditar la ubicación del Centro de Procesamiento de Datos (C.P.D) se deberán observar unas precauciones elementales:

- Riesgos naturales procedentes del entorno en que se asienta el centro, tales como inundaciones por desbordamiento de presas, rios, etc.; descargas eléctricas; vientos fuertes... En la mayoria de los casos la elección de ubicación deberá restringirse al interior de un edificio por lo que la posibilidad de prevención de tales riesgos es practicamente nula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible es realizar un análisis de las posibles causas de siniestralidad natural, para minimizar sus consecuencias en la medida de lo posible.

- Riesgos de vecindad derivados de construnciones, edifidos y obras públicas próximos al lugar de ubicación y que pueden aumentar el peligro de incendio (una fabrica vecina de productos inflamables), de vibraciones, de ruidos, etc. En este caso se puede apuntar lo que ya se citó en el punto anterior sobre lo inevitable de la situación pero, al igual que se decia alli, evalúense también estos riesgos en aras de disminuir sus efectos.

-Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamiento excesivo de papeles. combustibles, polvo, peligros todos ellos más controlables que los de los puntos anteriores.Según se ha visto, los eventuales riesgos: los queestå sometido el edificio son inevitables a menos que se pida la opinión experta del auditor-consultor cuando se vaya a instalar el C.P.D.Lo que si sera corregible en una adecuada operación de revisión son las condiciones de seguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran las siguientes lineas.Los elementos primarios en la configuración de la sala son el falso piso, el suministro de energia, la insonorización y el acondicionamiento de aire. En un paso posterior se revisarán las prevenciones necesarias contra el fuego, el agua, el hombre. etc.

-Falso suelo: es una construcción necesaria para aislar y proteger los tables de conexión de los distintos aparatos y facilitar la conducción del aire acondicionado. Este suelo será indeíormable, resistente a la humedad y a los excesos de peso mal repartidos -la concentración de peso por metro cuadrado que ofrece un ordenador es importante-. y estara compuesto por baldosas independienmes y removibles separadamente para facilitar las operaciones de mantenimiento. Por supuesto que estará fabricado en un material que no transmita ni la electri-cidad ni las vibraciones.

-Suministro de energia: la fuerza eléctrica que alimenta al ordenador puede sufrir variaciones, picos, cortes, que producirán turbulencias en el funcionamiento dela máquina. Por ello, cuando por las condiciones ambientales estos hechos se repiten con cierta frecuencia, sera casi obligado la instalación de fuentes de alimentación ininterrumpida (UPS), dispositivos libres de este tipo de fluctuaciones. Se vigilará que se hacen revisiones periódicas del funcionamiento de tales dispositivos.

- lncluir la lucha contra el agua en el plan de formación del personal ante situaciones de emergencia.

Los campos magnéticos, como es sabido, afectan gravemente a cintas y discos alterando su información o provocando su borrado. Es posible que existan elementos ajenos a la instalación situados en el exterior del

4


centro, como una potente torre eléctrica o un radar, que induzcan campos que alteren los dispositivos magnéticos. De ser asi, superficies metálicas colocadas en los muros servirán de reflectores de las señales.

La libre circulación de personas por la sala del ordenador condiciona la seguridad de la informática. No es infrecuente observar esta libre circulación sobre todo en centros de envergadura media o pequeña, a pesar de que en casi todos ellos la señalización de restricción de acceso sólo al personal autorizado, es bien visible.

Para la implantación de controles de acceso se tendrá lógicamente en cuenta la idiosincracia del centro de cálculo. En instalaciones pequeñas puede servir una adecuada concienciación del personal ajeno al servicio sobre el cumplimiento de las limitaciones de paso, mientras que en instalaciones grandes donde el grado de seguridad tenga que mantener unas altas cotas, las soluciones pueden pasar por la utilización de medios mecánicos, electrónicos, o incluso por la utilizadón de personal de seguridad.

Ademas de la protección de los accesos de personal ajeno al C.P.D., se impondran también restricciones de movimiento al personal del propio servicio dentro de las áreas del departamento –un programador por el simple hecho de serlo no tiene porque tener libertad de movimientos dentro de la sala del computador y mucho menos de acción en la consola del sistema-. Una primera división incluirá al menos cuatro zonas basicas con derechos de acceso diferentes:

- Sala de ordenadores.- Zona de preparación de trabajos.- Bandoteca (cintas. discos. etc.).- Zonas de analistas y programadores.

Asl, por ejernplo, a la bandoteca solo tendria acceso el bibliotecario de soportes, o a la sala exclusivamente el personal imprescindible para la operacion del ordenador, instaurandose los procedimientos de autorización oportunos para el acceso de personas diferentes de las mencionadas.

Como medidas adicionales se evitara la existencia de otras puertas de acceso o de ventanas en la sala del computador; la zona de recepción de listados será exterior a la sala; de existir conducción exterior de aire acondicionado ésta no debera permitir el paso de personas; de no existir otros controles, la puerta de acceso a la sala que nunca sera de madera, deberá permanecer siempre cerrada; sepodra implantar un sistema de tarjetas de identificacion que permita distinguir al personal de la entidad, al personal informático y a los eventuales visitantes (proveedores, tecnicos...). Estos visitantes estaran siempre acompañados por personal de la empresa quien, se insiste una vez mas, es necesario que se conciencie de la importancia que para la entidad tiene el concepto de seguridad, siendo este el mejor método para conseguir que todas las medidas adoptadas para garantizar tal seguridad tengan éxito.

La seguridad en los soportes de almacenamiento necesita de medidas preventivas como:

- Los soportes de papel requieren pocas precauciones adicionales. Si todavia subsisten las fichas perforada: se guardaran en cajas del modo más compacto posible, aumentando asi su resistencia al fuego y al agua. Los formularios en blanco con un cierto grado de sensibilidad se guardaran en zonas de acceso restringido. Los listados se repartirán según criterios que garanticen su confidencialidad, si es el caso, y se minimiza el tiempo que estos listados están expuestos a ser utilizados inmoderadamente. Si el nivel de seguridad asi lo requiere

5


habrá que disponer de una moderna trituradora de papel para destruir los listados inservibles. La documentación relativa a proceso de datos deberá contar con las correspondientes copias de seguridad almacenadas en un lugar exterior al edificio que albergue al proceso de datos.

- Los soportes magnéticos, aparte de las protecciones que se comentaron para el papel, requieren de todas aquellas que combatiran su fragilidad fisica. El calor, el polvo y los efectos electromagnéticos son enemigos mortales para este tipo de dispositivos.

Cuando sea preciso trasladar cintas o disquetes que contengan información delicada a un edificio diferente puede ser incluso recomendable utilizar personal de seguridad.

Se insiste una ver más en que todas las medidas que se han expuesto a lo largo de este apartado necesitan necesariamente de un personal absolutamente concienciado de su necesidad y utilización, adecuadamente formado para las emergencias que puedan surgir.

4. INVENTARIANDO EL HARDWARE

Una de las acciones mas comunes en la auditoria de hardware es la realizacion del inventario y la organización adecuada de la informacion referente a cada equipo de computo fisico y sus perifericos dentro del Centro de Computo. Asi como los elementos que lo componen dando sus caracterisiticas. Esto es una de las primeras cosas que hay que realizar para establecer un marco adecuado de trabajo y conocer las herramientas con las que trabaja el personal, para mas adelante, durante el transcurso de la auditoria, conocer si cumplen todos los requerimientos impuestos para dicho Centro de Computo (Empresa, Biblioteca, Escuela, etc.)

Una de las opciones, como ya vimos en lecciones anteriores, es hacer el inventario “a mano”, es decir, crear una plantilla en una hoja de papel e ir equipo por equipo anotando las caracteristicas mas relevantes acerca de el: procesador, memoria RAM, capacidad de disco duro, perifericos, etc.

Otro metodo es hacerlo mediante el software existente para tal fin, que nos da mucha mas informacion sobre el equipo y sus componentes. Incluso los hay, que pueden inventariar toda la red LAN del centro de computo sin movernos del escritorio principal o instalar el software necesario en equipo nuevo.

Este software nos sera muy util para conocer hasta las ultimas caracteristicas de los componentes fisicos del ordenador, como chipset, marcas de bios, circuitos, y tener a la mano el software correspondiente o poder pedir el reemplazo de la pieza de manera adecuada cuando el equipo falle.

Sin embargo, lo que este software aun trabajando de manera automatica a traves de una red, creando la base de datos de decenas o cientos de computadoras en cuestion de minutos no hace, es conocer cuando se compro, cuanto costo, donde se compro, a quien se compro, donde esta la garantia, cuando se realiza el mantenimiento, cuando se realizan los respaldos, donde estan ubicadas, etc.

Y esto es importante tambien para en el reporte final de la Auditoria hacer constar el ciclo de mantenimiento periodico y el ciclo de respaldos o la antigüedad del equipo y hacer las recomendaciones pertinentes; al igual que las ubicaciones incorrectas (poca iluminacion, mala ventilacion, ubicaciones inseguras, etc.).

Por lo que ademas, de contar con algun software automatizado, necesitamos inventariar “a mano” estas otras caracteristicas.

6


Tambien, es posible que dicho software automatizado de auditoria de hardware (inventario) no pueda “conocer” a los perifericos en cuestion (unidades zip, unidades de almacenamiento externo, impresoras, escaners u algo otro dispositivo especial), por lo que habra que generar la informacion necesaria para estos dispositivos y su dependencia al equipo de computo correcto.

Otro aspecto tambien, seria el de “visualizar” o “maquetizar” mediante un diagrama la ubicación correcta de los equipos, esto con el fin de tener un control mas preciso y rapido sobre todo el equipo de hardware de nuestro Centro de Computo y sus conexiones. Para ello, software como Microsoft PowerPoint, Microsoft Visio, Microsoft Publisher, SmartDraw, etc nos pueden ayudar con dicho diagrama.

NESTOR172.16.0.77

DATASERVER(148.235.34.112)

172.16.0.70201.153.116.244:1030201.153.116.244:80

CAJA4172.16.0.71

CAJA3172.16.0.72

CAJA2172.16.0.73

CAJA1172.16.0.74

GOP_TIMON (BETO)172.16.0.75

CANABAL172.16.0.76

Hub

Switch

Radio tower

ROUTER 2WIRE172.16.0.1

Conexion Internet con IP Fija a Rio Grande Netpor Antena Wireless Exclusiva para camaras

BACKUP (Ya no utilizada en 2006)

Conexion a Internetcon Prodigy

Infinitum 512 queda servicio a toda

la red

Velocidad: 2MB/256K

Enlace a Classic Glzde la Red Local y de Internet

10.0.0.2

Conexionred concable

Ethernet

Conexionred

inalambrica

ConexionAntenaInternetExterna

Conexion

AntentaIntranet

Bridge10.0.0.1

Enlace a Timon Puentede la Red Local y de

Internet10.0.0.3

Printer

Printer

Printer

Fax

INTERNET

DIAGRAMA RED TIMON MATRIZ

2007

Video

Video

Enlace a Classic LVde la Red Local y de

Internet10.0.0.7

Enlace a Classic HEBde la Red Local y de

Internet10.0.0.4

Enlace a Timon Civicade la Red Local y de

Internet10.0.0.5

Como habiamos visto en las lecciones anteriores, uno de los pocos software que permiten el inventario de manera mas completa aunque no automatica es ComputerAdmin el cual, genera una base de datos donde almacenamos toda la informacion referente a nuestro equipo (ademas de software y help desk), pero que nos puede dar una idea de la informacion que en la Auditoria precisamos.

7


Como vemos, no solamente nos pregunta acerca de los componentes fisicos del ordenador, sino que tambien nos pregunta sobre su ubicación, caracteristicas de la red y la asociacion con los perifericos.

8


Tambien es importante que asociemos a los usuarios de los equipos computacionales, siempre y cuando no exista mucha rotacion de personal. De esta manera, en nuestra Auditoria podremos darnos cuenta si cuenta con las medidas de seguridad necesarias, o si el usuario esta realizando los procedimientos adecuados de respaldo, uso de software, control de informacion.

9


Y como indicamos anteriormente, tambien es importante conocer el costo del equipo, numero de factura, lugar de compra, fecha de compra, depreciacion incluso, vida de la garantia o si tiene garantia extra y algunos datos mas acerca del vendedor.

Todo esto, ayuda al administrador del centro de computo a tener organizado la estructura y detectar o prevenir futuras fallas en los equipos mas adelante.

10


5. CUESTIONARIOS

A continuacion veamos algunos cuestionarios que se pueden realizar para la Auditoria de Hardware. Se muestran a manera de ejemplo, con algunas preguntas importantes para la realizacion de la Auditoria.

Por ejemplo, este que se muestra a continuacion es sobre la seguridad del equipo de computo:

Con estas preguntas sabremos si se estan aplicando medidas de seguridad o si existen en realidad.

11


Este otro, aunque parece que toca pregunta acerca de software, sigue siendo sobre el acceso a la informacion que soporta el hardware y que controles o medidas se estan usando:

12


Y si el acceso fisico a los equipos cuentan con algunas medidas de seguridad:

13


Tambien, mediante esta serie de preguntas, nos daremos cuenta si existen planes de contigencia y si se siguen en caso dado:

Como podemos apreciar, no solamente es el inventario del equipo y sus componentes, o la utilizacion de algun software de automatizacion de inventario o de red, sino algunas caracteristicas mas del hardware que se utiliza en el Centro de Computo. Y aunque algunas medidas, preguntas, caracteristicas tocan la Auditoria de Seguridad (tanto para hardware como software y recursos extra) se complementan tambien dentro de este capitulo.

14

24532491-leccion-8-4-1-auditoria-de-hardware

Documents