- Características de la organización objeto de estudio
- Características del departamento de informática a auditar- Limitaciones técnicas del auditor
- Determinar el nivel de riesgo aparente del sistema o instalación a auditar
- Identificar las áreas críticas de control en las que se detecten unos mayores índices de riesgo.
- Identificar la seguridad del local a auditar
- Identificar la seguridad de los equipos instalados dentro de las instalaciones del Centro de Cómputo.
- Definir objetivos y alcance del trabajo a auditar
Para un mejor logro de nuestros objetivos, al momento de realizar la auditoria, se debe tener claro cuáles son las áreas que se van a evaluar y clasificarlas con la finalidad de lograr un mayor rendimiento en cuanto a calidad y tiempo.
A continuación detallamos la clasificación de las diferentes áreas a evaluar dentro de un Centro de Cómputo.
- Auditoria directa al Centro de Cómputo, como espacio físico.
- Controles dentro de la Organización y Auditoria al Personal- Auditoría al desarrollo de hardware, software y todos sus componentes.
- Auditoría a las Aplicaciones en Funcionamiento.
- Auditoría al Ambiente de Redes.
- Recomendaciones y certificaciones.
1. Auditoría a la Seguridad en el Centro de Cómputo
Al realizar nuestra evaluación y auditoria al Centro de Cómputo como aspecto físico, lógico y de seguridad, necesitamos evaluar el espacio, los controles dentro y fuera del centro de cómputo, análisis del local, y sobre todo, la seguridad del local y los implementos con que cuenta.
Riesgos Físicos: Son todos los peligros que corre el local para el cual se está realizando la auditoria. Es la contingencia o probabilidad de que ocurra un daño. Peligro: es el riesgo o contingencia inminente de que ocurra un mal. En el caso que nos interesa (El centro de cómputo), el daño o el mal está vinculado con el perjuicio que pueda ocurrirle a cualquiera o cada uno de los implementos o artefactos que se encuentra dentro de nuestro local.
Seguridad del Centro de Cómputo: Debemos recordar que nuestro local guarda dentro de sus instalaciones equipos de suma importancia y altos costos, por consiguiente, al realizar nuestra auditoria, debemos cerciorarnos de la seguridad que tiene el Centro de Cómputo y de ser deficiente, debemos realizar nuestras recomendaciones para que el mismo cuente con unas condiciones de óptima seguridad como podrían ser:
· Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras.
· Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.· El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
· Implantar claves o password para garantizar operación de computo solo a personal autorizado.
· Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y cómo responder ante esos eventos.
· Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.
· Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
· Los back ups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos, tomando en cuenta el tamaño e importancia de la información que se guarda.
· Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
· Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
· El proveedor de hardware y software deberá proporcionar lo siguiente:
2. Controles dentro de la Organización y Auditoria al Personal:
Se refiere a la organización dentro del Centro de Cómputo, a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área; Se debe evitar que una misma persona tenga el control de toda una operación dentro de una organización.Al realizar el reconocimiento del personal, debemos hacer un análisis del tipo de persona y el alcance de los conocimientos que tiene respecto a los servicios que se brindan dentro del establecimiento.
Los controles tienen como fin:
· Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
· Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios.· Garantizar la integridad de los recursos informáticos.
· Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Una auditoría de los recursos humanos evalúa las actividades de administración de personal en la organización con el objetivo de mejorarlas. La auditoría puede cubrir un departamento, una división o toda la corporación.
Para ser verdaderamente eficientes, las actividades de recursos humanos de la corporación deben considerar las necesidades y objetivos del personal, y al mismo tiempo tener en cuenta y mantenerse en consonancia con los objetivos corporativos.3. Auditoría al desarrollo de hardware, software y todos sus componentes. Al momento de realizar nuestra auditoria sobre lo que es el desarrollo de software, hardware, sistemas operativos y archivos, necesitamos poner especial interés y cuidado en lo que a esta área se refiere ya que para que el Centro funcione a la perfección, debemos tener en cuenta los siguientes puntos:
· Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionen mayores beneficios que cualquier otra alternativa.
. Garantizar la selección adecuada de equipos y sistemas de computación· Asegurar la elaboración de un plan de actividades previo a la instalación.
· Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
Hardware: El hardware comprende aquellos elementos físicos que intervienen en el sistema de información que comprenden los registros físicos, los periféricos y el ordenador central.
En estos componentes ( hardware ) se incide en auditoría sobre la salvaguarda de activos, esto es, tipos de custodia o requerimientos que comprenden todos los elementos físicos integrantes del sistema de información.
Algo muy interesante de auditar es ver si el componente físico es adecuado con el soporte lógico que se tiene o que se quiere tener.Software: Este viene siendo el componente lógico de un sistema de información que va desde las aplicaciones informáticas hasta la configuración de los campos que se utilizan en el sistema de información. En una auditoria, este es un punto clave, pues es el que nos indica el grado de calidad con que cuenta el centro de cómputo para brindar los servicios solicitados.
Sistema Operativo: (SO) es el programa o conjunto de programas que efectúan la gestión de los procesos básicos de un sistema informático, y permite la normal ejecución del resto de las operaciones. Uno de los propósitos del sistema operativo consiste en gestionar los recursos de localización y protección de acceso del hardware. La mayoría de aparatos electrónicos que utilizan microprocesadores para funcionar, llevan incorporado un sistema operativo. (teléfono móvil, reproductores de DVD, radios, etc).
Un archivo es identificado por un nombre y la descripción de la carpeta o directorio que lo contiene. Los archivos informáticos se llaman así porque son los equivalentes digitales de los archivos en tarjetas, papel o microfichas del entorno de oficina tradicional. Los archivos informáticos facilitan una manera de organizar los recursos usados para almacenar permanentemente datos en un sistema informático.
4. Auditoría a las Aplicaciones en Funcionamiento: las aplicaciones web generan dinámicamente una serie de páginas en un formato estándar, como HTML o XHTML, soportados por los navegadores web comunes. Se utilizan lenguajes interpretados en el lado del cliente, directamente o a través de plugins (Programa que puede anexarse a otro para aumentar sus funcionalidades) tales como JavaScript, Java, Flash, etc., para añadir elementos dinámicos a la interfaz de usuario. Al momento de realizar la auditoria, el encargado debe cerciorarse e investigar cuales son las aplicaciones con que cuentan los equipos a auditar, el tipo de datos de entrada y las salidas con que cuenta el local. Entrada y salida de Datos: Las entradas son las señales recibidas por la unidad, mientras que las salidas son las señales enviadas por ésta.
Para que el Centro de Cómputo funcione correctamente, conjuntamente con los usuarios, se deben establecer ciertos paramentos respecto a proceso de entrada y salida de datos los cuales detallamos a continuación:
· La preparación de datos de entrada debe ser responsabilidad de los usuarios y consecuentemente su corrección.
· La Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad y dependiendo del tipo de trabajo realizado tomando en cuenta el tipo de trabajo y el volumen del mismo.· Adoptar acciones necesarias para correcciones de errores.
· La entrada y salida de datos, como cualquier tipo de trabajo realizado dentro del Centro de Cómputo, debe ser debidamente verificado por el personal encargado.Controles de Procesamiento: Por procesamiento de datos se entienden habitualmente las técnicas eléctricas, electrónicas o mecánicas usadas para manipular datos para el empleo humano o de máquinas.
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para obtener buenos resultados, las cuales mencionamos a continuación:· Asegurar que todos los datos sean procesados.
· Garantizar la exactitud de los datos procesados.· Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Utilitarios: Los Programas Utilitarios son aplicaciones de software que ejecutan funciones misceláneas dentro de sus sistemas operativos. Los programas utilitarios realizan varias actividades dependiendo del propósito de su diseño, es una herramienta que realiza soporte para la construcción y ejecución de diversos programas a utilizar.
5. Auditoría al Ambiente de Redes: Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información.
Seguridad física del equipo: Cuando hablamos de seguridad física del equipo, nos referimos a todos aquellos mecanismos -generalmente de prevención y detección- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de back up con toda la información que hay en el sistema, pasando por la propia CPU de la máquina, incluyendo todo el cableado necesario para su perfecto funcionamiento; para ello se debe tener en cuenta la necesidad de planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.Por ningún motivo se debe olvidar asegurar un buen respaldo de mantenimiento y asistencia técnica en forma periódica.
Una vez vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo para los equipos y los sistemas instalados.
Perfiles de Usuarios: El perfil de usuario contiene las preferencias y las opciones de configuración de cada usuario. Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio y a la vez ayuda a brindar un mejor servicio.6. Recomendaciones y respaldos. Al finalizar la auditoria al citado Centro de Cómputo, el auditor estará en capacidad de rendir un detallado informe con el trabajo realizado, las fallas encontradas y las debidas recomendaciones a dichas fallas y las prevenciones que se deben tener para evitar cualquier tipo de anomalía.
Planes de Respaldo: Contempla las medidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización y que en caso de llegar a darse una falla, tengamos automáticamente un respaldo con que reponer la falla y continuar con nuestro trabajo de manera eficiente, tratando de llenar las expectativas esperadas.
Planes de Respaldo: Contempla las medidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización y que en caso de llegar a darse una falla, tengamos automáticamente un respaldo con que reponer la falla y continuar con nuestro trabajo de manera eficiente, tratando de llenar las expectativas esperadas.
Todos los sistemas deben estar debidamente documentados, respaldados y actualizados y para ello, se debe tomar en cuenta los datos originales del programa y las versiones que incluyan los cambios efectuados con sus respectivas modificaciones.
También se deben implantarlos los procedimientos de solicitud, aprobación y ejecución de los cambios efectuados.Recomendaciones: Por último, al realizar la auditoria, el auditor debe presentar su informe y enunciar sus recomendaciones respecto al trabajo realizado, a fin de mejorar cualquier falla encontrada dentro de los parámetros auditados.
No hay comentarios:
Publicar un comentario