UNEG-AS 2012-Inf8: Verificación del rendimiento de sistemas
1. Universidad Nacional Experimental de Guayana
Vicerrectorado Académico
Coordinación General de Pregrado
Auditoria de Sistemas
Profesor: Estudiantes:
Carlos Guevara Anthony Bononi V-19.301.598
Sou Chang V-18.665.345
Gabriel Scheifes V-19. 157.183
Puerto Ordaz, Mayo del 2012
2. Verificación del Rendimiento de Sistemas
INDICE
INTRODUCCION ...................................................................................................... 4
OBJETIVOS ................................................................................................................ 5
Objetivos General...................................................................................................... 5
Objetivos Específicos ................................................................................................ 5
DESARROLLO ........................................................................................................... 6
Auditoría Informática y Seguridad ........................................................................... 6
Lista de Verificación para una Auditoría a la Seguridad Informática ...................... 8
Auditoría y Control de Sistemas e Informática ......................................................... 9
Objetivos de la Verificación del Rendimiento de Sistemas ...................................... 9
Los principales objetivos son: ............................................................................... 9
Creatividad ................................................................................................... 10
Inteligencia ................................................................................................... 11
Personalidad ................................................................................................. 11
Organización ................................................................................................ 12
Herramientas y Técnicas ......................................................................................... 12
El Sistema Integral de Seguridad a Comprender .................................................... 13
Fase I: Conocimientos del Sistema ..................................................................... 14
Fase II: Análisis de transacciones y recursos ...................................................... 15
Evaluación y Rendimiento de la Red ...................................................................... 16
Mejorar el Rendimiento Sistema Operativo ............................................................ 16
Metodología para la verificación del rendimiento en los sistemas ......................... 21
Investigación Preliminar ..................................................................................... 21
Personal Participante ........................................................................................... 21
Evaluación de Sistemas ....................................................................................... 22
Evaluación del Análisis ....................................................................................... 22
Evaluación del Diseñó Lógico del Sistema ......................................................... 22
Evaluación del Desarrollo del Sistema ............................................................... 23
Control de Proyectos ............................................................................................... 23
Control del Diseño de Sistemas y Programación ................................................ 23
Instructivos de Operación ................................................................................... 24
Forma de Implantación ....................................................................................... 24
Entrevista a usuarios ........................................................................................... 24
Controles ............................................................................................................. 25
Control de Operación .......................................................................................... 25
Control de los Medios de Almacenamiento Masivo ........................................... 26
Control de Mantenimiento .................................................................................. 26
Evaluación de la Configuración del Sistema de Cómputo .................................. 27
Seguridad Lógica y Confidencial ............................................................................ 27
2
Exposición nº8
3. Verificación del Rendimiento de Sistemas
Seguridad Física .................................................................................................. 28
Seguridad en la Utilización del Equipo ............................................................... 29
Seguridad al Restaurar el Equipo ........................................................................ 29
PLANIFICACION .................................................................................................... 30
1. ¿Que estrategias de búsqueda de información aplicaste? ................................ 30
2. ¿Herramientas utilizadas? ................................................................................ 31
3. ¿Cuál es el proceso de toma de decisiones de la herramienta? ........................ 31
4. ¿Qué instrumentos utilizaran para tratar la información? ................................ 32
5. ¿Cómo se usaran los instrumentos? ................................................................. 32
Plan de Trabajo ....................................................................................................... 33
CONCLUSIÓN.......................................................................................................... 34
RESUMEN ................................................................................................................. 36
BIBLIOGRAFIA ....................................................................................................... 37
3
Exposición nº8
4. Verificación del Rendimiento de Sistemas
INTRODUCCION
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información de la
empresa.
La Informática hoy en día, está inmersa en la gestión integral de la empresa, y
por eso las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el "management" o gestión de
la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa,
ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
4
Exposición nº8
5. Verificación del Rendimiento de Sistemas
OBJETIVOS
.
Objetivos General
Desarrollar el tema asignado por el profesor, cumpliendo con cada una de las
actividades pautadas, a fin de contribuir con la creación de la página web del
evento.
Objetivos Específicos
1. Realizar la investigación y análisis referente al tema de verificación del
rendimiento de sistemas.
2. Buscar los instrumentos necesarios para la creación y edición de las
herramientas de presentación del tema.
3. Diseñar el material de apoyo necesario para la presentación del tema en el
salón y para la publicación de este en la página web del evento, de acuerdo a
las normas establecidas en clase.
5
Exposición nº8
6. Verificación del Rendimiento de Sistemas
DESARROLLO
Auditoría Informática y Seguridad
Es importante que tengamos en cuenta que en la actualidad, la informática
está profundamente vinculada con la gestión de las empresas y justamente es por esto
que es fundamental que en la empresa exista una auditoría informática para que la
misma sea capaz de verificar el desempeño y el funcionamiento que tiene la totalidad
de los sistemas implementados en una compañía ya que la misma depende de éstos.
Una auditoría informática consiste básicamente, en realizar una verificación del
desempeño de los sistemas de información con los que se maneja cualquier empresa,
aplicando conocimientos, métodos y técnicas con el fin de analizar la operatividad de
dicho sistema.
En el proceso de investigación que se llevara a cabo por un profesional en la
auditoria informática, servirá para determinar si en los sistemas que están siendo
utilizados por la empresa se aplican las medidas de seguridad y de control
correspondiente para lograr garantizar la integridad de toda la información que se
maneje en el sistema. Es muy importante que el auditor realice una evaluación
profunda acerca de sobre la totalidad de los componentes que integran este sistema
informático. La auditoría informática es esencial en toda empresa ya que un sistema
mal diseñado puede ser extremadamente peligroso para la compañía.
La persona que lleve a cabo la correspondiente auditoria informática debe tener
conocimiento sobre los equipos electrónicos que se utilicen en la empresa para la que
realizara la auditoría; no es necesario que el auditor sea un experto en cuanto a la
programación, pero si es muy importante que conozca los programas de contabilidad
que suelen utilizarse.
6
Exposición nº8
7. Verificación del Rendimiento de Sistemas
Existe una rama de la auditoría in formativa denominada “Auditoría
Informática de seguridad”, la cual tiene por tarea encargarse de intervenir en aquellos
casos en donde los centros de proceso de datos de una empresa se han convertido en
blanco de espionaje. En este caso en particular podemos decir que si empresa tiene
sospechas sobre que su sistema de información central esta siendo manipulado por
personal no autorizado, la auditoria informática tiene por objetivo recolectar la mayor
parte de la información que sea de carácter informático y que el mismo sea
debidamente “sellado” para poder proporcionar una mayor garantía en cuanto a su
inalterabilidad, por lo que se debe llevar a cabo la anulación de todos los puertos de
entrada que posean las computadoras utilizadas en una empresa.
7
Exposición nº8
8. Verificación del Rendimiento de Sistemas
Lista de Verificación para una Auditoría a la Seguridad Informática
Seguridad en la protección y conservación de locales, instalaciones,
mobiliario y equipos.
Seguridad para el personal informático y los usuarios del sistema.
Seguridad en los accesos a las áreas de sistemas, así como a sus sistemas
computacionales, información y software.
Seguridad en los sistemas computacionales y dispositivos periféricos.
Seguridad en la información institucional y bases de datos.
Seguridad en los sistemas operativos, lenguajes, programas, paqueterías,
utilerías y demássoftware institucional.
Seguridad en los activos informáticos del área de sistemas.
Seguridad en la arquitectura de las telecomunicaciones.
Seguridad en los sistemas de redes, sistemas mayores y PC´s.
Seguridad contra la piratería informática.
Seguridad contra los virus informáticos.
8
Exposición nº8
9. Verificación del Rendimiento de Sistemas
Auditoría y Control de Sistemas e Informática
El Control de Sistemas e Informática, consiste en examinar los recursos, las
operaciones, los beneficios y los gastos de las producciones (servicios y/o productos
de los Sistemas Informáticos), de los Organismos sujetos a control, con al finalidad
de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los
Organismos, en concordancia con los principios, normas, técnicas y procedimientos
normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y
Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros)
adoptados por la Organización para su dinámica de Gestión en salvaguarda de los
Recursos del Estado.
Objetivos de la Verificación del Rendimiento de Sistemas
Los principales objetivos son:
El control de la función informática (Sistema de Información - SI y la
Tecnología de la Información -TI).
El análisis de la eficiencia de los SI y la TI.
La revisión de la eficaz gestión de los recursos materiales y humanos
informáticos.
La revisión y verificación de Controles Técnicos Generales y Específicos de
Operatividad.
La revisión y verificación de las Seguridades.
De Cumplimiento de normas y estándares.
De Sistema Operativo.
9
Exposición nº8
10. Verificación del Rendimiento de Sistemas
De Seguridad de Software.
De Seguridad de Comunicaciones.
De Seguridad de Base de Datos.
De Seguridad de Proceso.
De Seguridad de Aplicaciones.
De Seguridad Física.
De Suministros y Reposiciones.
De Contingencias.
El análisis del control de resultados.
El análisis de verificación y de exposición de debilidades y disfunciones.
Creatividad
Sistemas Informáticos Perfomance creativa.
Manejo de Imaginación y Creatividad para las Producciones de Servicios.
Variabilidad y Atención a Usuarios.
Integración de la Información y Difusión del Organismo con la Sociedad, a
través de medios y del Internet.
Servicios Creativos, donde el usuario manifiesta su descontento.
Monotonía y rutina de procesos administrativos y técnicos.
Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
Usuarios se quejan por engorrosos procedimientos Informáticos.
10
Exposición nº8
11. Verificación del Rendimiento de Sistemas
Inteligencia
La Organización cuente con Formación de Conocimientos en Sistemas y
Tecnología Informática.
Averías en los Sistemas Informáticos.
No hay Capacitación ni entrenamiento de nuevas Tecnologías.
Tratamiento de la Tecnología para la Inteligencia Empresarial.
Los Estándares de Productividad.
Producción de Servicio (Planificación, Producción y Soporte Técnico),
Usuarios salen conformes con la resolución de problemas (Relacionados a los
Sistemas Informáticos).
Informática de Comunicaciones, Tele Comunicaciones y Redes; no se
encuentra Integrado a los Procesos Intranet, Extranet e Internet.
Los Controles Inteligentes de procesos son deficientes.
Deficiente nivel de Investigación y Desarrollo Tecnológico.
Alto Índice de desatendidos y asuntos pendientes (Relacionados a
Tecnologías de la Información).
Personalidad
Rumbo y de Mística Laboral y Personal.
Buena Imagen.
Productividad de Trabajo.
Alto Índice de estrés laboral.
Credibilidad del Organismos.
Usuario satisfecho con el trato y atención.
11
Exposición nº8
12. Verificación del Rendimiento de Sistemas
Organización
Desorganización estructural y Funcional.
Descoordinación Funcional Horizontal - Vertical.
Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.
Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.
Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad
en estado Crítico.
Usuarios manifiestan excesiva ubicación en los desplazamientos por la
organización.
Usuarios manifiestan insatisfacción porque no se cumplen con los plazos de
entrega de resultados periódicos.
Herramientas y Técnicas
Cuestionarios.
Entrevistas.
Formularios Checklist.
Formularios Virtuales,
Pruebas de Consistencias.
Historias de cambios y mejoras.
Reporte de Bases de Datos y Archivos
Reportes de Estándares.
Software de Interrogación:
Certificados, Garantías, otros del Software.
Diseño de Flujos y de la red de Información.
12
Exposición nº8
13. Verificación del Rendimiento de Sistemas
El Sistema Integral de Seguridad a Comprender
Elementos administrativos
Definición de una política de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes (incendio, terremotos, entre otros)
Prácticas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas), incluyendo todos los
elementos, tanto redes como terminales.
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeación de programas de desastre y su prueba.
La decisión de abordar una Auditoria Informática de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que
está sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores
de las "Amenazas" se evalúan las probabilidades de ocurrencia de los elementos de la
matriz.
13
Exposición nº8
14. Verificación del Rendimiento de Sistemas
Ejemplo:
Impacto Amenaza 1: Improbable
Error Incendio Sabotaje ……..
2: Probable
DestruccióndeHardware - 1 1
3: Certeza
Borrado de 3 1 1
-: Despreciable
Información
El cuadro muestra que si por error codificamos un parámetro que ordene el
borrado de un fichero, éste se borrará con certeza.
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
• Sobre estos elementos está construido el sistema de control y por lo tanto
constituyen el marco de referencia para su evaluación.
1.2. Características del Sistema Operativo.
• Organigrama del área que participa en el sistema.
• Manual de funciones de las personas que participan en los procesos del
sistema.
• Informes de auditoria realizadas anteriormente.
14
Exposición nº8
15. Verificación del Rendimiento de Sistemas
1.3. Características de la aplicación de computadora
• Manual técnico de la aplicación del sistema.
• Funcionarios (usuarios) autorizados para administrar la aplicación.
• Equipos utilizados en la aplicación de computadora.
• Seguridad de la aplicación (claves de acceso).
• Procedimientos para generación y almacenamiento de los archivos de la
aplicación.
Fase II: Análisis de transacciones y recursos
2.1. Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos
y estos en subprocesos. La importancia de las transacciones deberá ser
asignada con los administradores.
2.2. Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujo gramas ya que facilita la visualización
del funcionamiento y recorrido de los procesos.
2.3. Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistema.
15
Exposición nº8
16. Verificación del Rendimiento de Sistemas
Evaluación y Rendimiento de la Red
Es necesario que el escenario donde se llevan a cabo sea una red completamente
aislada del cierto tráfico.
Configuraciones de red más sencillas y apropiadas que se pueden crear
Enviar paquetes mediante ping, tomando combinaciones que se pueden hacer
con los valores delos siguientes parámetros:
Tamañode paquete que se envía en cada ping.
Resolución del tamañode paquete: Diferencia de tamaño entre un paquete y el
siguiente.
Númerode paquetes enviados por cada tamañode paquete.
Mejorar el Rendimiento Sistema Operativo
Eliminar ficheros innecesarios y ganar espacio en disco.
Optimizar la conexión a Internet.
Recuperar ficheros borrados por accidente.
Optimizar el uso de memoria RAM, entre otros.
Localizar una determinada cadena de caracteres en todo el Registro.
16
Exposición nº8
17. Verificación del Rendimiento de Sistemas
Desinstalar aplicaciones, limpiar temporales, historiales.
Acceder a las claves de programas que se auto ejecutan al iniciar el S.O, etc.
17
Exposición nº8
18. Verificación del Rendimiento de Sistemas
HERAMIENTAS PARA EVALUACION DE LOS SISTEMAS
OCCT:OverClockCheckingTool es una herramienta para la evaluación del cpu, de la
ram, y de la fuente de poder.
Características:
Menú IU de OCCT ha sido completamente renovado
Gráficas ahora tiene una segunda línea mostrando el uso de CPU/FPS
durante el test.
El uso del CPU es ahora instantánea en lugar del promedio desde el
inicio del test.
OCCT cuenta ahora con 5 diferentes test - CPU:OCCT, CPU:LINPACK,
GPU:3D, GPU:Memtest y Fuente de Poder.
18
Exposición nº8
19. Verificación del Rendimiento de Sistemas
Pesos técnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.
Pesos políticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada
Sección del Ciclo de Seguridad.
Segmentos Pesos Técnicos Pesos Políticos Pesos Finales
Seg1. Normas y 12 8 10
Estándares
Seg2. Sistema 10 10 10
Operativo
Seg3. Software Básico 10 14 12
Seg4. 12 12 12
Comunicaciones
Seg5. Bases de Datos 12 12 12
Seg6. Procesos 16 12 14
Seg7. Aplicaciones 16 16 16
Seg8. Seguridad 12 16 14
Física
TOTAL 100 100 100
19
Exposición nº8
20. Verificación del Rendimiento de Sistemas
Pesos finales
Son el promedio de los pesos anteriores.
El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se
ha asignado a la totalidad del área de Seguridad, como podría haberse elegido otro
cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el número de
segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco
habría de seguir siendo de 100 puntos.
Suma Peso Secciones = 20
(con independencia del número de Secciones consideradas)
Secciones Pesos Técnicos Pesos Políticos Pesos Finales
Secc1. Seg. Física de 6 6 6
Datos
Secc2. Control de 5 3 4
Accesos
Secc3. Equipos 6 4 5
Secc4. Documentos 2 4 3
Secc5. Suministros 1 3 2
TOTAL 20 20 20
20
Exposición nº8
21. Verificación del Rendimiento de Sistemas
Metodología para la verificación del rendimiento en los sistemas
Investigación Preliminar
Se deberá observar el estado general del área, su situación dentro de la organización,
si existe la información solicitada, si es o no necesaria y la fecha de su última
actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de
cada una de las áreas basándose en los siguientes puntos:
Personal Participante
Una de las partes más importantes dentro de la planeación de la auditoría en
informática es el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que
el personal que intervengan esté debidamente capacitado, con alto sentido de
moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya
o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica
profesional y capacitación que debe tener el personal que intervendrá en la auditoría.
En primer lugar se debe pensar que hay personal asignado por la organización, con el
suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda
la información que se solicite y programar las reuniones y entrevistas requeridas.
21
Exposición nº8
22. Verificación del Rendimiento de Sistemas
Evaluación de Sistemas
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe
revisar si existen realmente sistemas entrelazados como un todo o bien si existen
programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para
la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento
de prioridades y de objetivos.
Evaluación del Análisis
En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para
llevar a cabo el análisis.
Evaluación del Diseñó Lógico del Sistema
En esta etapa se deberán analizar las especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos,
el proceso y salida de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que
tuvo el usuario en la identificación del nuevo sistema, la participación de auditoria
interna en el diseño de los controles y la determinación de los procedimientos de
operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que
realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue
planeado y lo que realmente se está obteniendo.
22
Exposición nº8
23. Verificación del Rendimiento de Sistemas
Evaluación del Desarrollo del Sistema
En esta etapa del sistema se deberán auditar los programas, su diseño, el leguaje
utilizado, interconexión entre los programas y características del hardware empleado
(total o parcial) para el desarrollo del sistema.Al evaluar un sistema de información se
tendrá presente que todo sistema debe proporcionar información para planear,
organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos
y de reportes y obtener una mayor seguridad en la forma más económica posible.
Control de Proyectos
Debido a las características propias del análisis y la programación, es muy frecuente
que la implantación de los sistemas se retrase y se llegue a suceder que una persona
lleva trabajando varios años dentro de un sistema o bien que se presenten
irregularidades en las que los programadores se ponen a realizar actividades ajenas a
la dirección de informática. Para poder controlar el avance de los sistemas, ya que
ésta es una actividad de difícil evaluación, se recomienda que se utilice la técnica de
administración por proyectos para su adecuado control.
Control del Diseño de Sistemas y Programación
El objetivo es asegurarse de que el sistema funcione conforme a las especificaciones
funcionales, a fin de que el usuario tenga la suficiente información para su manejo,
operación y aceptación. Las revisiones se efectúan en forma paralela desde el análisis
hasta la programación y sus objetivos son los siguientes:
Etapa de análisis: Identificar inexactitudes, ambigüedades y omisiones en las
especificaciones.
23
Exposición nº8
24. Verificación del Rendimiento de Sistemas
Etapa de diseño: Descubrir errores, debilidades, omisiones antes de iniciar la
codificación.
Etapa de programación:Buscar la claridad, modularidad y verificar con base
en las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores es directamente
proporcional al momento que se detectan: si se descubren en el momento de
programación será más alto que si se detecta en la etapa de análisis.
Instructivos de Operación
Se debe evaluar los instructivos de operación de los sistemas para evitar que los
programadores tengan acceso a los sistemas en operación, y el contenido mínimo de
los instructivos de operación se puedan verificar mediante el siguiente cuestionario.
Forma de Implantación
La finalidad de evaluar los trabajos que se realizan para iniciar la operación de un
sistema, esto es, la prueba integral del sistema, adecuación, aceptación por parte del
usuario, entrenamiento de los responsables del sistema entre otros.
Entrevista a usuarios
La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la
situación de la dependencia en el departamento de Sistemas de Información
24
Exposición nº8
25. Verificación del Rendimiento de Sistemas
Controles
Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son
intangibles, necesitan ser controlados y auditados con el mismo cuidado que los
demás inventarios de la organización, por lo cual se debe tener presente:
a. La responsabilidad de los datos es compartida conjuntamente por alguna función
determinada y el departamento de cómputo.
b. Un problema de dependencia que se debe considerar es el que se origina por la
duplicidad de los datos y consiste en poder determinar los propietarios o usuarios
posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad
de su actualización y consistencia.
c. Los datos deberán tener una clasificación estándar y un mecanismo de
identificación que permita detectar duplicidad y redundancia dentro de una
aplicación y de todas las aplicaciones en general.
d. Se deben relacionar los elementos de los datos con las bases de datos donde están
almacenados, así como los reportes y grupos de procesos donde son generados.
Control de Operación
La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente
afectados por la calidad e integridad de la documentación requerida para el proceso
en la computadora.
El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e
instructivos formales de operación, analizar su estandarización y evaluar el
cumplimiento de los mismos.
25
Exposición nº8
26. Verificación del Rendimiento de Sistemas
Control de los Medios de Almacenamiento Masivo
Una dirección de informática bien administrada debe tener perfectamente protegidos
estos dispositivos de almacenamiento, además de mantener registros sistemáticos de
la utilización de estos archivos, de modo que servirán de base a registros sistemáticos
de la utilización de estos archivos, de modo que sirvan de base a los programas de
limpieza (borrado de información) principalmente en el caso de las cintas.
Control de Mantenimiento
Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El
contrato de mantenimiento total que incluye el mantenimiento correctivo y
preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del
contrato y el que no incluye partes. El contrato que incluye refacciones es
propiamente como un seguro, ya que en caso de descompostura el proveedor debe
proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente mas
caro, pero se deja al proveedor la responsabilidad total del mantenimiento a
excepción de daños por negligencia en la utilización del equipo. (Este tipo de
mantenimiento normalmente se emplea en equipos grandes).
Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que
más nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las
cláusulas estén perfectamente definidas en las cuales se elimine toda la subjetividad y
con penalización en caso de incumplimiento, para evitar contratos que sean parciales.
Orden en el Centro de Cómputo
Una dirección de Sistemas de Información bien administrada debe tener y observar
reglas relativas al orden y cuidado del departamento de cómputo. Los dispositivos del
26
Exposición nº8
27. Verificación del Rendimiento de Sistemas
sistema de cómputo, los archivos magnéticos, pueden ser dañados si se manejan en
forma inadecuada y eso puede traducirse en pérdidas irreparables de información o en
costos muy elevados en la reconstrucción de archivos. Se deben revisar las
disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del
departamento de cómputo.
Evaluación de la Configuración del Sistema de Cómputo
Los objetivos son evaluar la configuración actual tomando en consideración las
aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el
sistema operativo satisface las necesidades de la instalación y revisar las políticas
seguidas por la unidad de informática en la conservación de su programoteca.
Esta sección esta orientada a:
a. Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo
con la carga de trabajo actual o de comparar la capacidad instalada con los planes
de desarrollo a mediano y lago plazo.
b. Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el
tiempo de proceso.
c. Evaluar la utilización de los diferentes dispositivos periféricos.
Seguridad Lógica y Confidencial
La computadora es un instrumento que estructura gran cantidad de información, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir
27
Exposición nº8
28. Verificación del Rendimiento de Sistemas
robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad
computacional.
Esta información puede ser de suma importancia, y el no tenerla en el momento
preciso puede provocar retrasos sumamente costosos. Antes esta situación, en el
transcurso del siglo XX, el mundo ha sido testigo de la transformación de algunos
aspectos de seguridad y de derecho.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque
tiene diferentes intenciones se encuentra principalmente para paquetes que son
copiados sin autorización ("piratas") y borra toda la información que se tiene en un
disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien
que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisión del virus.
Seguridad Física
El objetivo es establecer políticas, procedimientos y prácticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos, información
debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje,
entre otros. Y continuar en medio de emergencia hasta que sea restaurado el servicio
completo.
28
Exposición nº8
29. Verificación del Rendimiento de Sistemas
Seguridad en la Utilización del Equipo
En la actualidad los programas y los equipos son altamente sofisticados y sólo
algunas personas dentro del centro de cómputo conocen al detalle el diseño, lo que
puede provocar que puedan producir algún deterioro a los sistemas si no se toman las
siguientes medidas correspondientes.
Seguridad al Restaurar el Equipo
En un mundo que depende cada día mas de los servicios proporcionados por las
computadoras, es vital definir procedimientos en caso de una posible falta o siniestro.
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que
la originó y el daño causado, lo que permitirá recuperar en el menor tiempo posible el
proceso perdido. También se debe analizar el impacto futuro en el funcionamiento de
la organización y prevenir cualquier implicación negativa verificados antes de
obtener reportes.
Procedimientos de Respaldo en Caso de Desastre
Se debe establecer en cada dirección de informática un plan de emergencia el cual ha
de ser aprobado por la dirección de informática y contener tanto procedimiento como
información para ayudar a la recuperación de interrupciones en la operación del
sistema de cómputo. El sistema debe ser probado y utilizado en condiciones
anormales, para que en casó de usarse en situaciones de emergencia, se tenga la
seguridad que funcionará. La prueba del plan de emergencia debe hacerse sobre la
base de que la emergencia existe y se ha de utilizar respaldos.
29
Exposición nº8
30. Verificación del Rendimiento de Sistemas
PLANIFICACION
1. ¿Que estrategias de búsqueda de información aplicaste?
Al momento de realizar la recolección de información referente al tema se siguieron
unas estrategias para la búsqueda de información que describiremos a continuación:
Búsqueda en internet, la cual se hizo para conocer la información existente del
tema a estudiar, como también determinar cuáles aspectos del tema
poseíaninformación limitada. Para este tipo de búsqueda se usaron buscadores
académicos como googleschool, a fin de obtener informacióncientífica desde
bibliografías validadas como revistas científicas, paper, entre otros.
Búsqueda documental, en este caso partícula se hizo uso de las bibliotecas,
archivos, hemerotecas a fin de conseguir en la documentación existente (libros,
tesis, entre otros) información sobre el tema de estudio.
Para que el proceso de búsqueda de información fuese eficaz y certera se hizo un
análisis previo para definir el ámbito de la búsqueda, por ello se plantearon y
respondieron las siguientes preguntas:
I. ¿Sobre qué buscar información?
Se definió cual era el contexto del tema a investigar y los aspectos relevantes
de este.
30
Exposición nº8
31. Verificación del Rendimiento de Sistemas
II. ¿En qué puntos o ámbitos temáticos
Se puntualizó que otros temas están relacionados con el tema de estudio que
puedan generar información que se necesita.
III. ¿Dónde y con qué herramientas realizar la búsqueda?
Se definieron los medios y lugares específicos para realizar la búsqueda.
IV. ¿Cómo hacerlo?
Se plantearon métodos y técnicas de búsqueda, como por ejemplo, la
utilización de terminología técnica referente al tema de estudio, a fin de que
el resultado de la búsqueda fuese información específica del tema.
2. ¿Herramientas utilizadas?
La herramienta escogida es OCCT (OverClockCheckingTool), el cual es un completo
programa con el que podemos comprobar también la estabilidad del sistema pudiendo
seleccionar varias opciones como sólo CPU, CPU + RAM o sólo RAM, incluye
además los motores de CPU-z y HW-Monitor para la medición de datos, también nos
da la opción de mostrar los resultados en una cómoda gráfica.
3. ¿Cuál es el proceso de toma de decisiones de la herramienta?
Se investigaron las posibles herramientas, entre las encontradas tenemos:
Prime95, Occt, HD-Tune, FurMark.
31
Exposición nº8
32. Verificación del Rendimiento de Sistemas
Se Analizaron y estudiaron las características de cada una ellas, y determinamos que
la herramienta para la verificación de sistemas es OCCT (OverClockCheckingTool),
ya que responde directamente al análisis del rendimiento de los partes básicas de las
computadoras como son el procesador y la memoria ram.
4. ¿Qué instrumentos utilizaran para tratar la información?
Discos Duros.
Grabadores de audio.
Grabadores de Video.
Laptops.
Smartphone.
5. ¿Cómo se usaran los instrumentos?
Disco Duros: Instrumento utilizado para el almacenamiento masivo de
información, que se produjo a la hora de realizar la investigación
correspondiente del tema y la realización del material de presentación y el
video.
Grabadores de audio: Se utilizó este instrumento para el registro de voces,
música durante la creación del video.
Laptops: Utilizamos este instrumentos para organizar la información, y así a
través de herramientas de ofimática y de edición de videos o sonidos generar
el informe del tema y desarrollar la presentación de este.
32
Exposición nº8
33. Verificación del Rendimiento de Sistemas
Smartphone: Instrumento utilizado para llevar el control de las actividades de
cada integrante del grupo, trabajando con la nube para sincronizar
automáticamente las tareas culminadas de cada miembro del equipo.
Plan de Trabajo
33
Exposición nº8
34. Verificación del Rendimiento de Sistemas
CONCLUSIÓN
Existen diversas formas de realizar una auditoría de seguridad, pese aque la
solución ideal debe ser la realización de un proyecto de auditoríacompleto, con varias
herramientas en donde se incluyan todos y cadauno de los parámetros y conceptos
mencionados. Existen algunasorganizaciones, que dependiendo de sus necesidades y
delpresupuesto, solicitan únicamente realizar algunas de ellas.
Pese a la existencia de metodologías concretas para el desarrollo de auditorias
de redes informáticas, el factor clave que sin duda hará quelos resultados de las
mismas respondan a las exigencias de lasempresas, se encuentra principalmente en la
experiencia y conocimientode los auditores. Un problema importante en las auditorias
de redes, es que elpresupuesto asignado para esta área generalmente es bajo, por
talrazón no se puede hacer un trabajo completo y de primera.
En un sistema de detección de intrusos, se debe evitar tener falsospositivos y
en lo posible falsos negativos, ya que con uno sólo de éstos,se tiene una alta
posibilidad de que exista algún tipo de problema; estodará una mala impresión al área
administrativa, dificultando lajustificación de una inversión más grande y hasta tener
problemas deataques y suplantación de identidades.
Hoy en día, el 90 por ciento de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas
de información funcionen correctamente. La empresa hoy, debe/precisa
informatizarse.
34
Exposición nº8
35. Verificación del Rendimiento de Sistemas
El éxito de una empresa depende de la eficiencia de sus sistemas de
información. Una empresa puede tener un staff de gente de primera, pero tiene un
sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un
balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo
de la auditoría en sí, podemos remarcar que se precisa de gran conocimiento de
Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de
Sistemas debe hacerse por gente altamente capacitada, una auditoría mal hecha puede
acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas.
35
Exposición nº8
36. Verificación del Rendimiento de Sistemas
RESUMEN
La auditoría Informática de seguridad, la cual tiene como finalidad encargarse
de intervenir en aquellos casos en donde los centros de proceso de datos de una
empresa son blanco fácil para agentes que buscan perjudicar a la misma, tiene por
objetivo recolectar la mayor parte de la información que sea de carácter informático y
que el mismo sea debidamente revisado para poder proporcionar una mayor garantía
en cuanto a su inalterabilidad.
Para la realización exitosa de este tipo de auditoria es importante contar con
una lista de verificación para una auditoría a la seguridad informática, cuyos ítems
representan a groso modo los diferentes campos en que puede realizarse la una
violación a la seguridad de la institución, así como también fallas en su rendimiento.
Una de las herramientas para la evaluación en el rendimiento de los sistemas
es la utilización de los pesos técnicos, políticos y finales, los cuales tienen mucha
relevancia en el momento de detectar bajos rendimientos de algún proceso o tarea,
dentro de la organización.
Para la correcta verificación del rendimiento de sistemas y seguridad es
necesaria aplicar una metodología específica la cual debe contener una: Investigación
Preliminar, personal participante, evaluación de sistemas, evaluación del análisis,
evaluación del desarrollo de sistemas, seguridad lógica y confidencial entre otros, que
nos permitirán realizar un estudio más metódico de la situación actual.
36
Exposición nº8