El documento describe los aspectos que deben considerarse en una auditoría de sistemas de un centro de procesamiento de datos, incluyendo la seguridad física, como el control de acceso y detección de alarmas, y la seguridad lógica, como la configuración, operaciones y actualización de sistemas. También discute la evaluación del hardware, software, desempeño y riesgos como el inherente, de control y de detección.
2. Auditoria de un Centro de
Procesamiento de Datos
“es aquella ubicación donde se
concentran los recursos
necesarios para el procesamiento
de la información de una
organización”
3. Auditoria de un Centro de
Procesamiento de Datos
Función
Garantizar que los sistemas de ordenador salvaguardan
los “bienes” de la organización, mantienen la integridad
de los datos y alcanzan los objetivos de la empresa de un
modo eficaz y efectivo.”
4. Auditoria de un Centro de
Procesamiento de Datos
Se debe tomar en cuenta:
• Seguridad Física
• Seguridad Lógica
5. Seguridad Física
Entran dentro de esta categoría todas las medidas para asegurar la integridad física
de los equipos almacenados:
• Control de acceso: aquellos compartimentos del centro de procesamiento de datos
que albergan la infraestructura más valiosa
• Pruebas de mecanismos de detección y alarma: es obligatorio realizar pruebas
periódicas de los sistemas. Es recomendable dedicar tiempo a esto.
6. Seguridad Física
• Acceso de mercancías y personal de proveedores: No sería la primera vez que
llegar a las zonas cero del centro de procesamiento de datos es imposible si se
pretende la intrusión a través de las vías de acceso convencionales, pero
relativamente sencillo si se utilizan los accesos especiales para equipamiento y
proveedores
• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener
presente al cuerpo de seguridad encargado y ver que no tengan fisuras dentro de
su vigilancia
7. Seguridad Física
• Acceso de mercancías y personal de proveedores: No sería la primera vez que
llegar a las zonas cero del centro de procesamiento de datos es imposible si se
pretende la intrusión a través de las vías de acceso convencionales, pero sencillo o
relativamente sencillo si se utilizan los accesos especiales para equipamiento y
proveedores
• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener
presente al cuerpo de seguridad encargado y ver que no tengan fisuras dentro de
su vigilancia
8. Seguridad Física
• Gestión de energía y continuidad: en estos centros se consume mucha energía, y
por tanto, requiere de medidas especiales para asegurar que el flujo energético
esté garantizado ante cualquier tipo de incidente
• Ausencia de compartimentación. Especialmente relevante en el caso de data
centers públicos o destinados al uso de múltiples clientes
9. Seguridad Lógica
“aquella que compete a lo que no es estrictamente físico, y que
como su propio nombre indica, deriva de las condiciones lógicas
de los distintos sistemas que componen el proceso de negocio en
estudio.”
10. Seguridad Lógica
Tomar en cuenta los siguientes aspectos:
• Actualización de los sistemas: Conviene siempre obtener
evidencias de que los sistemas se están actualizando, y es
deseable poder verificar con alguna herramienta de análisis
de vulnerabilidades la fiabilidad de lo que nos cuentan con
los papeles por delante
11. Seguridad Lógica
• Configuración de seguridad: Se incluye la ausencia de
seguridad que deriva de la falta de militarización de los
componentes puestos en producción
• Operaciones de seguridad: En un centro de procesamiento de
datos tiene que haber operaciones de seguridad, sí o sí.
12. Seguridad Lógica
• Segregación de entornos: Tener entornos de producción,
aceptación, soporte, desarrollo y pruebas compartiendo los
mismos discos en distintas particiones es normal, pero
también es posible cometer errores de configuración que
permitan el salto entre particiones
13. Seguridad Lógica
• Datos reales en entornos no controlados: Conviene
cerciorarse de que los entornos no controlados, no contienen
datos reales, o que contemplan medidas de enmascaramiento
para impedir que los datos reales de la producción acaben en
las memorias USB de los desarrolladores
14. Seguridad Lógica
• Cifrado: Hay que comprobar que en general los datos en
tránsito y en reposo están cifrados allí donde es susceptible
interceptarlo
• Compartir de la red: Las redes tienen que tener suficiente
segmentación no sólo para poder soportar adecuadamente la
segregación de entornos, sino la creación de zonas con
distintos requisitos de seguridad
15. Seguridad Lógica
• Gestión de cambios: La colocación de código malicioso en la
producción por la falta de herramientas de inspección
automática del código
• Accesos privilegiados: En un centro de procesamiento de
datos es necesario tener accesos privilegiados para poder
operar los servicios
16. Seguridad Lógica
• Accesos remotos de terceras partes: Tratar de comprender
cómo acceden las terceras partes a la infraestructura es
importante, y cuáles son las limitaciones de su acceso
• Continuidad y recuperación: Aspectos esenciales de un
centro de procesamiento de datos. Las máquinas se rompen,
la electricidad se pierde. Las tuberías se estropean, etc.
17. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación Técnica:
¿Es la tasa de transmisión de datos lo suficientemente rápida para manejar todo
los datos?
¿Hay suficiente almacenamiento para guardar los datos necesarios?
¿Responde la CPU a todas las peticiones dentro de un periodo especificado de
tiempo?
18. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación Operacional: Las consideraciones establecen si la entrada de datos está
apropiadamente provista y si la salida es útil y se emplea de manera adecuada.
Existe una tendencia a no terminar un informe una vez que éste ha sido comenzado.
Aún cuando el no sea usado, hoy a menudo la sensación de que puede tener utilidad
en el futuro. Varios métodos pueden servir para identificar los informes no usados:
• Terminación del reporte para ver si alguien pregunta por él cuando no llega.
• Revisión periódica de todos de todos los reportes por fuerza de trabajo.
• El colocarle precio a los informes para ofrecer incentivos a los administradores
para eliminar aquellos que son innecesarios.
19. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación Económica: En la evaluación económica de post auditoría los costos
actuales se comparan con los beneficios actuales
• Los costos se pueden estimar con una exactitud razonable en las post auditoría,
pero varios beneficios todavía pueden ser difíciles de medir
• La evaluación económica puede ser útil más allá de la aplicación específica
examinada
• Para los propósitos administrativos, la evaluación puede ayudar en la toma futura
de decisiones para identificar los costos de aplicaciones para las cuales un retorno
(rendimiento) económico era esperado o no se puede estimar
20. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación Del Hardware Y Software Existentes: El propósito de la evaluación del
hardware y software existentes es el de determinar si todos los recursos se necesitan.
Algunos ejemplos de acciones resultantes de la evaluación del desempeño del sistema
de hardware y software existentes son:
Adición de capacidad de memoria principal.
Cambio de las unidades de almacenamiento en disco.
Cambio en la organización del almacenamiento en disco.
Cambio en el software de manejo de la base de datos.
Cambio en la red de comunicaciones.
21. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación mediante el uso de monitores de desempeño: Los monitores de hardware
son dispositivos sensores acoplados a líneas de señales seleccionadas en el hardware
del computador para medir la presencia o ausencia de impulsos eléctricos
• El dispositivo de monitoreo no afecta la operación del hardware del computador
• No requiere almacenamiento primario ni tampoco tiempo de ciclos de CPU
• Los monitores pueden recoger datos tanto de la CPU como de la actividad de los
dispositivos periféricos, tales como el almacenamiento en disco
• Los monitores de hardware y software se pueden usar para detectar los recursos
ociosos, los cuellos de botella, y los desbalances de carga
22. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación mediante el uso de bitácora del sistema y de la observación: La bitácora
del sistema puede brindar datos útiles para evaluación. Esto se pone en evidencia en
pequeñas instalaciones que mantienen bitácoras sencillas de trabajos, del tiempo de
trabajo, etc.
La observación de las operaciones del computador es útil para detectar la
distribución de los recursos usados y aplicaciones o ineficientes. Algunos signos de
distribución ineficiente o procedimientos de operación pobres son:
• Atrasos en el procesamiento mientras el operador localiza archivos, monta cintas o
discos, carga formas, o realiza funciones similares.
• Excesivos requerimientos de respuesta en la consola al operador.
• Atrasos causados por la falta de entrenamiento en los procedimientos apropiados
de re – arranque cuando el procesamiento es interrumpido.
23. ¿Qué se evalúa en un centro de
procesamiento de Datos?
Evaluación del hardware y software propuestos: El proceso de evaluación para un
nuevo o importante reemplazo de un sistema de hardware – software variará según
el nivel de experiencia de la organización que usa los computadores, la urgencia del
reemplazo, y otros factores. Un enfoque general consta de pasos como los siguientes:
1. Estudio de los requerimientos.
2. Preparación de las especificaciones.
3. Obtención de las propuestas del vendedor.
4. Evaluación de las propuestas.
24. Riesgos que existen en una auditoria de
sistemas
Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad
económica o negocio de la empresa, independientemente de los sistemas de control
interno que allí se estén aplicando.
Riesgo de control: Aquí influye de manera muy importante los sistemas de control
interno que estén implementados en la empresa y que en circunstancias lleguen a
ser insuficientes o inadecuados para la aplicación y detección oportuna de
irregularidades
Riesgo de detección: Este tipo de riesgo está directamente relacionado con los
procedimientos de auditoría por lo que se trata de la no detección de la existencia
de erros en el proceso realizado.