leccion 8.4.1 auditoria de hardware

8/14/2019 Leccion 8.4.1 Auditoria de Hardware

1/16

IDSystems Administracion de Centros de Computo 8.4

8.4.1 AUDITORIA DE HARWARE

1. INTRODUCCION

A medida que una empresa incrementa su grado de informatizacion aumentaprogresivamente el tratamiento de la informacion. Asi, muchas de las actividadesempresariales dependen de la exactitud y seguridad de la informacion con que se opera.

Cualquier distorsion cobra cada vez mayor vigencia la maxima que dice que la informacionde una empresa es parte importante de su activo y, en consecuencia, toma relevanteimportancia el garantizar su calidad e integridad.

A tal fin, la auditoria del entorno hardware vendra a verificar la seguridad no solamente en

la operativa de los componentes materiales del ordenador, sino de todo lo relativo a losaspectos fisicos concernientes al departamento de procesos de datos.

En este capitulo se pretende un acercamiento a la auditoria del entorno operativohardware: sus objetivos, formas de actuacion, puntos a revisar, recomendaciones a teneren cuenta, etc.

Se incluyen tambien unas paginas dedicadas a los planes de contingencia y desastre.Concluye el capitulo con un cuestionario-guia de auditoria.

Y como hemos visto a lo largo de este curso de Administracion de Centros de Computo,generalmente la Auditoria Informatica en el area de Hardware utiliza alguno de las

herramientas de software que para tal fin fueron creadas, y las cuales abundan.

2. OBJETIVOS DE AUDITORIA

Para "aterrizar" en el tema objeto de este capitulo se enumeraran algunos de los objetivosde la auditoria informatica del entorno hardware:

- Determinar si el hardware se utiliza eficientemente

1


2/16


- Revisar los informes de la direccion sobre la utilizacion delhardware- Revisar si el equipo se utiliza por el personal autorizado.- Examinar los estudios de adquisicion, seleccion y evolucion delhardware- Comprobar las condiciones ambientales

- Revisar el inventario hardware- Verificar los procedimientos de seguridad fisica- Examinar los controles de acceso fisico- Revisar la seguridad fisica de los componentes de la red de teleproceso- Revisar los controles sobre la transmision de los datos entre los perifericos y elordenador- Comprobar los procedimientos de prevencion/deteccion/correccion frente a cualquier tipode desastre- Colaborar en la confeccion de un plan de contingencias y desastres.

3. AUDITORIA INFORMATICA DEL ENTORNO HARDWARE

Como ya se decia al principio del capitulo, cuando se utiliza el termino "hardware" seestan englobando todos aquellos aspectos materiales, fisicos, es decir que "se ven" y "setocan", dentro de la funcion informatica de la empresa.

Por ello, cuando el auditor informatico planifique su revision del entorno hardware, debepensar tanto en examinar las seguridades y por contra las debilidades de los componentesfisicos del equipo, de las comunicaciones, etc., y tambien, por supuesto, de lasseguridades fisicas de la instalacion donde se ubica el centro de proceso de datos.

Cuando se audita la seguridad de los componentes materiales (unidad central yperifericos) debera tenerse presente que la multiprogramacion aade riesgos adicionalespor las posibles interacciones entre usuarios que pueden provocar que de modo accidentalo provocado se interfieran datos o programas de otro usuario a los que en principiodeberia estar restringido el acceso. Por consiguiente, deberan tomarse medidas paraevitar este tipo de problemas. Estas pueden en su mayor parte estar bajo la supervisiondel software, si bien el hardware debe asumir una postura conveniente.

El auditor debera vigilar que se han implantado determinadas medidas hardware paragarantizar la seguridad en los componentes, y si no es asi, dedicara una parte de suinforme de recomendaciones a que tales medidas se hagan efectivas.

Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margende seguridades. Cuando la informacion se encuentra en la memoria central se la puedeproteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoriay en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque opalabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimientode llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de protecciony a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si unainstruccion de un programa hace referencia a una direccion de memoria contenida en un

2


3/16


bloque determinado, se comprobara si la llave del programa puede abrir la cerradura delbloque en cuestion.

Claramente el sistema debera estar provisto de una llave maestra para acceder a todaslas particiones de memoria. Otro procedimiento de proteccion de memoria central es el delos registros limites, segun el cual a cada programa se asignan dos registros que

contienen respectivamente la primera y la ultima direccion de memoria a las que puedeacceder ese programa. Todas las direcciones referenciadas por el programa deberan estarcomprendidas entre los limites citados.

Hay por supuesto, mas metodos de proteccion como el que se puede establecer en laconversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencionenumerar una larga lista.

Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportunoque el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo,la paridad.

Las redes de transmision son otro punto delicado dada su fragilidad, ya que un expertopuede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarseprecauciones si la confidencialidad de la informacion a transmitir asi lo requiere.

Los dispositivos hardware para el manejo de errores introducidos por la comunicacinofrecen la ventaja de eliminar la comprobacin por parte del hombre, especialmente enaquellos casos en que esto ltimo sea un tanto dificil, por ejemplo, por la velocidad detransmisin y recepcin.

Adems de los controles que se debern establecer a la entrada de las aplicaciones deusuario cuando stas manejen datos recibidos de una transmisin' y que valorarn loscdigos y valores sensibles, existen una serie de tcnicas usadas en la deteccin deerrores como son: la utilizacin de bloques de redundancia cclica; la comprobacin deleco y la consiguiente retransmisin de datos errneos; la inclusin de paridad en losmensajes (longitudinal, transversal, diagonal): caracteres de comprobacin; registrossumarios; cdigos polinmicos, etctera. Para concluir estas lneas que se estndedicando a la auditoria de las comunicaciones se citarn algunos otros puntos que nodeben escapar del examen del auditor:

- Se revisar la documentacin sobre los aspectos tcnicos y configuracin de la red, ascomo los procedimientos de recuperacin y rearranque, al objeto de evitar en la medidade lo osible las fuertes dependencias personales que puedan proucirse.

- Se comprobarn los analisis y controles de rendimientos de la red y puestas a puntocorrespondientes para mejorar los tiempos de respuesta.

- Debe examinarse que efectivamente se est realizando una supervisin de la actividaddiaria del teleprocesomediante la revisin del logging que proporciona el sistema y no slo ante eventualesincidencias como suele ser norma en muchas instalaciones.

3


4/16


- Si el teleproceso es un elemento de importancia critica en las funciones de la entidaddebera verificarse que existen los adecuados elementos de respaldo para la red deteleproceso de modo que ante fallos de elementos claves (concentradores, ordenadorespara comunicaciones, controladores, etc.) la actividad del centro no se vea paralizada. Endeterminados casos puede ser interesante desarrollar un estudio de viabilidad para laimplantacin de una versin ms reducida del teleproceso de forma que se garantice,

cuanto menos, la continuidad de las transacciones vitales en espera de la totalrestauracin de servicio tras una caida grave.

La seguridad fisica del local donde se instalar el centro del proceso de datos es unacuestin que afortunadamente preocupa cada vez ms no ya slo a los responsables delproceso de datos, sino tambin a la direccin general a quien, como se sabe, no siemprees fcil concienciar de los temas que afecten a las funciones informaticas.

Todavia se encuentran hoy ordenadores en unas condiciones peregrina; y en los lugaresms inverosimiles pero como se est diciendo, la concienciacin es cada vez mayor y ya laalta direccin suele sentirse sensible ante la denuncia de un evidente riesgo de inundacinpor lo deficiente de la instalacin. o las posibles influencias de un campo electromagntico

prximo al computador.

A la hora de auditar la ubicacin del Centro de Procesamiento de Datos (C.P.D) se debernobservar unas precauciones elementales:

- Riesgos naturales procedentes del entorno en que se asienta el centro, tales comoinundaciones por desbordamiento de presas, rios, etc.; descargas elctricas; vientosfuertes... En la mayoria de los casos la eleccin de ubicacin deber restringirse al interiorde un edificio por lo que la posibilidad de prevencin de tales riesgos es practicamentenula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible esrealizar un anlisis de las posibles causas de siniestralidad natural, para minimizar susconsecuencias en la medida de lo posible.

- Riesgos de vecindad derivados de construnciones, edifidos y obras pblicas prximos allugar de ubicacin y que pueden aumentar el peligro de incendio (una fabrica vecina deproductos inflamables), de vibraciones, de ruidos, etc. En este caso se puede apuntar loque ya se cit en el punto anterior sobre lo inevitable de la situacin pero, al igual que sedecia alli, evalense tambin estos riesgos en aras de disminuir sus efectos.

-Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamientoexcesivo de papeles. combustibles, polvo, peligros todos ellos ms controlables que los delos puntos anteriores.Segn se ha visto, los eventuales riesgos: los queest sometido el edificio son inevitablesa menos que se pida la opinin experta del auditor-consultor cuando se vaya a instalar elC.P.D.Lo que si sera corregible en una adecuada operacin de revisin son las condiciones deseguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran lassiguientes lineas.Los elementos primarios en la configuracin de la sala son el falso piso, el suministro deenergia, la insonorizacin y el acondicionamiento de aire. En un paso posterior serevisarn las prevenciones necesarias contra el fuego, el agua, el hombre. etc.

4


5/16


-Falso suelo: es una construccin necesaria para aislar y proteger los tables de conexinde los distintos aparatos y facilitar la conduccin del aire acondicionado. Este suelo serindeormable, resistente a la humedad y a los excesos de peso mal repartidos -laconcentracin de peso por metro cuadrado que ofrece un ordenador es importante-. yestara compuesto por baldosas independienmes y removibles separadamente para

facilitar las operaciones de mantenimiento. Por supuesto que estar fabricado en unmaterial que no transmita ni la electri-cidad ni las vibraciones.

-Suministro de energia: la fuerza elctrica que alimenta al ordenador puede sufrirvariaciones, picos, cortes, que producirn turbulencias en el funcionamiento delamquina. Por ello, cuando por las condiciones ambientales estos hechos se repiten concierta frecuencia, sera casi obligado la instalacin de fuentes de alimentacinininterrumpida (UPS), dispositivos libres de este tipo de fluctuaciones. Se vigilar que sehacen revisiones peridicas del funcionamiento de tales dispositivos.

- lncluir la lucha contra el agua en el plan de formacin del personal ante situaciones de

emergencia.

Los campos magnticos, como es sabido, afectan gravemente a cintas y discos alterandosu informacin o provocando su borrado. Es posible que existan elementos ajenos a lainstalacin situados en el exterior del centro, como una potente torre elctrica o un radar,que induzcan campos que alteren los dispositivos magnticos. De ser asi, superficiesmetlicas colocadas en los muros servirn de reflectores de las seales.

La libre circulacin de personas por la sala del ordenador condiciona la seguridad de lainformtica. No es infrecuente observar esta libre circulacin sobre todo en centros deenvergadura media o pequea, a pesar de que en casi todos ellos la sealizacin derestriccin de acceso slo al personal autorizado, es bien visible.

Para la implantacin de controles de acceso se tendr lgicamente en cuenta laidiosincracia del centro de clculo. En instalaciones pequeas puede servir una adecuadaconcienciacin del personal ajeno al servicio sobre el cumplimiento de las limitaciones depaso, mientras que en instalaciones grandes donde el grado de seguridad tenga quemantener unas altas cotas, las soluciones pueden pasar por la utilizacin de mediosmecnicos, electrnicos, o incluso por la utilizadn de personal de seguridad.

Ademas de la proteccin de los accesos de personal ajeno al C.P.D., se impondrantambin restricciones de movimiento al personal del propio servicio dentro de las reasdel departamento un programador por el simple hecho de serlo no tiene porque tenerlibertad de movimientos dentro de la sala del computador y mucho menos de accin en laconsola del sistema-. Una primera divisin incluir al menos cuatro zonas basicas conderechos de acceso diferentes:

- Sala de ordenadores.- Zona de preparacin de trabajos.- Bandoteca (cintas. discos. etc.).- Zonas de analistas y programadores.

5


6/16


Asl, por ejernplo, a la bandoteca solo tendria acceso el bibliotecario de soportes, o a lasala exclusivamente el personal imprescindible para la operacion del ordenador,instaurandose los procedimientos de autorizacin oportunos para el acceso de personasdiferentes de las mencionadas.

Como medidas adicionales se evitara la existencia de otras puertas de acceso o deventanas en la sala del computador; la zona de recepcin de listados ser exterior a lasala; de existir conduccin exterior de aire acondicionado sta no debera permitir el pasode personas; de no existir otros controles, la puerta de acceso a la sala que nunca sera demadera, deber permanecer siempre cerrada; sepodra implantar un sistema de tarjetasde identificacion que permita distinguir al personal de la entidad, al personal informticoy a los eventuales visitantes (proveedores, tecnicos...). Estos visitantes estaran siempreacompaados por personal de la empresa quien, se insiste una vez mas, es necesario quese conciencie de la importancia que para la entidad tiene el concepto de seguridad, siendoeste el mejor mtodo para conseguir que todas las medidas adoptadas para garantizar talseguridad tengan xito.

La seguridad en los soportes de almacenamiento necesita de medidas preventivas como:

- Los soportes de papel requieren pocas precauciones adicionales. Si todavia subsisten lasfichas perforada: se guardaran en cajas del modo ms compacto posible, aumentando asisu resistencia al fuego y al agua. Los formularios en blanco con un cierto grado desensibilidad se guardaran en zonas de acceso restringido. Los listados se repartirn segncriterios que garanticen su confidencialidad, si es el caso, y se minimiza el tiempo queestos listados estn expuestos a ser utilizados inmoderadamente. Si el nivel de seguridadasi lo requierehabr que disponer de una moderna trituradora de papel para destruir los listadosinservibles. La documentacin relativa a proceso de datos deber contar con lascorrespondientes copias de seguridad almacenadas en un lugar exterior al edificio quealbergue al proceso de datos.

- Los soportes magnticos, aparte de las protecciones que se comentaron para el papel,requieren de todas aquellas que combatiran su fragilidad fisica. El calor, el polvo y losefectos electromagnticos son enemigos mortales para este tipo de dispositivos.

Cuando sea preciso trasladar cintas o disquetes que contengan informacin delicada a unedificio diferente puede ser incluso recomendable utilizar personal de seguridad.

Se insiste una ver ms en que todas las medidas que se han expuesto a lo largo de esteapartado necesitan necesariamente de un personal absolutamente concienciado de sunecesidad y utilizacin, adecuadamente formado para las emergencias que puedan surgir.

4. INVENTARIANDO EL HARDWARE

Una de las acciones mas comunes en la auditoria de hardware es la realizacion delinventario y la organizacin adecuada de la informacion referente a cada equipo decomputo fisico y sus perifericos dentro del Centro de Computo. Asi como los elementosque lo componen dando sus caracterisiticas. Esto es una de las primeras cosas que hayque realizar para establecer un marco adecuado de trabajo y conocer las herramientas

6


7/16


con las que trabaja el personal, para mas adelante, durante el transcurso de la auditoria,conocer si cumplen todos los requerimientos impuestos para dicho Centro de Computo(Empresa, Biblioteca, Escuela, etc.)

Una de las opciones, como ya vimos en lecciones anteriores, es hacer el inventario amano, es decir, crear una plantilla en una hoja de papel e ir equipo por equipo anotando

las caracteristicas mas relevantes acerca de el: procesador, memoria RAM, capacidad dedisco duro, perifericos, etc.

Otro metodo es hacerlo mediante el software existente para tal fin, que nos da muchamas informacion sobre el equipo y sus componentes. Incluso los hay, que puedeninventariar toda la red LAN del centro de computo sin movernos del escritorio principal oinstalar el software necesario en equipo nuevo.

Este software nos sera muy util para conocer hasta las ultimas caracteristicas de loscomponentes fisicos del ordenador, como chipset, marcas de bios, circuitos, y tener a lamano el software correspondiente o poder pedir el reemplazo de la pieza de maneraadecuada cuando el equipo falle.

Sin embargo, lo que este software aun trabajando de manera automatica a traves de unared, creando la base de datos de decenas o cientos de computadoras en cuestion deminutos no hace, es conocer cuando se compro, cuanto costo, donde se compro, a quiense compro, donde esta la garantia, cuando se realiza el mantenimiento, cuando serealizan los respaldos, donde estan ubicadas, etc.

Y esto es importante tambien para en el reporte final de la Auditoria hacer constar el ciclode mantenimiento periodico y el ciclo de respaldos o la antigedad del equipo y hacer lasrecomendaciones pertinentes; al igual que las ubicaciones incorrectas (poca iluminacion,mala ventilacion, ubicaciones inseguras, etc.).

Por lo que ademas, de contar con algun software automatizado, necesitamos inventariara mano estas otras caracteristicas.

Tambien, es posible que dicho software automatizado de auditoria de hardware(inventario) no pueda conocer a los perifericos en cuestion (unidades zip, unidades dealmacenamiento externo, impresoras, escaners u algo otro dispositivo especial), por loque habra que generar la informacion necesaria para estos dispositivos y su dependenciaal equipo de computo correcto.

Otro aspecto tambien, seria el de visualizar o maquetizar mediante un diagrama laubicacin correcta de los equipos, esto con el fin de tener un control mas preciso y rapidosobre todo el equipo de hardware de nuestro Centro de Computo y sus conexiones. Paraello, software como Microsoft PowerPoint, Microsoft Visio, Microsoft Publisher, SmartDraw,etc nos pueden ayudar con dicho diagrama.

7


8/16


NESTOR172.16.0.77

DATASERVER

(148.235.34.112)

172.16.0.70

201.153.116.244:1030

201.153.116.244:80

CAJA4

172.16.0.71

CAJA3

172.16.0.72

CAJA2

172.16.0.73

CAJA1

172.16.0.74

GOP_TIMON (BETO)

172.16.0.75

CANABAL

172.16.0.76

Hub

Switch

Radio tower

ROUTER 2WIRE

172.16.0.1

Conexion Internet con IP Fija a Rio Grande Net

por Antena Wireless Exclusiva para camaras

BACKUP (Ya no utilizada en 2006)

Conexion a Internet

con Prodigy

Infinitum 512 que

da servicio a toda

la red

Velocidad: 2MB/

256K

Enlace a Classic Glz

de la Red Local y de Internet

10.0.0.2

Conexion

red con

cable

Ethernet

Conexion

red

inalambrica

Conexion

Antena

Internet

Externa

Conexion

Antenta

Intranet

Bridge

10.0.0.1

Enlace a Timon Puente

de la Red Local y de

Internet

10.0.0.3

Printer

Printer

Printer

Fax

INTERNET

DIAGRAMA RED TIMON MATRIZ

2007

Video

Video

Enlace a Classic LVde la Red Local y de

Internet10.0.0.7

Enlace a Classic HEB

de la Red Local y de

Internet

10.0.0.4

Enlace a Timon Civicade la Red Local y de

Internet10.0.0.5

Como habiamos visto en las lecciones anteriores, uno de los pocos software que permitenel inventario de manera mas completa aunque no automatica es ComputerAdmin el cual,genera una base de datos donde almacenamos toda la informacion referente a nuestroequipo (ademas de software y help desk), pero que nos puede dar una idea de lainformacion que en la Auditoria precisamos.

8


9/16


Como vemos, no solamente nos pregunta acerca de los componentes fisicos delordenador, sino que tambien nos pregunta sobre su ubicacin, caracteristicas de la red yla asociacion con los perifericos.

9


10/16


Tambien es importante que asociemos a los usuarios de los equipos computacionales,siempre y cuando no exista mucha rotacion de personal. De esta manera, en nuestra

Auditoria podremos darnos cuenta si cuenta con las medidas de seguridad necesarias, o siel usuario esta realizando los procedimientos adecuados de respaldo, uso de software,control de informacion.

10


11/16


Y como indicamos anteriormente, tambien es importante conocer el costo del equipo,numero de factura, lugar de compra, fecha de compra, depreciacion incluso, vida de la

garantia o si tiene garantia extra y algunos datos mas acerca del vendedor.

Todo esto, ayuda al administrador del centro de computo a tener organizado la estructuray detectar o prevenir futuras fallas en los equipos mas adelante.

5. CUESTIONARIOS

11


12/16


A continuacion veamos algunos cuestionarios que se pueden realizar para la Auditoria deHardware. Se muestran a manera de ejemplo, con algunas preguntas importantes para larealizacion de la Auditoria.

Por ejemplo, este que se muestra a continuacion es sobre la seguridad del equipo de

computo:

Con estas preguntas sabremos si se estan aplicando medidas de seguridad o si existen enrealidad.

12


13/16


Este otro, aunque parece que toca pregunta acerca de software, sigue siendo sobre elacceso a la informacion que soporta el hardware y que controles o medidas se estanusando:

13


14/16


Y si el acceso fisico a los equipos cuentan con algunas medidas de seguridad:

14


15/16


Tambien, mediante esta serie de preguntas, nos daremos cuenta si existen planes decontigencia y si se siguen en caso dado:

Como podemos apreciar, no solamente es el inventario del equipo y sus componentes, o lautilizacion de algun software de automatizacion de inventario o de red, sino algunascaracteristicas mas del hardware que se utiliza en el Centro de Computo. Y aunquealgunas medidas, preguntas, caracteristicas tocan la Auditoria de Seguridad (tanto parahardware como software y recursos extra) se complementan tambien dentro de estecapitulo.

15


16/16


16

leccion 8.4.1 auditoria de hardware

Documents