IDSystems Administracion de Centros de Computo 8.

8.4.1 AUDITORIA DE HARWARE

1. INTRODUCCION

A medida que una empresa incrementa su grado de informatizacion aumenta

progresivamente el tratamiento de la informacion. Asi, muchas de las actividades
empresariales dependen de la exactitud y seguridad de la informacion con que se opera.

Cualquier distorsion cobra cada vez mayor vigencia la maxima que dice que la informacion
de una empresa es parte importante de su activo y, en consecuencia, toma relevante
importancia el garantizar su calidad e integridad.

A tal fin, la auditoria del entorno hardware vendra a verificar la seguridad no solamente en
la operativa de los componentes materiales del ordenador, sino de todo lo relativo a los
aspectos fisicos concernientes al departamento de procesos de datos.

En este capitulo se pretende un acercamiento a la auditoria del entorno operativo

hardware: sus objetivos, formas de actuacion, puntos a revisar, recomendaciones a tener
en cuenta, etc.

Se incluyen tambien unas paginas dedicadas a los planes de contingencia y desastre.

Concluye el capitulo con un cuestionario-guia de auditoria.

Y como hemos visto a lo largo de este curso de Administracion de Centros de Computo,

generalmente la Auditoria Informatica en el area de Hardware utiliza alguno de las
herramientas de software que para tal fin fueron creadas, y las cuales abundan.

2. OBJETIVOS DE AUDITORIA

Para "aterrizar" en el tema objeto de este capitulo se enumeraran algunos de los objetivos
de la auditoria informatica del entorno hardware:

- Determinar si el hardware se utiliza eficientemente

1
 IDSystems Administracion de Centros de Computo 8.4

- Revisar los informes de la direccion sobre la utilizacion del

hardware
- Revisar si el equipo se utiliza por el personal autorizado.
- Examinar los estudios de adquisicion, seleccion y evolucion del
hardware
- Comprobar las condiciones ambientales
- Revisar el inventario hardware
- Verificar los procedimientos de seguridad fisica
- Examinar los controles de acceso fisico
- Revisar la seguridad fisica de los componentes de la red de teleproceso
- Revisar los controles sobre la transmision de los datos entre los perifericos y el
ordenador
- Comprobar los procedimientos de prevencion/deteccion/correccion frente a cualquier tipo
de desastre
- Colaborar en la confeccion de un plan de contingencias y desastres.

3. AUDITORIA INFORMATICA DEL ENTORNO HARDWARE

Como ya se decia al principio del capitulo, cuando se utiliza el termino "hardware" se

estan englobando todos aquellos aspectos materiales, fisicos, es decir que "se ven" y "se
tocan", dentro de la funcion informatica de la empresa.

Por ello, cuando el auditor informatico planifique su revision del entorno hardware, debe
pensar tanto en examinar las seguridades y por contra las debilidades de los componentes
fisicos del equipo, de las comunicaciones, etc., y tambien, por supuesto, de las
seguridades fisicas de la instalacion donde se ubica el centro de proceso de datos.

Cuando se audita la seguridad de los componentes materiales (unidad central y

perifericos) debera tenerse presente que la multiprogramacion añade riesgos adicionales
por las posibles interacciones entre usuarios que pueden provocar que de modo accidental
o provocado se interfieran datos o programas de otro usuario a los que en principio
deberia estar restringido el acceso. Por consiguiente, deberan tomarse medidas para
evitar este tipo de problemas. Estas pueden en su mayor parte estar bajo la supervision
del software, si bien el hardware debe asumir una postura conveniente.

El auditor debera vigilar que se han implantado determinadas medidas hardware para
garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su
informe de recomendaciones a que tales medidas se hagan efectivas.

Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margen
de seguridades. Cuando la informacion se encuentra en la memoria central se la puede
proteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoria
y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque o
palabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimiento
de llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de proteccion
y a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si una
instruccion de un programa hace referencia a una direccion de memoria contenida en un

2
 IDSystems Administracion de Centros de Computo 8.4

bloque determinado, se comprobara si la llave del programa puede abrir la cerradura del
bloque en cuestion.

Claramente el sistema debera estar provisto de una llave maestra para acceder a todas
las particiones de memoria. Otro procedimiento de proteccion de memoria central es el de
los registros limites, segun el cual a cada programa se asignan dos registros que
contienen respectivamente la primera y la ultima direccion de memoria a las que puede
acceder ese programa. Todas las direcciones referenciadas por el programa deberan estar
comprendidas entre los limites citados.

Hay por supuesto, mas metodos de proteccion como el que se puede establecer en la
conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion
enumerar una larga lista.

Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno
que el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo,
la paridad.

Las redes de transmision son otro punto delicado dada su fragilidad, ya que un experto
puede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarse
precauciones si la confidencialidad de la informacion a transmitir asi lo requiere.

Los dispositivos hardware para el manejo de errores introducidos por la comunicación

ofrecen la ventaja de eliminar la comprobación por parte del hombre, especialmente en
aquellos casos en que esto último sea un tanto dificil, por ejemplo, por la velocidad de
transmisión y recepción.

Además de los controles que se deberán establecer a la entrada de las aplicaciones de

usuario cuando éstas manejen datos recibidos de una transmisión' y que valorarán los
códigos y valores sensibles, existen una serie de técnicas usadas en la detección de
errores como son: la utilización de bloques de redundancia cíclica; la comprobación del
eco y la consiguiente retransmisión de datos erróneos; la inclusión de paridad en los
mensajes (longitudinal, transversal, diagonal): caracteres de comprobación; registros
sumarios; códigos polinómicos, etcétera. Para concluir estas líneas que se están
dedicando a la auditoria de las comunicaciones se citarán algunos otros puntos que no
deben escapar del examen del auditor:

- Se revisará la documentación sobre los aspectos técnicos y configuración de la red, así

como los procedimientos de recuperación y rearranque, al objeto de evitar en la medida
de lo ãosible las fuertes dependencias personales que puedan proucirse.

- Se comprobarán los analisis y controles de rendimientos de la red y puestas a punto

correspondientes para mejorar los tiempos de respuesta.

- Debe examinarse que efectivamente se está realizando una supervisión de la actividad

diaria del teleproceso
mediante la revisión del «logging› que proporciona el sistema y no sólo ante eventuales
incidencias como suele ser norma en muchas instalaciones.

3
 IDSystems Administracion de Centros de Computo 8.4

- Si el teleproceso es un elemento de importancia critica en las funciones de la entidad

debera verificarse que existen los adecuados elementos de respaldo para la red de
teleproceso de modo que ante fallos de elementos claves (concentradores, ordenadores
para comunicaciones, controladores, etc.) la actividad del centro no se vea paralizada. En
determinados casos puede ser interesante desarrollar un estudio de viabilidad para la
implantación de una versión más reducida del teleproceso de forma que se garantice,
cuanto menos, la continuidad de las transacciones vitales en espera de la total
restauración de servicio tras una caida grave.

La seguridad fisica del local donde se instalará el centro del proceso de datos es una
cuestión que afortunadamente preocupa cada vez más no ya sólo a los responsables del
proceso de datos, sino también a la dirección general a quien, como se sabe, no siempre
es fácil concienciar de los temas que afecten a las funciones informaticas.

Todavia se encuentran hoy ordenadores en unas condiciones peregrina; y en los lugares

más inverosimiles pero como se está diciendo, la concienciación es cada vez mayor y ya la
alta dirección suele sentirse sensible ante la denuncia de un evidente riesgo de inundación
por lo deficiente de la instalación. o las posibles influencias de un campo electromagnético
próximo al computador.

A la hora de auditar la ubicación del Centro de Procesamiento de Datos (C.P.D) se deberán

observar unas precauciones elementales:

- Riesgos naturales procedentes del entorno en que se asienta el centro, tales como
inundaciones por desbordamiento de presas, rios, etc.; descargas eléctricas; vientos
fuertes... En la mayoria de los casos la elección de ubicación deberá restringirse al interior
de un edificio por lo que la posibilidad de prevención de tales riesgos es practicamente
nula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible es
realizar un análisis de las posibles causas de siniestralidad natural, para minimizar sus
consecuencias en la me
dida de lo posible.

- Riesgos de vecindad derivados de construnciones, edifidos y obras públicas próximos al

lugar de ubicación y que pueden aumentar el peligro de incendio (una fabrica vecina de
productos inflamables), de vibraciones, de ruidos, etc. En este caso se puede apuntar lo
que ya se citó en el punto anterior sobre lo inevitable de la situación pero, al igual que se
decia alli, evalúense también estos riesgos en aras de disminuir sus efectos.

-Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamiento
excesivo de papeles. combustibles, polvo, peligros todos ellos más controlables que los de
los puntos anteriores.
Según se ha visto, los eventuales riesgos: los queestå sometido el edificio son inevitables
a menos que se pida la opinión experta del auditor-consultor cuando se vaya a instalar el
C.P.D.
Lo que si sera corregible en una adecuada operación de revisión son las condiciones de
seguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran las
siguientes lineas.
Los elementos primarios en la configuración de la sala son el falso piso, el suministro de
energia, la insonorización y el acondicionamiento de aire. En un paso posterior se
revisarán las prevenciones necesarias contra el fuego, el agua, el hombre. etc.

4
 IDSystems Administracion de Centros de Computo 8.4

-Falso suelo: es una construcción necesaria para aislar y proteger los tables de conexión
de los distintos aparatos y facilitar la conducción del aire acondicionado. Este suelo será
indeíormable, resistente a la humedad y a los excesos de peso mal repartidos -la
concentración de peso por metro cuadrado que ofrece un ordenador es importante-. y
estara compuesto por baldosas independienmes y removibles separadamente para
facilitar las operaciones de mantenimiento. Por supuesto que estará fabricado en un
material que no transmita ni la electri-
cidad ni las vibraciones.

-Suministro de energia: la fuerza eléctrica que alimenta al ordenador puede sufrir

variaciones, picos, cortes, que producirán turbulencias en el funcionamiento dela
máquina. Por ello, cuando por las condiciones ambientales estos hechos se repiten con
cierta frecuencia, sera casi obligado la instalación de fuentes de alimentación
ininterrumpida (UPS), dispositivos libres de este tipo de fluctuaciones. Se vigilará que se
hacen revisiones periódicas del funcionamiento de tales dispositivos.

- lncluir la lucha contra el agua en el plan de formación del personal ante situaciones de
emergencia.

Los campos magnéticos, como es sabido, afectan gravemente a cintas y discos alterando
su información o provocando su borrado. Es posible que existan elementos ajenos a la
instalación situados en el exterior del centro, como una potente torre eléctrica o un radar,
que induzcan campos que alteren los dispositivos magnéticos. De ser asi, superficies
metálicas colocadas en los muros servirán de reflectores de las señales.

La libre circulación de personas por la sala del ordenador condiciona la seguridad de la

informática. No es infrecuente observar esta libre circulación sobre todo en centros de
envergadura media o pequeña, a pesar de que en casi todos ellos la señalización de
restricción de acceso sólo al personal autorizado, es bien visible.

Para la implantación de controles de acceso se tendrá lógicamente en cuenta la

idiosincracia del centro de cálculo. En instalaciones pequeñas puede servir una adecuada
concienciación del personal ajeno al servicio sobre el cumplimiento de las limitaciones de
paso, mientras que en instalaciones grandes donde el grado de seguridad tenga que
mantener unas altas cotas, las soluciones pueden pasar por la utilización de medios
mecánicos, electrónicos, o incluso por la utilizadón de personal de seguridad.

Ademas de la protección de los accesos de personal ajeno al C.P.D., se impondran

también restricciones de movimiento al personal del propio servicio dentro de las áreas
del departamento –un programador por el simple hecho de serlo no tiene porque tener
libertad de movimientos dentro de la sala del computador y mucho menos de acción en la
consola del sistema-. Una primera división incluirá al menos cuatro zonas basicas con
derechos de acceso diferentes:

- Sala de ordenadores.
- Zona de preparación de trabajos.
- Bandoteca (cintas. discos. etc.).
- Zonas de analistas y programadores.

5
 IDSystems Administracion de Centros de Computo 8.4

Asl, por ejernplo, a la bandoteca solo tendria acceso el bibliotecario de soportes, o a la

sala exclusivamente el personal imprescindible para la operacion del ordenador,
instaurandose los procedimientos de autorización oportunos para el acceso de personas
diferentes de las mencionadas.

Como medidas adicionales se evitara la existencia de otras puertas de acceso o de

ventanas en la sala del computador; la zona de recepción de listados será exterior a la
sala; de existir conducción exterior de aire acondicionado ésta no debera permitir el paso
de personas; de no existir otros controles, la puerta de acceso a la sala que nunca sera de
madera, deberá permanecer siempre cerrada; sepodra implantar un sistema de tarjetas
de identificacion que permita distinguir al personal de la entidad, al personal informático
y a los eventuales visitantes (proveedores, tecnicos...). Estos visitantes estaran siempre
acompañados por personal de la empresa quien, se insiste una vez mas, es necesario que
se conciencie de la importancia que para la entidad tiene el concepto de seguridad, siendo
este el mejor método para conseguir que todas las medidas adoptadas para garantizar tal
seguridad tengan éxito.

La seguridad en los soportes de almacenamiento necesita de medidas preventivas como:

- Los soportes de papel requieren pocas precauciones adicionales. Si todavia subsisten las
fichas perforada: se guardaran en cajas del modo más compacto posible, aumentando asi
su resistencia al fuego y al agua. Los formularios en blanco con un cierto grado de
sensibilidad se guardaran en zonas de acceso restringido. Los listados se repartirán según
criterios que garanticen su confidencialidad, si es el caso, y se minimiza el tiempo que
estos listados están expuestos a ser utilizados inmoderadamente. Si el nivel de seguridad
asi lo requiere
habrá que disponer de una moderna trituradora de papel para destruir los listados
inservibles. La documentación relativa a proceso de datos deberá contar con las
correspondientes copias de seguridad almacenadas en un lugar exterior al edificio que
albergue al proceso de datos.

- Los soportes magnéticos, aparte de las protecciones que se comentaron para el papel,
requieren de todas aquellas que combatiran su fragilidad fisica. El calor, el polvo y los
efectos electromagnéticos son enemigos mortales para este tipo de dispositivos.

Cuando sea preciso trasladar cintas o disquetes que contengan información delicada a un
edificio diferente puede ser incluso recomendable utilizar personal de seguridad.

Se insiste una ver más en que todas las medidas que se han expuesto a lo largo de este
apartado necesitan necesariamente de un personal absolutamente concienciado de su
necesidad y utilización, adecuadamente formado para las emergencias que puedan surgir.

4. INVENTARIANDO EL HARDWARE

Una de las acciones mas comunes en la auditoria de hardware es la realizacion del

inventario y la organización adecuada de la informacion referente a cada equipo de
computo fisico y sus perifericos dentro del Centro de Computo. Asi como los elementos
que lo componen dando sus caracterisiticas. Esto es una de las primeras cosas que hay
que realizar para establecer un marco adecuado de trabajo y conocer las herramientas

6
 IDSystems Administracion de Centros de Computo 8.4

con las que trabaja el personal, para mas adelante, durante el transcurso de la auditoria,
conocer si cumplen todos los requerimientos impuestos para dicho Centro de Computo
(Empresa, Biblioteca, Escuela, etc.)

Una de las opciones, como ya vimos en lecciones anteriores, es hacer el inventario “a

mano”, es decir, crear una plantilla en una hoja de papel e ir equipo por equipo anotando
las caracteristicas mas relevantes acerca de el: procesador, memoria RAM, capacidad de
disco duro, perifericos, etc.

Otro metodo es hacerlo mediante el software existente para tal fin, que nos da mucha
mas informacion sobre el equipo y sus componentes. Incluso los hay, que pueden
inventariar toda la red LAN del centro de computo sin movernos del escritorio principal o
instalar el software necesario en equipo nuevo.

Este software nos sera muy util para conocer hasta las ultimas caracteristicas de los
componentes fisicos del ordenador, como chipset, marcas de bios, circuitos, y tener a la
mano el software correspondiente o poder pedir el reemplazo de la pieza de manera
adecuada cuando el equipo falle.

Sin embargo, lo que este software aun trabajando de manera automatica a traves de una
red, creando la base de datos de decenas o cientos de computadoras en cuestion de
minutos no hace, es conocer cuando se compro, cuanto costo, donde se compro, a quien
se compro, donde esta la garantia, cuando se realiza el mantenimiento, cuando se
realizan los respaldos, donde estan ubicadas, etc.

Y esto es importante tambien para en el reporte final de la Auditoria hacer constar el ciclo
de mantenimiento periodico y el ciclo de respaldos o la antigüedad del equipo y hacer las
recomendaciones pertinentes; al igual que las ubicaciones incorrectas (poca iluminacion,
mala ventilacion, ubicaciones inseguras, etc.).

Por lo que ademas, de contar con algun software automatizado, necesitamos inventariar
“a mano” estas otras caracteristicas.

Tambien, es posible que dicho software automatizado de auditoria de hardware

(inventario) no pueda “conocer” a los perifericos en cuestion (unidades zip, unidades de
almacenamiento externo, impresoras, escaners u algo otro dispositivo especial), por lo
que habra que generar la informacion necesaria para estos dispositivos y su dependencia
al equipo de computo correcto.

Otro aspecto tambien, seria el de “visualizar” o “maquetizar” mediante un diagrama la

ubicación correcta de los equipos, esto con el fin de tener un control mas preciso y rapido
sobre todo el equipo de hardware de nuestro Centro de Computo y sus conexiones. Para
ello, software como Microsoft PowerPoint, Microsoft Visio, Microsoft Publisher, SmartDraw,
etc nos pueden ayudar con dicho diagrama.

7
 IDSystems Administracion de Centros de Computo 8.4

Conexion Internet con IP Fija a Rio Grande Net

por Antena Wireless Exclusiva para camaras

BACKUP (Ya no utilizada en 2006)

INTERNET DATASERVER
(148.235.34.112) Radio tower Conexion
red con
172.16.0.70 cable
201.153.116.244:1030 Ethernet
Video 201.153.116.244:80
Conexion
red
Bridge inalambrica
10.0.0.1
Conexion
ROUTER 2WIRE Conexion a Internet Antena
172.16.0.1 con Prodigy Internet
Infinitum 512 que CAJA4 CAJA3 CAJA2 CAJA1 Externa
da servicio a toda 172.16.0.71 172.16.0.72 172.16.0.73 172.16.0.74
la red Conexion
Switch
Velocidad: 2MB/ Antenta
256K Intranet

Hub

Enlace a Timon Puente Enlace a Timon Civica Video

de la Red Local y de de la Red Local y de Fax
Internet Internet
10.0.0.3 10.0.0.5
GOP_TIMON (BETO)
172.16.0.75
Printer

NESTOR
172.16.0.77
Printer
DIAGRAMA RED TIMON MATRIZ
Enlace a Classic Glz
2007
de la Red Local y de Internet
10.0.0.2 Printer
CANABAL
172.16.0.76
Enlace a Classic LV
de la Red Local y de
Internet
10.0.0.7
Enlace a Classic HEB
de la Red Local y de
Internet
10.0.0.4

Como habiamos visto en las lecciones anteriores, uno de los pocos software que permiten
el inventario de manera mas completa aunque no automatica es ComputerAdmin el cual,
genera una base de datos donde almacenamos toda la informacion referente a nuestro
equipo (ademas de software y help desk), pero que nos puede dar una idea de la
informacion que en la Auditoria precisamos.

8
 IDSystems Administracion de Centros de Computo 8.4

Como vemos, no solamente nos pregunta acerca de los componentes fisicos del
ordenador, sino que tambien nos pregunta sobre su ubicación, caracteristicas de la red y
la asociacion con los perifericos.

9
 IDSystems Administracion de Centros de Computo 8.4

Tambien es importante que asociemos a los usuarios de los equipos computacionales,

siempre y cuando no exista mucha rotacion de personal. De esta manera, en nuestra
Auditoria podremos darnos cuenta si cuenta con las medidas de seguridad necesarias, o si
el usuario esta realizando los procedimientos adecuados de respaldo, uso de software,
control de informacion.

10
 IDSystems Administracion de Centros de Computo 8.4

Y como indicamos anteriormente, tambien es importante conocer el costo del equipo,

numero de factura, lugar de compra, fecha de compra, depreciacion incluso, vida de la
garantia o si tiene garantia extra y algunos datos mas acerca del vendedor.

Todo esto, ayuda al administrador del centro de computo a tener organizado la estructura
y detectar o prevenir futuras fallas en los equipos mas adelante.

5. CUESTIONARIOS

11
 IDSystems Administracion de Centros de Computo 8.4

A continuacion veamos algunos cuestionarios que se pueden realizar para la Auditoria de

Hardware. Se muestran a manera de ejemplo, con algunas preguntas importantes para la
realizacion de la Auditoria.

Por ejemplo, este que se muestra a continuacion es sobre la seguridad del equipo de
computo:

Con estas preguntas sabremos si se estan aplicando medidas de seguridad o si existen en

realidad.

12
 IDSystems Administracion de Centros de Computo 8.4

Este otro, aunque parece que toca pregunta acerca de software, sigue siendo sobre el
acceso a la informacion que soporta el hardware y que controles o medidas se estan
usando:

13
 IDSystems Administracion de Centros de Computo 8.4

Y si el acceso fisico a los equipos cuentan con algunas medidas de seguridad:

14
 IDSystems Administracion de Centros de Computo 8.4

Tambien, mediante esta serie de preguntas, nos daremos cuenta si existen planes de
contigencia y si se siguen en caso dado:

Como podemos apreciar, no solamente es el inventario del equipo y sus componentes, o la

utilizacion de algun software de automatizacion de inventario o de red, sino algunas
caracteristicas mas del hardware que se utiliza en el Centro de Computo. Y aunque
algunas medidas, preguntas, caracteristicas tocan la Auditoria de Seguridad (tanto para
hardware como software y recursos extra) se complementan tambien dentro de este
capitulo.

15
IDSystems Administracion de Centros de Computo 8.4

16