Beruflich Dokumente
Kultur Dokumente
1. INTRODUCCION
Cualquier distorsion cobra cada vez mayor vigencia la maxima que dice que la informacion
de una empresa es parte importante de su activo y, en consecuencia, toma relevante
importancia el garantizar su calidad e integridad.
A tal fin, la auditoria del entorno hardware vendra a verificar la seguridad no solamente en
la operativa de los componentes materiales del ordenador, sino de todo lo relativo a los
aspectos fisicos concernientes al departamento de procesos de datos.
2. OBJETIVOS DE AUDITORIA
Para "aterrizar" en el tema objeto de este capitulo se enumeraran algunos de los objetivos
de la auditoria informatica del entorno hardware:
1
IDSystems Administracion de Centros de Computo 8.4
Por ello, cuando el auditor informatico planifique su revision del entorno hardware, debe
pensar tanto en examinar las seguridades y por contra las debilidades de los componentes
fisicos del equipo, de las comunicaciones, etc., y tambien, por supuesto, de las
seguridades fisicas de la instalacion donde se ubica el centro de proceso de datos.
El auditor debera vigilar que se han implantado determinadas medidas hardware para
garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su
informe de recomendaciones a que tales medidas se hagan efectivas.
Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margen
de seguridades. Cuando la informacion se encuentra en la memoria central se la puede
proteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoria
y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque o
palabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimiento
de llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de proteccion
y a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si una
instruccion de un programa hace referencia a una direccion de memoria contenida en un
2
IDSystems Administracion de Centros de Computo 8.4
bloque determinado, se comprobara si la llave del programa puede abrir la cerradura del
bloque en cuestion.
Claramente el sistema debera estar provisto de una llave maestra para acceder a todas
las particiones de memoria. Otro procedimiento de proteccion de memoria central es el de
los registros limites, segun el cual a cada programa se asignan dos registros que
contienen respectivamente la primera y la ultima direccion de memoria a las que puede
acceder ese programa. Todas las direcciones referenciadas por el programa deberan estar
comprendidas entre los limites citados.
Hay por supuesto, mas metodos de proteccion como el que se puede establecer en la
conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion
enumerar una larga lista.
Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno
que el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo,
la paridad.
Las redes de transmision son otro punto delicado dada su fragilidad, ya que un experto
puede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarse
precauciones si la confidencialidad de la informacion a transmitir asi lo requiere.
3
IDSystems Administracion de Centros de Computo 8.4
La seguridad fisica del local donde se instalará el centro del proceso de datos es una
cuestión que afortunadamente preocupa cada vez más no ya sólo a los responsables del
proceso de datos, sino también a la dirección general a quien, como se sabe, no siempre
es fácil concienciar de los temas que afecten a las funciones informaticas.
- Riesgos naturales procedentes del entorno en que se asienta el centro, tales como
inundaciones por desbordamiento de presas, rios, etc.; descargas eléctricas; vientos
fuertes... En la mayoria de los casos la elección de ubicación deberá restringirse al interior
de un edificio por lo que la posibilidad de prevención de tales riesgos es practicamente
nula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible es
realizar un análisis de las posibles causas de siniestralidad natural, para minimizar sus
consecuencias en la me
dida de lo posible.
-Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamiento
excesivo de papeles. combustibles, polvo, peligros todos ellos más controlables que los de
los puntos anteriores.
Según se ha visto, los eventuales riesgos: los queestå sometido el edificio son inevitables
a menos que se pida la opinión experta del auditor-consultor cuando se vaya a instalar el
C.P.D.
Lo que si sera corregible en una adecuada operación de revisión son las condiciones de
seguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran las
siguientes lineas.
Los elementos primarios en la configuración de la sala son el falso piso, el suministro de
energia, la insonorización y el acondicionamiento de aire. En un paso posterior se
revisarán las prevenciones necesarias contra el fuego, el agua, el hombre. etc.
4
IDSystems Administracion de Centros de Computo 8.4
-Falso suelo: es una construcción necesaria para aislar y proteger los tables de conexión
de los distintos aparatos y facilitar la conducción del aire acondicionado. Este suelo será
indeíormable, resistente a la humedad y a los excesos de peso mal repartidos -la
concentración de peso por metro cuadrado que ofrece un ordenador es importante-. y
estara compuesto por baldosas independienmes y removibles separadamente para
facilitar las operaciones de mantenimiento. Por supuesto que estará fabricado en un
material que no transmita ni la electri-
cidad ni las vibraciones.
- lncluir la lucha contra el agua en el plan de formación del personal ante situaciones de
emergencia.
Los campos magnéticos, como es sabido, afectan gravemente a cintas y discos alterando
su información o provocando su borrado. Es posible que existan elementos ajenos a la
instalación situados en el exterior del centro, como una potente torre eléctrica o un radar,
que induzcan campos que alteren los dispositivos magnéticos. De ser asi, superficies
metálicas colocadas en los muros servirán de reflectores de las señales.
- Sala de ordenadores.
- Zona de preparación de trabajos.
- Bandoteca (cintas. discos. etc.).
- Zonas de analistas y programadores.
5
IDSystems Administracion de Centros de Computo 8.4
- Los soportes de papel requieren pocas precauciones adicionales. Si todavia subsisten las
fichas perforada: se guardaran en cajas del modo más compacto posible, aumentando asi
su resistencia al fuego y al agua. Los formularios en blanco con un cierto grado de
sensibilidad se guardaran en zonas de acceso restringido. Los listados se repartirán según
criterios que garanticen su confidencialidad, si es el caso, y se minimiza el tiempo que
estos listados están expuestos a ser utilizados inmoderadamente. Si el nivel de seguridad
asi lo requiere
habrá que disponer de una moderna trituradora de papel para destruir los listados
inservibles. La documentación relativa a proceso de datos deberá contar con las
correspondientes copias de seguridad almacenadas en un lugar exterior al edificio que
albergue al proceso de datos.
- Los soportes magnéticos, aparte de las protecciones que se comentaron para el papel,
requieren de todas aquellas que combatiran su fragilidad fisica. El calor, el polvo y los
efectos electromagnéticos son enemigos mortales para este tipo de dispositivos.
Cuando sea preciso trasladar cintas o disquetes que contengan información delicada a un
edificio diferente puede ser incluso recomendable utilizar personal de seguridad.
Se insiste una ver más en que todas las medidas que se han expuesto a lo largo de este
apartado necesitan necesariamente de un personal absolutamente concienciado de su
necesidad y utilización, adecuadamente formado para las emergencias que puedan surgir.
4. INVENTARIANDO EL HARDWARE
6
IDSystems Administracion de Centros de Computo 8.4
con las que trabaja el personal, para mas adelante, durante el transcurso de la auditoria,
conocer si cumplen todos los requerimientos impuestos para dicho Centro de Computo
(Empresa, Biblioteca, Escuela, etc.)
Otro metodo es hacerlo mediante el software existente para tal fin, que nos da mucha
mas informacion sobre el equipo y sus componentes. Incluso los hay, que pueden
inventariar toda la red LAN del centro de computo sin movernos del escritorio principal o
instalar el software necesario en equipo nuevo.
Este software nos sera muy util para conocer hasta las ultimas caracteristicas de los
componentes fisicos del ordenador, como chipset, marcas de bios, circuitos, y tener a la
mano el software correspondiente o poder pedir el reemplazo de la pieza de manera
adecuada cuando el equipo falle.
Sin embargo, lo que este software aun trabajando de manera automatica a traves de una
red, creando la base de datos de decenas o cientos de computadoras en cuestion de
minutos no hace, es conocer cuando se compro, cuanto costo, donde se compro, a quien
se compro, donde esta la garantia, cuando se realiza el mantenimiento, cuando se
realizan los respaldos, donde estan ubicadas, etc.
Y esto es importante tambien para en el reporte final de la Auditoria hacer constar el ciclo
de mantenimiento periodico y el ciclo de respaldos o la antigüedad del equipo y hacer las
recomendaciones pertinentes; al igual que las ubicaciones incorrectas (poca iluminacion,
mala ventilacion, ubicaciones inseguras, etc.).
Por lo que ademas, de contar con algun software automatizado, necesitamos inventariar
“a mano” estas otras caracteristicas.
7
IDSystems Administracion de Centros de Computo 8.4
INTERNET DATASERVER
(148.235.34.112) Radio tower Conexion
red con
172.16.0.70 cable
201.153.116.244:1030 Ethernet
Video 201.153.116.244:80
Conexion
red
Bridge inalambrica
10.0.0.1
Conexion
ROUTER 2WIRE Conexion a Internet Antena
172.16.0.1 con Prodigy Internet
Infinitum 512 que CAJA4 CAJA3 CAJA2 CAJA1 Externa
da servicio a toda 172.16.0.71 172.16.0.72 172.16.0.73 172.16.0.74
la red Conexion
Switch
Velocidad: 2MB/ Antenta
256K Intranet
Hub
NESTOR
172.16.0.77
Printer
DIAGRAMA RED TIMON MATRIZ
Enlace a Classic Glz
2007
de la Red Local y de Internet
10.0.0.2 Printer
CANABAL
172.16.0.76
Enlace a Classic LV
de la Red Local y de
Internet
10.0.0.7
Enlace a Classic HEB
de la Red Local y de
Internet
10.0.0.4
Como habiamos visto en las lecciones anteriores, uno de los pocos software que permiten
el inventario de manera mas completa aunque no automatica es ComputerAdmin el cual,
genera una base de datos donde almacenamos toda la informacion referente a nuestro
equipo (ademas de software y help desk), pero que nos puede dar una idea de la
informacion que en la Auditoria precisamos.
8
IDSystems Administracion de Centros de Computo 8.4
Como vemos, no solamente nos pregunta acerca de los componentes fisicos del
ordenador, sino que tambien nos pregunta sobre su ubicación, caracteristicas de la red y
la asociacion con los perifericos.
9
IDSystems Administracion de Centros de Computo 8.4
10
IDSystems Administracion de Centros de Computo 8.4
Todo esto, ayuda al administrador del centro de computo a tener organizado la estructura
y detectar o prevenir futuras fallas en los equipos mas adelante.
5. CUESTIONARIOS
11
IDSystems Administracion de Centros de Computo 8.4
Por ejemplo, este que se muestra a continuacion es sobre la seguridad del equipo de
computo:
12
IDSystems Administracion de Centros de Computo 8.4
Este otro, aunque parece que toca pregunta acerca de software, sigue siendo sobre el
acceso a la informacion que soporta el hardware y que controles o medidas se estan
usando:
13
IDSystems Administracion de Centros de Computo 8.4
14
IDSystems Administracion de Centros de Computo 8.4
Tambien, mediante esta serie de preguntas, nos daremos cuenta si existen planes de
contigencia y si se siguen en caso dado:
15
IDSystems Administracion de Centros de Computo 8.4
16