Auditoria de centro de cómputo

La auditoria en un centro de cómputo es el conjunto de recursos de cómputo con los cuales se

administra, asegura, controla, planea, distribuye la información. Cuyo objetivo principal es aplicar
los conocimientos adquiridos en la compañía donde se realiza la auditoria, para así buscar las fallas
principales que están afectando la seguridad Incrementar la satisfacción de los usuarios
asegurando una mayor integridad, confidencialidad y confiabilidad de la información. También
mirar el funcionamiento de los controles de seguridad que se tienen en funcionamiento , mirar sus
fallas y así poder mejorar estos de un modo que la compañía no se vea tan afectada a la hora de
sufrir daños tanto en el sistema como en la información

Auditoria de un Centro de Procesamiento de Datos

“es aquella ubicación donde se concentran los recursos necesarios para el procesamiento de la
información de una organización”

Auditoria de un Centro de Procesamiento de Datos Función Garantizar que los sistemas de

ordenador salvaguardan los “bienes” de la organización, mantienen la integridad de los datos y
alcanzan los objetivos de la empresa de un modo eficaz y efectivo.”

Auditoria de un Centro de Procesamiento de Datos Se debe tomar en cuenta: • Seguridad Física •

Seguridad Lógica

Seguridad Física Entran dentro de esta categoría todas las medidas para asegurar la integridad
física de los equipos almacenados:

• Control de acceso: aquellos compartimentos del centro de procesamiento de datos que albergan
la infraestructura más valiosa

• Pruebas de mecanismos de detección y alarma: es obligatorio realizar pruebas periódicas de los

sistemas. Es recomendable dedicar tiempo a esto.

Seguridad Física

• Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las zonas
cero del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las
vías de acceso convencionales, pero relativamente sencillo si se utilizan los accesos especiales para
equipamiento y proveedores

• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo

de seguridad encargado y ver que no tengan fisuras dentro de su vigilancia

Seguridad Física

• Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las zonas
cero del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las
vías de acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos
especiales para equipamiento y proveedores

• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo

de seguridad encargado y ver que no tengan fisuras dentro de su vigilancia

Seguridad Física

• Gestión de energía y continuidad: en estos centros se consume mucha energía, y por tanto,
requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante
cualquier tipo de incidente

• Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o

destinados al uso de múltiples clientes

Seguridad Lógica “aquella que compete a lo que no es estrictamente físico, y que como su propio
nombre indica, deriva de las condiciones lógicas de los distintos sistemas que componen el
proceso de negocio en estudio.”

Seguridad Lógica Tomar en cuenta los siguientes aspectos:

• Actualización de los sistemas: Conviene siempre obtener evidencias de que los sistemas se están
actualizando, y es deseable poder verificar con alguna herramienta de análisis de vulnerabilidades
la fiabilidad de lo que nos cuentan con los papeles por delante

Seguridad Lógica

• Configuración de seguridad: Se incluye la ausencia de seguridad que deriva de la falta de

militarización de los componentes puestos en producción

• Operaciones de seguridad: En un centro de procesamiento de datos tiene que haber operaciones

de seguridad, sí o sí.

Seguridad Lógica

• Segregación de entornos: Tener entornos de producción, aceptación, soporte, desarrollo y

pruebas compartiendo los mismos discos en distintas particiones es normal, pero también es
posible cometer errores de configuración que permitan el salto entre particiones

Seguridad Lógica

• Datos reales en entornos no controlados: Conviene cerciorarse de que los entornos no

controlados, no contienen datos reales, o que contemplan medidas de enmascaramiento para
impedir que los datos reales de la producción acaben en las memorias USB de los desarrolladores

Seguridad Lógica
• Cifrado: Hay que comprobar que en general los datos en tránsito y en reposo están cifrados allí
donde es susceptible interceptarlo

• Compartir de la red: Las redes tienen que tener suficiente segmentación no sólo para poder
soportar adecuadamente la segregación de entornos, sino la creación de zonas con distintos
requisitos de seguridad

Seguridad Lógica

• Gestión de cambios: La colocación de código malicioso en la producción por la falta de

herramientas de inspección automática del código

• Accesos privilegiados: En un centro de procesamiento de datos es necesario tener accesos

privilegiados para poder operar los servicios

Seguridad Lógica

• Accesos remotos de terceras partes: Tratar de comprender cómo acceden las terceras partes a
la infraestructura es importante, y cuáles son las limitaciones de su acceso

• Continuidad y recuperación: Aspectos esenciales de un centro de procesamiento de datos. Las

máquinas se rompen, la electricidad se pierde. Las tuberías se estropean, etc.

¿Responde la CPU a todas las peticiones dentro de un periodo especificado de tiempo? ¿Hay
suficiente almacenamiento para guardar los datos necesarios?  ¿Es la tasa de transmisión de
datos lo suficientemente rápida para manejar todo los datos? ¿Qué se evalúa en un centro de
procesamiento de Datos? Evaluación Técnica:

¿Qué se evalúa en un centro de procesamiento de Datos? Evaluación Operacional: Las

consideraciones establecen si la entrada de datos está apropiadamente provista y si la salida es
útil y se emplea de manera adecuada. Existe una tendencia a no terminar un informe una vez que
éste ha sido comenzado. Aún cuando el no sea usado, hoy a menudo la sensación de que puede
tener utilidad en el futuro. Varios métodos pueden servir para identificar los informes no usados: •
Terminación del reporte para ver si alguien pregunta por él cuando no llega. • Revisión periódica
de todos de todos los reportes por fuerza de trabajo. • El colocarle precio a los informes para
ofrecer incentivos a los administradores para eliminar aquellos que son innecesarios.

¿Qué se evalúa en un centro de procesamiento de Datos? Evaluación Económica: En la evaluación

económica de post auditoría los costos actuales se comparan con los beneficios actuales • Los
costos se pueden estimar con una exactitud razonable en las post auditoría, pero varios beneficios
todavía pueden ser difíciles de medir • La evaluación económica puede ser útil más allá de la
aplicación específica examinada • Para los propósitos administrativos, la evaluación puede ayudar
en la toma futura de decisiones para identificar los costos de aplicaciones para las cuales un
retorno (rendimiento) económico era esperado o no se puede estimar
20. Cambio en la red de comunicaciones. Cambio en el software de manejo de la base de datos.
 Cambio en la organización del almacenamiento en disco.  Cambio de las unidades de
almacenamiento en disco.  Adición de capacidad de memoria principal. ¿Qué se evalúa en un
centro de procesamiento de Datos? Evaluación Del Hardware Y Software Existentes: El propósito
de la evaluación del hardware y software existentes es el de determinar si todos los recursos se
necesitan. Algunos ejemplos de acciones resultantes de la evaluación del desempeño del sistema
de hardware y software existentes son:

21. ¿Qué se evalúa en un centro de procesamiento de Datos? Evaluación mediante el uso de

monitores de desempeño: Los monitores de hardware son dispositivos sensores acoplados a líneas
de señales seleccionadas en el hardware del computador para medir la presencia o ausencia de
impulsos eléctricos • El dispositivo de monitoreo no afecta la operación del hardware del
computador • No requiere almacenamiento primario ni tampoco tiempo de ciclos de CPU • Los
monitores pueden recoger datos tanto de la CPU como de la actividad de los dispositivos
periféricos, tales como el almacenamiento en disco • Los monitores de hardware y software se
pueden usar para detectar los recursos ociosos, los cuellos de botella, y los desbalances de carga

22. ¿Qué se evalúa en un centro de procesamiento de Datos? Evaluación mediante el uso de

bitácora del sistema y de la observación: La bitácora del sistema puede brindar datos útiles para
evaluación. Esto se pone en evidencia en pequeñas instalaciones que mantienen bitácoras
sencillas de trabajos, del tiempo de trabajo, etc. La observación de las operaciones del
computador es útil para detectar la distribución de los recursos usados y aplicaciones o
ineficientes. Algunos signos de distribución ineficiente o procedimientos de operación pobres son:
• Atrasos en el procesamiento mientras el operador localiza archivos, monta cintas o discos, carga
formas, o realiza funciones similares. • Excesivos requerimientos de respuesta en la consola al
operador. • Atrasos causados por la falta de entrenamiento en los procedimientos apropiados de
re – arranque cuando el procesamiento es interrumpido.

23. ¿Qué se evalúa en un centro de procesamiento de Datos? Evaluación del hardware y software
propuestos: El proceso de evaluación para un nuevo o importante reemplazo de un sistema de
hardware – software variará según el nivel de experiencia de la organización que usa los
computadores, la urgencia del reemplazo, y otros factores. Un enfoque general consta de pasos
como los siguientes: 1. Estudio de los requerimientos. 2. Preparación de las especificaciones. 3.
Obtención de las propuestas del vendedor. 4. Evaluación de las propuestas.

24. Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos
de auditoría por lo que se trata de la no detección de la existencia de erros en el proceso
realizado. Riesgo de control: Aquí influye de manera muy importante los sistemas de control
interno que estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes
o inadecuados para la aplicación y detección oportuna de irregularidades  Riesgo inherente: Este
tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio de la empresa,
independientemente de los sistemas de control interno que allí se estén aplicando. Riesgos que
existen en una auditoria de sistemas