Auditoria de Hardware ETS.

AUDITORIA EN HARDWARE.

Auditoria de hardware en estaciones de trabajo.

-1-

Auditoria de Hardware ETS.

ndice.
Alcance ................................................................................................................................................ 3 Objetivo ............................................................................................................................................... 3 Recursos .............................................................................................................................................. 3 Etapas de trabajo ................................................................................................................................ 3 1. 2. 3. 4. 5. 6. 7. 8. Recopilacion de informacion bsica....................................................................................... 3 Identificacin de riesgos potenciales ..................................................................................... 4 Objetivos de control ............................................................................................................... 7 Determinacion de los procedimientos de control ................................................................. 8 Pruebas a realizar. .................................................................................................................. 9 Obtencion de los resultados. ................................................................................................. 9 Conclusiones y Comentarios:................................................................................................... 9 Redaccion del borrador del informe...................................................................................... 10

9 . Presentacin del borrador del informe, al responsable de microinformtica ...................... 10 10. Redaccin del Informe Resumen y Conclusiones. ................................................................. 10 11. Entrega del informe a los directivos de la empresa.............................................................. 10

-2-

Auditoria de Hardware ETS.

Alcance
La auditoria se realizar sobre los sistemas informaticos en computadoras personales que estn conectados a la red interna de la empresa.

Objetivo
Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.

Recursos
El numero de personas que integraran el equipo de auditoria sera de 5 personas, con un tiempo maximo de ejecucion de 2 a 3 Semanas.

Etapas de trabajo
1. Recopilacion de informacion bsica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema. Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluiran: Director / Gerente de Informatica Subgerentes de informatica Asistentes de informatica Tecnicos de soporte externo e interno.

-3-

Auditoria de Hardware ETS.

ACERCA DE LA AUDITORIA DE HARDWARE.

A medida que una empresa incrementa su grado de informatizacion aumenta progresivamente el tratamiento de la informacion. Asi, muchas de las actividades empresariales dependen de la exactitud y seguridad de la informacion con que se opera. Cualquier distorsion cobra cada vez mayor vigencia la maxima que dice que la informacion de una empresa es parte importante de su activo y, en consecuencia, toma relevante importancia el garantizar su calidad e integridad. A tal fin, la auditoria del entorno hardware vendra a verificar la seguridad no solamente en la operativa de los componentes materiales del ordenador, sino de todo lo relativo a los aspectos fisicos concernientes al departamento de procesos de datos. En este capitulo se pretende un acercamiento a la auditoria del entorno operativo hardware: sus objetivos, formas de actuacion, puntos a revisar, recomendaciones a tener en cuenta, etc. Cuando se audita la seguridad de los componentes materiales (unidad central y perifericos) debera tenerse presente que la multiprogramacion aade riesgos adicionales por las posibles interacciones entre usuarios que pueden provocar que de modo accidental o provocado se interfieran datos o programas de otro usuario a los que en principio deberia estar restringido el acceso. Por consiguiente, deberan tomarse medidas para evitar este tipo de problemas. Estas pueden en su mayor parte estar bajo la supervision del software, si bien el hardware debe asumir una postura conveniente.

El auditor debera vigilar que se han implantado determinadas medidas hardware para garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su informe de recomendaciones a que tales medidas se hagan efectivas.

Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margen de seguridades. Cuando la informacion se encuentra en la memoria central se la puede proteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoria y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque o palabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimiento de llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de proteccion y a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si una instruccion de un programa hace referencia a una direccion de memoria contenida en un bloque determinado, se comprobara si la llave del programa puede abrir la cerradura -4-

Auditoria de Hardware ETS. del bloque en cuestion.

Claramente el sistema debera estar provisto de una llave maestra para acceder a todas las particiones de memoria. Otro procedimiento de proteccion de memoria central es el de los registros limites, segun el cual a cada programa se asignan dos registros que contienen respectivamente la primera y la ultima direccion de memoria a las que puede acceder ese programa. Todas las direcciones referenciadas por el programa deberan estar comprendidas entre los limites citados.

Hay por supuesto, mas metodos de proteccion como el que se puede establecer en la conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion enumerar una larga lista. Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno que el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo, la paridad. Las redes de transmision son otro punto delicado dada su fragilidad, ya que un experto puede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarse precauciones si la confidencialidad de la informacion a transmitir asi lo requiere. Los dispositivos hardware para el manejo de errores introducidos por la comunicacin ofrecen la ventaja de eliminar la comprobacin por parte del hombre, especialmente en aquellos casos en que esto ltimo sea un tanto dificil, por ejemplo, por la velocidad de transmisin y recepcin. Adems de los controles que se debern establecer a la entrada de las aplicaciones de usuario cuando stas manejen datos recibidos de una transmisin' y que valorarn los cdigos y valores sensibles, existen una serie de tcnicas usadas en la deteccin de errores como son: la utilizacin de bloques de redundancia cclica; la comprobacin del eco y la consiguiente retransmisin de datos errneos; la inclusin de paridad en los mensajes (longitudinal, transversal, diagonal): caracteres de comprobacin; registros sumarios; cdigos polinmicos, etctera. Para concluir estas lneas que se estn dedicando a la auditoria de las comunicaciones se citarn algunos otros puntos que no deben escapar del examen del auditor: - Se revisar la documentacin sobre los aspectos tcnicos y configuracin de la red, as como los procedimientos de recuperacin y arranque, al objeto de evitar en la medida de lo posible las fuertes dependencias personales que puedan producirse. - Se comprobarn los analisis y controles de rendimientos de la red y puestas a punto correspondientes para mejorar los tiempos de respuesta. -5-

Auditoria de Hardware ETS. Todavia se encuentran hoy ordenadores en unas condiciones peregrina; y en los lugares ms inverosimiles pero como se est diciendo, la concienciacin es cada vez mayor y ya la alta direccin suele sentirse sensible ante la denuncia de un evidente riesgo de inundacin por lo deficiente de la instalacin. o las posibles influencias de un campo electromagntico prximo al computador. - Riesgos naturales procedentes del entorno en que se asienta el centro, tales como inundaciones por desbordamiento de presas, rios, etc.; descargas elctricas; vientos fuertes... En la mayoria de los casos la eleccin de ubicacin deber restringirse al interior de un edificio por lo que la posibilidad de prevencin de tales riesgos es practicamente nula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible es realizar un anlisis de las posibles causas de siniestralidad natural, para minimizar sus consecuencias en la medida de lo posible. - Riesgos de vecindad derivados de construcciones, edificios y obras pblicas prximos al lugar de ubicacin y que pueden aumentar el peligro de incendio (una fabrica vecina de productos inflamables), de vibraciones, de ruidos, etc. En este caso se puede apuntar lo que ya se cit en el punto anterior sobre lo inevitable de la situacin pero, al igual que se decia alli, evalense tambin estos riesgos en aras de disminuir sus efectos. Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamiento excesivo de papeles. combustibles, polvo, peligros todos ellos ms controlables que los de los puntos anteriores. Segn se ha visto, los eventuales riesgos: los queest sometido el edificio son inevitables a menos que se pida la opinin experta del auditor-consultor cuando se vaya a instalar el C.P.D. Lo que si sera corregible en una adecuada operacin de revisin son las condiciones de seguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran las siguientes lineas. Los elementos primarios en la configuracin de la sala son el falso piso, el suministro de energia, la insonorizacin y el acondicionamiento de aire. En un paso posterior se revisarn las prevenciones necesarias contra el fuego, el agua, el hombre. etc. Falso suelo: es una construccin necesaria para aislar y proteger los tables de conexin de los distintos aparatos y facilitar la conduccin del aire acondicionado. Este suelo ser resistente a la humedad y a los excesos de peso mal repartidos. -Suministro de energia: la fuerza elctrica que alimenta al ordenador puede sufrir variaciones, picos, cortes, que producirn turbulencias en el funcionamiento dela mquina. Por ello, cuando por las condiciones ambientales estos hechos se repiten con -6-

Auditoria de Hardware ETS. cierta frecuencia, sera casi obligado la instalacin de fuentes de alimentacin ininterrumpida (UPS), dispositivos libres de este tipo de fluctuaciones. Se vigilar que se hacen revisiones peridicas del funcionamiento de tales dispositivos.

2. Identificacin de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base. Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos. Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

3. Objetivos de control
Verificar que existan los planes, polticas y procedimientos relativos a la seguridad dentro de la organizacin. Confirmar que exista un anlisis costo / beneficio de los controles y procedimientos de seguridad antes de ser implantados. Comprobar que los planes y polticas de seguridad y de recuperacin sean difundidos y conocidos por la alta direccin. Evaluar el grado de compromiso por parte de la alta direccin, los departamentos usuarios y el personal de informtica con el cumplimiento satisfactorio de los planes, polticas y procedimientos relativos a la seguridad. Asegurar la disponibilidad y continuidad del equipo de cmputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones.} Asegurar que las polticas y procedimientos brinden confidenciabilidad a la informacin manejada en el medio de desarrollo, implantacin, operacin y mantenimiento. Verificar que exista la seguridad requerida para el aseguramiento de la integridad de la informacin procesada en cuanto a totalidad y exactitud. Constatar que se brinde la seguridad necesaria a los diferentes equipos de cmputo que existen en la organizacin. Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones bsicas).
-7-

Auditoria de Hardware ETS.

4. Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior. Objetivo N 1: Existencia de normativa de hardware. El hardware debe estar correctamente identificado y documentado. Se debe contar con todas las rdenes de compra y facturas con el fin de contar con el respaldo de las garantas ofrecidas por los fabricantes. El acceso a los componentes del hardware est restringido a la directo a las personas que lo utilizan. Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y prximo mantenimiento propuesto. Objetivo N 2: Poltica de acceso a equipos. Cada usuario deber contar con su nombre de usuario y contrasea para acceder a los equipos. Las claves debern ser seguras (mnimo 8 caracteres, alfanumricos y alternando maysculas y minsculas). Los usuarios se desloguearan despus de 5 minutos sin actividad. Los nuevos usuarios debern ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relacin laboral. Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).

-8-

Auditoria de Hardware ETS.

5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas: Tomar 80 maquinas al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo ( case , spoofing , hackeo , vulnerabilidad de puertos , nmap , beini , backtrack ) Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos.( En caso de contar con licencias Trial , checar los contratos con dicha empresa para la Licencias del producto). Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.( Exec-timeout).

6. Obtencion de los resultados.

En esta etapa se obtendrn los resultados que surjan de la aplicacin de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarn en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.

7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son partes responsables de seguridad, mantenimiento y supervisin de las otras reas.
-9-

Auditoria de Hardware ETS.

8. Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos tcnicos de cada una de las maquinas auditadas: Marca

Modelo Numero de Serie Problema encontrado Solucin recomendada

9 . Presentacin del borrador del informe, al responsable de microinformtica

Se le presentara el informe borrador a un responsable del rea informtica, como se aclaro en el punto anterior, con el mximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solucin de los mismos, de esta forma evitaremos posibles confusiones futuras.

10. Redaccin del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdarderos resultados a los responsables de la empresa, el informe presentado dar a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusin tendr como temas los resultados, errores, puntos crticos y observaciones de los auditores. Mientras que en el resumen se vern las posibles soluciones de esos puntos crticos y fallas, as como recomendaciones para el buen uso y tambin recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.

- 10 -

Auditoria de Hardware ETS.

Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

- 11 -

Auditoria de Hardware ETS.

Bibliografa.

- 12 -