Beruflich Dokumente
Kultur Dokumente
AUDITORIA EN HARDWARE.
-1-
ndice.
Alcance ................................................................................................................................................ 3 Objetivo ............................................................................................................................................... 3 Recursos .............................................................................................................................................. 3 Etapas de trabajo ................................................................................................................................ 3 1. 2. 3. 4. 5. 6. 7. 8. Recopilacion de informacion bsica....................................................................................... 3 Identificacin de riesgos potenciales ..................................................................................... 4 Objetivos de control ............................................................................................................... 7 Determinacion de los procedimientos de control ................................................................. 8 Pruebas a realizar. .................................................................................................................. 9 Obtencion de los resultados. ................................................................................................. 9 Conclusiones y Comentarios:................................................................................................... 9 Redaccion del borrador del informe...................................................................................... 10
9 . Presentacin del borrador del informe, al responsable de microinformtica ...................... 10 10. Redaccin del Informe Resumen y Conclusiones. ................................................................. 10 11. Entrega del informe a los directivos de la empresa.............................................................. 10
-2-
Alcance
La auditoria se realizar sobre los sistemas informaticos en computadoras personales que estn conectados a la red interna de la empresa.
Objetivo
Tener un panorama actualizado de los sistemas de informacin en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
Recursos
El numero de personas que integraran el equipo de auditoria sera de 5 personas, con un tiempo maximo de ejecucion de 2 a 3 Semanas.
Etapas de trabajo
1. Recopilacion de informacion bsica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema. Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluiran: Director / Gerente de Informatica Subgerentes de informatica Asistentes de informatica Tecnicos de soporte externo e interno.
-3-
El auditor debera vigilar que se han implantado determinadas medidas hardware para garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su informe de recomendaciones a que tales medidas se hagan efectivas.
Asi pues, se citaran algunas de las formas en que el hardware puede aumentar su margen de seguridades. Cuando la informacion se encuentra en la memoria central se la puede proteger, por ejemplo, asociando un digito de proteccion por palabra o bloque de memoria y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese bloque o palabra. Si la memoria esta dividida en bloques iguales se puede utilizar el procedimiento de llave y cerradura, segun el cual a cada bloque se le asigna una cerradura de proteccion y a cada llave (clave definitiva) se le hace corresponder un programa. Asi, si una instruccion de un programa hace referencia a una direccion de memoria contenida en un bloque determinado, se comprobara si la llave del programa puede abrir la cerradura -4-
Claramente el sistema debera estar provisto de una llave maestra para acceder a todas las particiones de memoria. Otro procedimiento de proteccion de memoria central es el de los registros limites, segun el cual a cada programa se asignan dos registros que contienen respectivamente la primera y la ultima direccion de memoria a las que puede acceder ese programa. Todas las direcciones referenciadas por el programa deberan estar comprendidas entre los limites citados.
Hay por supuesto, mas metodos de proteccion como el que se puede establecer en la conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion enumerar una larga lista. Los perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno que el fabricante proporcione con ellos algun tipo de control como pueda ser, por ejemplo, la paridad. Las redes de transmision son otro punto delicado dada su fragilidad, ya que un experto puede "pinchar" una linea sin excesiva complejidad. Por consiguiente, deberan tomarse precauciones si la confidencialidad de la informacion a transmitir asi lo requiere. Los dispositivos hardware para el manejo de errores introducidos por la comunicacin ofrecen la ventaja de eliminar la comprobacin por parte del hombre, especialmente en aquellos casos en que esto ltimo sea un tanto dificil, por ejemplo, por la velocidad de transmisin y recepcin. Adems de los controles que se debern establecer a la entrada de las aplicaciones de usuario cuando stas manejen datos recibidos de una transmisin' y que valorarn los cdigos y valores sensibles, existen una serie de tcnicas usadas en la deteccin de errores como son: la utilizacin de bloques de redundancia cclica; la comprobacin del eco y la consiguiente retransmisin de datos errneos; la inclusin de paridad en los mensajes (longitudinal, transversal, diagonal): caracteres de comprobacin; registros sumarios; cdigos polinmicos, etctera. Para concluir estas lneas que se estn dedicando a la auditoria de las comunicaciones se citarn algunos otros puntos que no deben escapar del examen del auditor: - Se revisar la documentacin sobre los aspectos tcnicos y configuracin de la red, as como los procedimientos de recuperacin y arranque, al objeto de evitar en la medida de lo posible las fuertes dependencias personales que puedan producirse. - Se comprobarn los analisis y controles de rendimientos de la red y puestas a punto correspondientes para mejorar los tiempos de respuesta. -5-
Auditoria de Hardware ETS. Todavia se encuentran hoy ordenadores en unas condiciones peregrina; y en los lugares ms inverosimiles pero como se est diciendo, la concienciacin es cada vez mayor y ya la alta direccin suele sentirse sensible ante la denuncia de un evidente riesgo de inundacin por lo deficiente de la instalacin. o las posibles influencias de un campo electromagntico prximo al computador. - Riesgos naturales procedentes del entorno en que se asienta el centro, tales como inundaciones por desbordamiento de presas, rios, etc.; descargas elctricas; vientos fuertes... En la mayoria de los casos la eleccin de ubicacin deber restringirse al interior de un edificio por lo que la posibilidad de prevencin de tales riesgos es practicamente nula si la zona es propensa a la aparicion de alguno de ellos. Lo que si sera factible es realizar un anlisis de las posibles causas de siniestralidad natural, para minimizar sus consecuencias en la medida de lo posible. - Riesgos de vecindad derivados de construcciones, edificios y obras pblicas prximos al lugar de ubicacin y que pueden aumentar el peligro de incendio (una fabrica vecina de productos inflamables), de vibraciones, de ruidos, etc. En este caso se puede apuntar lo que ya se cit en el punto anterior sobre lo inevitable de la situacin pero, al igual que se decia alli, evalense tambin estos riesgos en aras de disminuir sus efectos. Riesgos del propio edificio donde se localiza el C.P.D. como son el almacenamiento excesivo de papeles. combustibles, polvo, peligros todos ellos ms controlables que los de los puntos anteriores. Segn se ha visto, los eventuales riesgos: los queest sometido el edificio son inevitables a menos que se pida la opinin experta del auditor-consultor cuando se vaya a instalar el C.P.D. Lo que si sera corregible en una adecuada operacin de revisin son las condiciones de seguridad que debe cumplir la propia sala del ordenador y a las que se dedicaran las siguientes lineas. Los elementos primarios en la configuracin de la sala son el falso piso, el suministro de energia, la insonorizacin y el acondicionamiento de aire. En un paso posterior se revisarn las prevenciones necesarias contra el fuego, el agua, el hombre. etc. Falso suelo: es una construccin necesaria para aislar y proteger los tables de conexin de los distintos aparatos y facilitar la conduccin del aire acondicionado. Este suelo ser resistente a la humedad y a los excesos de peso mal repartidos. -Suministro de energia: la fuerza elctrica que alimenta al ordenador puede sufrir variaciones, picos, cortes, que producirn turbulencias en el funcionamiento dela mquina. Por ello, cuando por las condiciones ambientales estos hechos se repiten con -6-
Auditoria de Hardware ETS. cierta frecuencia, sera casi obligado la instalacin de fuentes de alimentacin ininterrumpida (UPS), dispositivos libres de este tipo de fluctuaciones. Se vigilar que se hacen revisiones peridicas del funcionamiento de tales dispositivos.
3. Objetivos de control
Verificar que existan los planes, polticas y procedimientos relativos a la seguridad dentro de la organizacin. Confirmar que exista un anlisis costo / beneficio de los controles y procedimientos de seguridad antes de ser implantados. Comprobar que los planes y polticas de seguridad y de recuperacin sean difundidos y conocidos por la alta direccin. Evaluar el grado de compromiso por parte de la alta direccin, los departamentos usuarios y el personal de informtica con el cumplimiento satisfactorio de los planes, polticas y procedimientos relativos a la seguridad. Asegurar la disponibilidad y continuidad del equipo de cmputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones.} Asegurar que las polticas y procedimientos brinden confidenciabilidad a la informacin manejada en el medio de desarrollo, implantacin, operacin y mantenimiento. Verificar que exista la seguridad requerida para el aseguramiento de la integridad de la informacin procesada en cuanto a totalidad y exactitud. Constatar que se brinde la seguridad necesaria a los diferentes equipos de cmputo que existen en la organizacin. Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones bsicas).
-7-
-8-
5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas: Tomar 80 maquinas al azar y evaluar la dificultad de acceso a las mismas. Intentar sacar datos con un dispositivo externo ( case , spoofing , hackeo , vulnerabilidad de puertos , nmap , beini , backtrack ) Facilidad de accesos a informacin de confidencialidad (usuarios y claves). Verificacin de contratos.( En caso de contar con licencias Trial , checar los contratos con dicha empresa para la Licencias del producto). Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.( Exec-timeout).
7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la informacin obtenida, asi como lo que se deriva de esa informacin, sean fallas de seguridad, organizacin o estructura empresarial. Se expondrn las fallas encontradas, en la seguridad fsica sean en temas de resguardo de informacin (Casos de incendio, robo), manejo y obtencin de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisicin de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportaran. Finalmente se vern los temas de organizacin empresarial, como son partes responsables de seguridad, mantenimiento y supervisin de las otras reas.
-9-
La conclusin tendr como temas los resultados, errores, puntos crticos y observaciones de los auditores. Mientras que en el resumen se vern las posibles soluciones de esos puntos crticos y fallas, as como recomendaciones para el buen uso y tambin recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.
- 10 -
Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.
- 11 -
Bibliografa.
- 12 -