auditoria cdp

24
AUDITORIA DE SISTEMAS (CPD) Dennys Arturo Ramones 21.725.354 Informática 78 REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACION INSTITUTO UNIVERSITARIO DE TECNOLOGIA “ANTONIO JOSE DE SUCRE” BARQUISIMETO EDO-LARA

Upload: arturo-darb

Post on 15-Apr-2017

22 views

Category:

Education


0 download

TRANSCRIPT

Page 1: Auditoria CDP

AUDITORIA DE SISTEMAS (CPD)

Dennys Arturo Ramones21.725.354Informática 78

REPUBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA EDUCACION

INSTITUTO UNIVERSITARIO DE TECNOLOGIA “ANTONIO JOSE DE SUCRE”

BARQUISIMETO EDO-LARA

Page 2: Auditoria CDP

Auditoria de un Centro de Procesamiento de Datos

“es aquella ubicación donde se concentran los recursos necesarios

para el procesamiento de la información de una organización”

Page 3: Auditoria CDP

Auditoria de un Centro de Procesamiento de Datos

Función

Garantizar que los sistemas de ordenador salvaguardan los “bienes” de la organización,

mantienen la integridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz y

efectivo.”

Page 4: Auditoria CDP

Auditoria de un Centro de Procesamiento de Datos

Se debe tomar en cuenta:

• Seguridad Física

• Seguridad Lógica

Page 5: Auditoria CDP

Seguridad Física

Entran dentro de esta categoría todas las medidas para asegurar la integridad física de los equipos almacenados:• Control de acceso: aquellos compartimentos del centro de procesamiento de datos que

albergan la infraestructura más valiosa

• Pruebas de mecanismos de detección y alarma: es obligatorio realizar pruebas periódicas de los sistemas. Es recomendable dedicar tiempo a esto.

Page 6: Auditoria CDP

Seguridad Física

• Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las zonas cero del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las vías de acceso convencionales, pero relativamente sencillo si se utilizan los accesos especiales para equipamiento y proveedores

• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo de seguridad encargado y ver que no tengan fisuras dentro de su vigilancia

Page 7: Auditoria CDP

Seguridad Física• Acceso de mercancías y personal de proveedores: No sería la primera vez que llegar a las

zonas cero del centro de procesamiento de datos es imposible si se pretende la intrusión a través de las vías de acceso convencionales, pero sencillo o relativamente sencillo si se utilizan los accesos especiales para equipamiento y proveedores

• Ausencia de seguridad perimetral o seguridad perimetral insuficiente: Tener presente al cuerpo de seguridad encargado y ver que no tengan fisuras dentro de su vigilancia

Page 8: Auditoria CDP

Seguridad Física

• Gestión de energía y continuidad: en estos centros se consume mucha energía, y por tanto, requiere de medidas especiales para asegurar que el flujo energético esté garantizado ante cualquier tipo de incidente

• Ausencia de compartimentación. Especialmente relevante en el caso de data centers públicos o destinados al uso de múltiples clientes

Page 9: Auditoria CDP

Seguridad Lógica

“aquella que compete a lo que no es estrictamente físico, y que como su propio nombre indica, deriva de las condiciones lógicas de los distintos sistemas que

componen el proceso de negocio en estudio.”

Page 10: Auditoria CDP

Seguridad Lógica

Tomar en cuenta los siguientes aspectos:• Actualización de los sistemas: Conviene siempre

obtener evidencias de que los sistemas se están actualizando, y es deseable poder verificar con alguna herramienta de análisis de vulnerabilidades la fiabilidad de lo que nos cuentan con los papeles por delante

Page 11: Auditoria CDP

Seguridad Lógica

• Configuración de seguridad: Se incluye la ausencia de seguridad que deriva de la falta de militarización de los componentes puestos en producción

• Operaciones de seguridad: En un centro de procesamiento de datos tiene que haber operaciones de seguridad, sí o sí.

Page 12: Auditoria CDP

Seguridad Lógica

• Segregación de entornos: Tener entornos de producción, aceptación, soporte, desarrollo y pruebas compartiendo los mismos discos en distintas particiones es normal, pero también es posible cometer errores de configuración que permitan el salto entre particiones

Page 13: Auditoria CDP

Seguridad Lógica

• Datos reales en entornos no controlados: Conviene cerciorarse de que los entornos no controlados, no contienen datos reales, o que contemplan medidas de enmascaramiento para impedir que los datos reales de la producción acaben en las memorias USB de los desarrolladores

Page 14: Auditoria CDP

Seguridad Lógica

• Cifrado: Hay que comprobar que en general los datos en tránsito y en reposo están cifrados allí donde es susceptible interceptarlo

• Compartir de la red: Las redes tienen que tener suficiente segmentación no sólo para poder soportar adecuadamente la segregación de entornos, sino la creación de zonas con distintos requisitos de seguridad

Page 15: Auditoria CDP

Seguridad Lógica

• Gestión de cambios: La colocación de código malicioso en la producción por la falta de herramientas de inspección automática del código

• Accesos privilegiados: En un centro de procesamiento de datos es necesario tener accesos privilegiados para poder operar los servicios

Page 16: Auditoria CDP

Seguridad Lógica

• Accesos remotos de terceras partes: Tratar de comprender cómo acceden las terceras partes a la infraestructura es importante, y cuáles son las limitaciones de su acceso

• Continuidad y recuperación: Aspectos esenciales de un centro de procesamiento de datos. Las máquinas se rompen, la electricidad se pierde. Las tuberías se estropean, etc.

Page 17: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación Técnica: ¿Es la tasa de transmisión de datos lo suficientemente rápida para manejar todo los datos?

¿Hay suficiente almacenamiento para guardar los datos necesarios?

¿Responde la CPU a todas las peticiones dentro de un periodo especificado de tiempo?

Page 18: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación Operacional: Las consideraciones establecen si la entrada de datos está apropiadamente provista y si la salida es útil y se emplea de manera adecuada. Existe una tendencia a no terminar un informe una vez que éste ha sido comenzado. Aún cuando el no sea usado, hoy a menudo la sensación de que puede tener utilidad en el futuro. Varios métodos pueden servir para identificar los informes no usados:• Terminación del reporte para ver si alguien pregunta por él cuando no llega.• Revisión periódica de todos de todos los reportes por fuerza de trabajo.• El colocarle precio a los informes para ofrecer incentivos a los administradores para

eliminar aquellos que son innecesarios.

Page 19: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación Económica: En la evaluación económica de post auditoría los costos actuales se comparan con los beneficios actuales• Los costos se pueden estimar con una exactitud razonable en las post auditoría, pero

varios beneficios todavía pueden ser difíciles de medir• La evaluación económica puede ser útil más allá de la aplicación específica examinada• Para los propósitos administrativos, la evaluación puede ayudar en la toma futura de

decisiones para identificar los costos de aplicaciones para las cuales un retorno (rendimiento) económico era esperado o no se puede estimar

Page 20: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación Del Hardware Y Software Existentes: El propósito de la evaluación del hardware y software existentes es el de determinar si todos los recursos se necesitan. Algunos ejemplos de acciones resultantes de la evaluación del desempeño del sistema de hardware y software existentes son:

Adición de capacidad de memoria principal. Cambio de las unidades de almacenamiento en disco. Cambio en la organización del almacenamiento en disco. Cambio en el software de manejo de la base de datos. Cambio en la red de comunicaciones.

Page 21: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación mediante el uso de monitores de desempeño: Los monitores de hardware son dispositivos sensores acoplados a líneas de señales seleccionadas en el hardware del computador para medir la presencia o ausencia de impulsos eléctricos

• El dispositivo de monitoreo no afecta la operación del hardware del computador• No requiere almacenamiento primario ni tampoco tiempo de ciclos de CPU• Los monitores pueden recoger datos tanto de la CPU como de la actividad de los

dispositivos periféricos, tales como el almacenamiento en disco• Los monitores de hardware y software se pueden usar para detectar los recursos ociosos,

los cuellos de botella, y los desbalances de carga

Page 22: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación mediante el uso de bitácora del sistema y de la observación: La bitácora del sistema puede brindar datos útiles para evaluación. Esto se pone en evidencia en pequeñas instalaciones que mantienen bitácoras sencillas de trabajos, del tiempo de trabajo, etc.La observación de las operaciones del computador es útil para detectar la distribución de los recursos usados y aplicaciones o ineficientes. Algunos signos de distribución ineficiente o procedimientos de operación pobres son:• Atrasos en el procesamiento mientras el operador localiza archivos, monta cintas o discos,

carga formas, o realiza funciones similares.• Excesivos requerimientos de respuesta en la consola al operador.• Atrasos causados por la falta de entrenamiento en los procedimientos apropiados de re –

arranque cuando el procesamiento es interrumpido.

Page 23: Auditoria CDP

¿Qué se evalúa en un centro de procesamiento de Datos?

Evaluación del hardware y software propuestos: El proceso de evaluación para un nuevo o importante reemplazo de un sistema de hardware – software variará según el nivel de experiencia de la organización que usa los computadores, la urgencia del reemplazo, y otros factores. Un enfoque general consta de pasos como los siguientes:

1. Estudio de los requerimientos.2. Preparación de las especificaciones.3. Obtención de las propuestas del vendedor.4. Evaluación de las propuestas.

Page 24: Auditoria CDP

Riesgos que existen en una auditoria de sistemas

Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio de la empresa, independientemente de los sistemas de control interno que allí se estén aplicando.

Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno que estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección oportuna de irregularidades

Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo que se trata de la no detección de la existencia de erros en el proceso realizado.