Auditoría de Sistemas
Ing. Diego J. Arcusin [email protected]
5 – Evaluación del Proceso de Datos y de los equipos de cómputo.
Políticas de Respaldos
Los respaldos (backups) de la información deben realizarse mensual, semanal o diario, y se
deben observar los siguientes puntos. Contar con políticas formales por escrito para efectuar los respaldos. Todos los medios magnéticos (u opticos) de respaldo no deben estar almacenados en un mismo
lugar, por lo que si hubiera una contingencia grave (incendio, inundación) no se tendría el riesgo de
perder parte o la totalidad de la información. Debe tenerse acceso restringido al área en donde se tienen almacenados los medios magnéticos (u
ópticos), tanto de operación como de respaldo. Se deben tener identificadas las cintas por fecha, concepto y consecutivo, y es conveniente elaborar
y actualizar una relación sobre las cintas, el contenido de los datos de registro y los responsables de
efectuarlos. Se debe contar con una política que indique los procedimientos a seguir en cuanto al
almacenamiento de las cintas de respaldo en un lugar diferente al de la ubicación del site, en donde
se pueda tener acceso las 24 horas y donde se designen responsables de mantenr actualizada la
información vital de la información.
Políticas de Respaldo
El hecho de no contar con estas políticas de respaldo puede provocar
que haya riesgo de pérdida de información en caso de alguna
contingencia y no tener una disponibilidad inmediara de la información
de respaldo para recuperar la información y conseguir una continuidad
en la operación de la organización. Se debe elaborar por escrito una serie de políticas y procedimientos
para la elaboración de los respaldos, contemplando: Los pasos a seguir, La información que debe ser respaldada, Según el período correspondiente (mensual, semestral o anual), Así como el personal asignado para cada caso.
Políticas de Respaldo
También se debe especificar la forma de etiquetación, nomenclatura,
pruebas, rotación de cintas, los nombres de los responsables de
efectuar los respaldos y las cintas que serán designadas para ser
resguardadas fuera de las instalaciones. También se debe tener una
relación por escrito de la ubicación y el contenido de las cintas, que
debe ser entregada al responsable de seguridad informática y al gerente
de informática.
Las políticas existentes deben estar actualizadas en todas las actividades,
estar debidamente documentadas y ser del conocimiento del personal. No contar con políticas y procedimientos actualizados podría ocasionar:
Administración inadecuada de la operación. Relajamiento en el cumplimiento de las obligaciones del personal. Inadecuada división de labores.
Las políticas y los procedimientos deben incluir: Seguridad de la información (física y lógica) Adquisición de hardware y software Operación del centro de cómputos.
Políticas y Procedimientos
Es recomendable que se documenten todos los procedimientos de las diversas
actividades. Estos, al igual que las normas y políticas, se manifestaran por escrito
en manuales en operación.
Al proceder de esta manera, se obtendríasn las siguientes ventajas: Tener una base uniforme, estable y formal para capacitación, consulta y supervisión, y se
fomenta la eficiencia del personal en sus funciones.
Ante la rotación del personal, se evita el desvirtuamento de las normas y procedimientos de
originales creados.
Se precisa la responsabilidad individual de los participantes en una operación, en caso de
errores y omisiones.
Las políticas y procedimientos a desarrollar, deberán ser del conocimiento del
personal.
Políticas y Procedimientos
Política de revisión de bitácora (logs)
Deben existir bitácoras de operación en las que se registren los procesos
realizados, los resultados de su ejecución, la concurrencia de errores, los
procesos ejecutados en el equipo y la manera en que concluyeron. No contar con un política de revisión de logs puede ocasionar problemas como:
Carecer de bases para el rastreo de errores de procesamiento. Falta de parámetros de evaluación respecto al funcionamiento del equipo y del
departamento de sistemas. Ausencia de controles en cuanto a registro de seguimiento de problemas. Falta de parámetros para determinar las causas de una falla significativa en el sistema y dar
seguimiento a su corrección. Dependencia del personal para solución de errores. Confusión en el área respecto a los procesos que ya se han realizado y los que se deban
realizar.
Política de revisión de bitácora (logs)
Es necesario establecer una política de revisión de las bitácoras de
operación, asignando responsables por proceso y función, lo que traería
como beneficios detectar y corregir en forma oportuna errores
recurrentes y poder tomar medidas preventivas para que éstos ya no se
presenten.
Control de licencias de software
Todas las organizaciones deben de tener un inventario de las licencias
del software actualizado, que asegure que todo el software sea legal y
esté amparada por una licencia, para evitar posibles problemas legales
por pago de derechos de uso y explotación del software.
Al no contar con las licencias correspondientes, no se le puede exigir al
proveedor el servicio de soporte o actualización de software, ya que para
poder contar con estos servicios es necesario presentar las licencias de
adquisición o el número de serie instalado dentro de la licencia.
Control de licencias de software
Por lo tanto, es muy importante: Actualizar el inventario de hardware y software, señalando los paquetes que se tienen
instalados por máquina y verificando que cada uno de éstos esté amparado por una
licencia. En caso de no contar con las licencias, es necesario contactar al proveedor del software
o del paquete en cuestión para actualizarlas o adquirirlas lo más pronto posible. Elaborar un plan verificador de software, para revisar que no se instale software pirata. Designar a una persona responsable del área informática para guardar y tener
actualizadas las licencias. Promover un plan de concientización entre el personal con el fin de que no se instale
software ilegal en las máquinas propiedad de la empresa, y aplicar sanciones al
personal que no acate estas medidas.
Políticas de Seguridad Física del Site
Las instalaciones del centro de cómputos deben ser las adecuadas para
asegurar el buen funcionamiento y la continuidad necesaria en las
operaciones. Deben existir políticas y procedimientos que describan los
aspectos de seguridad física mínimos que deben de regir dentro del
departamento de sistemas. Por tal motivo, durante la visita a las instalaciones se deben observar
los siguientes puntos: El acceso al site debe estar restringido por una puerta, la cual contará con una
chapa de seguridad adecuada, o con un dispositivo electrónico de control de
acceso. Se deben tener dispositivos adecuados de detección de humo, así como
aspersores de calor para la extinción de incendios, además de contar con
extintores.
Políticas de Seguridad Física del Site
Se debe tener protección en los servidores para que no puedan ser desconectados accidental o intencionalmente y provocar así serio daños al equipo.
Deben existir documentos o carteles que indiquen las normas de seguridad mínima que deben de observarse al estar en el site.
El personal operativo no debe permitir el acceso al personal ajeno al departamento. No debe tenerse papel para impresión dentro del centro de cómputos, el cuál es un
objeto potencial de algún desastre. Los equipos que se utilizan para la limpieza dentro del site no deben de estar
directamente conectados a la toma de corriente en la que estén conectados los equipos de cómputo y los servodres.
Los equipos eléctricos, interruptores o de comunicación, no deben estar al alcance de cualquier persona.
Hay que elaborar políticas formales de seguridad y diseñar las características para el site.
Plan de Contingencias
Debe existir un plan de contingencias que permita que los sistemas sigan
funcionando en caso de algún siniestro o en caso de alguna huelga.
Un plan de contingencias puede asegurar que se está preparado para enfrentar
imprevistos y desastres de cualquier índole, asegurando una continuidad en la
operación de los sistemas de cómputo.
Ejemplos de contingencias pueden ser: incendios, tormentas, inundaciones y actos
vandálicos, los cuales pueden ocasionar una disminución en el aprovechamiento de la
computadora por un período considerable.
Con el incremento en la dependencia que se tiene sobre las computadoras, unas
pérdida de información, o la imposibilidad potencial para procesarla originada por una
contingencia puede ser muy significativa.
Plan de Contingencias
Se sugiere la revisión del plan de contingencias para que contenga los
siguientes controles: Delegación de funciones y entrenamiento de personal. Resumen de actividades a seguir en caso de contingencias. Estudio detallado de las que, de acuerdo con la zona geográfica, tienen más probabilidad
de ocurrir y los impactos que cada una de éstas ocasionaría. Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a
una determinada contingencia, así como un estudio de consecuencias potenciales que se
desprenderían por la inoperatividad de los sistemas. Identificar las aplicaciones y archivos de datos críticos para la operación de los servicios
computacionales, así como determinar las prioridades de restablecimiento de éstos. Se
deben incluir especificaciones de hardware y software, tiempo de procesamiento,
programa, archivos y documentación de programas y operación.
Plan de Contingencias
Se sugiere la revisión del plan de contingencias para que contenga los
siguientes controles: Proveer los lineamientos necesarios para el restablecimiento de operaciones a partir de
los respaldos de información. Desarrollo de pruebas periódicas del plan de contingencia, así como el establecimiento de
niveles de autoridad y responsabilidades para garantizar el buen resultado de la prueba. Establecer procedimientos y responsabilidades para mantener el plan de contingencias. Procedimientos o planes para la reconstrucción de los sites después de una contingencia. Establecimiento de procedimientos manuales de operación por parte de los usuarios para
restablecer operaciones mientras se recuperan los sistemas. Lineamientos para garantizar que dicho plan sea probado y actualizado periódicamente.
Control de Datos Fuente y Manejo de cifras de control
La mayoría de los delitos por computadoras son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar datos. Alterar datos. Duplicar procesos.
Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son los responsables de la captura y modificación de la información. Por ello, se debe tener un adecuado control la designación de responsables de los datos (uno de los usuarios debe ser el único responsable de determinado dato), con claves de acceso a niveles.
El primer nivel es en el que se pueden hacer únicamente consultas, el segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas, y el tercer nivel es aquel en el que se puede hacer todo lo anterior y además se pueden realizar bajas.
Control de Operación
La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora. Los instructivos de operación proporcionan al operador información sobre los procedimientos que debe seguir en situaciones normales y anormales del procesamiento, y si la documentación es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de máquina, incrementando los costos del procesamiento de datos.
Debemos de considerar la operación de los sistemas en líneas, los cuáles deben de estar residente en todo momento, con su correspondiente sistema de comunicación, mientras que en cuanto a los sistemas en lote (batch) se debe planear y programar la operación.
Control de Operación
Se debe verificar que el instructivo de operación
contenga los siguientes datos:Diagramas.Mensajes y su explicación.Parámetros y su explicación.Fórmula de verificación.Observaciones e instrucciones en caso de error.Calendario de proceso y entrega de resultados.
Control de Asignación de trabajo
Esta parte se relaciona con la dirección de las operaciones de
la computadora en términos de la eficiencia y la satisfacción
del usuario. La función clave del personal de cargas de
máquina está relacionada con el logro eficiente y efectivo de
varios aspectos: Satisfacer las necesidades de tiempo del usuario. Ser compatible con los programas de recepción y transcripción de datos. Permitir niveles efectivos de utilización de los equipos y sistemas de operación. Entregar a tiempo y correctamente los procesos en lotes (batch).
Control de Asignación de trabajo
La experiencia muestra que los mejores resultados se logran en organizaciones que
utilizan sistemas formales de programación de actividades, los cuáles intentan
balancear los factores y medir resultados. Se deberán evaluar los procedimientos de programación de cargas de máquina para
determinar si se ha considerado atenuar los picos de los procesos generados por
cieres mensuales, o bien los picos de los sistemas en línea, y poder balancear las
cargas de trabajo de lotes (batch) y línea, dando prioridad a los procesos en línea, o
contar con equipos permitan en forma independiente cumplir con las necesidades de
procesos en línea, con su comunicación, y con procesos en lote. Se deberá procurar que la distribución física del equipo sea funcional, que la
programación de las cargas de máquina satisfaga en forma eficaz al usuario. Asimismo, se tendrá cuidado con los controles que se tengan para la utilización de
equipo y que el mantenimiento satisfaga las necesidades.
Control de Medios de Almacenamiento Masivo
Los dispositivos de almacenamiento masivo representan, para cualquier centro de cómputo, archivos extremadamente importantes, cuya pérdida parcial o total podría tener repercusiones muy serias. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de la información), principalmente en el caso de las cintas.
Además, se deben tener perfectamente identificados físicamente los archivos para reducir la posibilidad de utilización errónea o destrucción de la información.
Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de proceso.
Control de Mantenimiento
Existen básicamente tres tipos de contrato de mantenimiento. El contrato de mantenimiento total, que incluye el mantenimiento
correctivo y preventivo. El contrato que incluye refacciones es
propiamente como un seguro, ya que en caso de descompostura el
proveedor debe proporcionar las partes sin costo alguno. Este
contrato es normalmente mas caro, pero se deja al proveedor la
responsabilidad total del mantenimiento a excepción de daños por
negligencia.
Control de Mantenimiento
El segundo tipo de mantenimiento es “por llamada”, en el
cual se llama al proveedor en caso de descompostura y éste
cobra de acuerdo a una tarifa y al tiempo que se requiera para
componerla.El tercer tipo de mantenimiento es aquel en el que el cliente
lleva a las oficinas del proveedor el equipo, y éste hace una
cotización de acuerdo con el tiempo necesario para la
reparación, mas las refacciones (este tipo de mantenimiento
puede ser adecuado para computadoras personales).
Control de Mantenimiento
El segundo tipo de mantenimiento es “por llamada”, en el
cual se llama al proveedor en caso de descompostura y éste
cobra de acuerdo a una tarifa y al tiempo que se requiera para
componerla.El tercer tipo de mantenimiento es aquel en el que el cliente
lleva a las oficinas del proveedor el equipo, y éste hace una
cotización de acuerdo con el tiempo necesario para la
reparación, mas las refacciones (este tipo de mantenimiento
puede ser adecuado para computadoras personales).
Evaluación del Mantenimiento
Al evaluar el mantenimiento debemos primero analizar cuál de los tres tipos
es el que más nos conviene, y en segundo lugar pedir los contratos y
revisar con detalle que las cláusulas estén perfectamente definidas, que no
exista subjetividad y que haya penalizaciones en caso de incumplimiento,
para evitar contratos que sean parciales hacia el proveedor. Para poder exigir el cumplimiento del contrato se debe tener un estricto
control sobre las fallas, la frecuencia y el tiempo de reparación. Se debe tener control de las fallas y del mantenimiento no sólo del equipo
central, sino del total de los equipos, incluyendo computadoras personales,
impresoras, equipo de comunicación y períféricos.
Orden en el centro de cómputo
Una dirección de informática bien administrada debe tener y
observar reglas relativas al orden y cuidado de la sala de
máquinas. Los dispositivos del sistema de cómputo y los
archivos magnéticos pueden ser dañados si se manejan en
forma inadecuada, lo que puede traducirse en pérdidas
irreparable de información o en costos muy elevados en la
reconstrucción de archivos.
Puntos a evaluar en los equipos
El equipo que se adquiere dentro de una organización debe de cumplir con el esquema de adquisición de toda la organización.
En lo posible, se deben tener equipos estándares dentro de la organización, a menos que por requerimientos específicos se necesite un equipo con características distintas. (Esto no implica que los equipos tengan que ser del mismo proveedor, aunque sí deben tener la misma filosofía).
Tener diferentes plataformas de programación, sistemas operativos, bases de datos, equipos de comunicación y lenguajes propietarios, provoca que se incremente los costos, que se haga más problemático el mantenimiento, que se requiera personal con diferente preparación técnica, y que se necesiten diferentes programas de capacitación.
La posibilidad de que se pueda expandir un equipo es otro de los puntos a evaluar.
Alquiler, leasing o compra
Tanto las computadoras como el software pueden alquilarse, alquilarse con opción de compra, comprarse, y en el caso del software, producirse. Es función del auditor evaluar en cada instalación específica porque se escogió una opción y si las ventajas que se obtienen son superiores a sus desventajas. El auditor deberá evaluar: ¿ Existe un comité de compra de equipo ? ¿ Quién participa en el comité ? ¿ Existen políticas de adquisición de equipos ? ¿ Cómo se determina el proveedor del equipo ? ¿ Cómo se evalúan las propuestas de instalación, mantenimiento y entrenamiento ? ¿ Cómo se evalúa el costo de operación y el medio ambiente requerido para cada
equipo ? ¿ Se evalúan las opciones de compra, renta y leasing ?
Centralización vs. Descentralización
El auditor deberá evaluar a la organización y la justificación
que se tiene para que en una determinada organización se
tengan equpos en forma centralizada o descentralizada.
Preguntas
?