Auditoría de Sistemas

Ing. Diego J. Arcusin dja@digikol.com.ar

5 – Evaluación del Proceso de Datos y de los equipos de cómputo.

Políticas de Respaldos

Los respaldos (backups) de la información deben realizarse mensual, semanal o diario, y se

deben observar los siguientes puntos. Contar con políticas formales por escrito para efectuar los respaldos. Todos los medios magnéticos (u opticos) de respaldo no deben estar almacenados en un mismo

lugar, por lo que si hubiera una contingencia grave (incendio, inundación) no se tendría el riesgo de

perder parte o la totalidad de la información. Debe tenerse acceso restringido al área en donde se tienen almacenados los medios magnéticos (u

ópticos), tanto de operación como de respaldo. Se deben tener identificadas las cintas por fecha, concepto y consecutivo, y es conveniente elaborar

y actualizar una relación sobre las cintas, el contenido de los datos de registro y los responsables de

efectuarlos. Se debe contar con una política que indique los procedimientos a seguir en cuanto al

almacenamiento de las cintas de respaldo en un lugar diferente al de la ubicación del site, en donde

se pueda tener acceso las 24 horas y donde se designen responsables de mantenr actualizada la

información vital de la información.

Políticas de Respaldo

El hecho de no contar con estas políticas de respaldo puede provocar

que haya riesgo de pérdida de información en caso de alguna

contingencia y no tener una disponibilidad inmediara de la información

de respaldo para recuperar la información y conseguir una continuidad

en la operación de la organización. Se debe elaborar por escrito una serie de políticas y procedimientos

para la elaboración de los respaldos, contemplando: Los pasos a seguir, La información que debe ser respaldada, Según el período correspondiente (mensual, semestral o anual), Así como el personal asignado para cada caso.

Políticas de Respaldo

También se debe especificar la forma de etiquetación, nomenclatura,

pruebas, rotación de cintas, los nombres de los responsables de

efectuar los respaldos y las cintas que serán designadas para ser

resguardadas fuera de las instalaciones. También se debe tener una

relación por escrito de la ubicación y el contenido de las cintas, que

debe ser entregada al responsable de seguridad informática y al gerente

de informática.

Las políticas existentes deben estar actualizadas en todas las actividades,

estar debidamente documentadas y ser del conocimiento del personal. No contar con políticas y procedimientos actualizados podría ocasionar:

Administración inadecuada de la operación. Relajamiento en el cumplimiento de las obligaciones del personal. Inadecuada división de labores.

Las políticas y los procedimientos deben incluir: Seguridad de la información (física y lógica) Adquisición de hardware y software Operación del centro de cómputos.

Políticas y Procedimientos

Es recomendable que se documenten todos los procedimientos de las diversas

actividades. Estos, al igual que las normas y políticas, se manifestaran por escrito

en manuales en operación.

Al proceder de esta manera, se obtendríasn las siguientes ventajas: Tener una base uniforme, estable y formal para capacitación, consulta y supervisión, y se

fomenta la eficiencia del personal en sus funciones.

Ante la rotación del personal, se evita el desvirtuamento de las normas y procedimientos de

originales creados.

Se precisa la responsabilidad individual de los participantes en una operación, en caso de

errores y omisiones.

Las políticas y procedimientos a desarrollar, deberán ser del conocimiento del

personal.

Políticas y Procedimientos

Política de revisión de bitácora (logs)

Deben existir bitácoras de operación en las que se registren los procesos

realizados, los resultados de su ejecución, la concurrencia de errores, los

procesos ejecutados en el equipo y la manera en que concluyeron. No contar con un política de revisión de logs puede ocasionar problemas como:

Carecer de bases para el rastreo de errores de procesamiento. Falta de parámetros de evaluación respecto al funcionamiento del equipo y del

departamento de sistemas. Ausencia de controles en cuanto a registro de seguimiento de problemas. Falta de parámetros para determinar las causas de una falla significativa en el sistema y dar

seguimiento a su corrección. Dependencia del personal para solución de errores. Confusión en el área respecto a los procesos que ya se han realizado y los que se deban

realizar.

Política de revisión de bitácora (logs)

Es necesario establecer una política de revisión de las bitácoras de

operación, asignando responsables por proceso y función, lo que traería

como beneficios detectar y corregir en forma oportuna errores

recurrentes y poder tomar medidas preventivas para que éstos ya no se

presenten.

Control de licencias de software

Todas las organizaciones deben de tener un inventario de las licencias

del software actualizado, que asegure que todo el software sea legal y

esté amparada por una licencia, para evitar posibles problemas legales

por pago de derechos de uso y explotación del software.

Al no contar con las licencias correspondientes, no se le puede exigir al

proveedor el servicio de soporte o actualización de software, ya que para

poder contar con estos servicios es necesario presentar las licencias de

adquisición o el número de serie instalado dentro de la licencia.

Control de licencias de software

Por lo tanto, es muy importante: Actualizar el inventario de hardware y software, señalando los paquetes que se tienen

instalados por máquina y verificando que cada uno de éstos esté amparado por una

licencia. En caso de no contar con las licencias, es necesario contactar al proveedor del software

o del paquete en cuestión para actualizarlas o adquirirlas lo más pronto posible. Elaborar un plan verificador de software, para revisar que no se instale software pirata. Designar a una persona responsable del área informática para guardar y tener

actualizadas las licencias. Promover un plan de concientización entre el personal con el fin de que no se instale

software ilegal en las máquinas propiedad de la empresa, y aplicar sanciones al

personal que no acate estas medidas.

Políticas de Seguridad Física del Site

Las instalaciones del centro de cómputos deben ser las adecuadas para

asegurar el buen funcionamiento y la continuidad necesaria en las

operaciones. Deben existir políticas y procedimientos que describan los

aspectos de seguridad física mínimos que deben de regir dentro del

departamento de sistemas. Por tal motivo, durante la visita a las instalaciones se deben observar

los siguientes puntos: El acceso al site debe estar restringido por una puerta, la cual contará con una

chapa de seguridad adecuada, o con un dispositivo electrónico de control de

acceso. Se deben tener dispositivos adecuados de detección de humo, así como

aspersores de calor para la extinción de incendios, además de contar con

extintores.

Políticas de Seguridad Física del Site

Se debe tener protección en los servidores para que no puedan ser desconectados accidental o intencionalmente y provocar así serio daños al equipo.

Deben existir documentos o carteles que indiquen las normas de seguridad mínima que deben de observarse al estar en el site.

El personal operativo no debe permitir el acceso al personal ajeno al departamento. No debe tenerse papel para impresión dentro del centro de cómputos, el cuál es un

objeto potencial de algún desastre. Los equipos que se utilizan para la limpieza dentro del site no deben de estar

directamente conectados a la toma de corriente en la que estén conectados los equipos de cómputo y los servodres.

Los equipos eléctricos, interruptores o de comunicación, no deben estar al alcance de cualquier persona.

Hay que elaborar políticas formales de seguridad y diseñar las características para el site.

Plan de Contingencias

Debe existir un plan de contingencias que permita que los sistemas sigan

funcionando en caso de algún siniestro o en caso de alguna huelga.

Un plan de contingencias puede asegurar que se está preparado para enfrentar

imprevistos y desastres de cualquier índole, asegurando una continuidad en la

operación de los sistemas de cómputo.

Ejemplos de contingencias pueden ser: incendios, tormentas, inundaciones y actos

vandálicos, los cuales pueden ocasionar una disminución en el aprovechamiento de la

computadora por un período considerable.

Con el incremento en la dependencia que se tiene sobre las computadoras, unas

pérdida de información, o la imposibilidad potencial para procesarla originada por una

contingencia puede ser muy significativa.

Plan de Contingencias

Se sugiere la revisión del plan de contingencias para que contenga los

siguientes controles: Delegación de funciones y entrenamiento de personal. Resumen de actividades a seguir en caso de contingencias. Estudio detallado de las que, de acuerdo con la zona geográfica, tienen más probabilidad

de ocurrir y los impactos que cada una de éstas ocasionaría. Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a

una determinada contingencia, así como un estudio de consecuencias potenciales que se

desprenderían por la inoperatividad de los sistemas. Identificar las aplicaciones y archivos de datos críticos para la operación de los servicios

computacionales, así como determinar las prioridades de restablecimiento de éstos. Se

deben incluir especificaciones de hardware y software, tiempo de procesamiento,

programa, archivos y documentación de programas y operación.

Plan de Contingencias

Se sugiere la revisión del plan de contingencias para que contenga los

siguientes controles: Proveer los lineamientos necesarios para el restablecimiento de operaciones a partir de

los respaldos de información. Desarrollo de pruebas periódicas del plan de contingencia, así como el establecimiento de

niveles de autoridad y responsabilidades para garantizar el buen resultado de la prueba. Establecer procedimientos y responsabilidades para mantener el plan de contingencias. Procedimientos o planes para la reconstrucción de los sites después de una contingencia. Establecimiento de procedimientos manuales de operación por parte de los usuarios para

restablecer operaciones mientras se recuperan los sistemas. Lineamientos para garantizar que dicho plan sea probado y actualizado periódicamente.

Control de Datos Fuente y Manejo de cifras de control

La mayoría de los delitos por computadoras son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar datos. Alterar datos. Duplicar procesos.

Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son los responsables de la captura y modificación de la información. Por ello, se debe tener un adecuado control la designación de responsables de los datos (uno de los usuarios debe ser el único responsable de determinado dato), con claves de acceso a niveles.

El primer nivel es en el que se pueden hacer únicamente consultas, el segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas, y el tercer nivel es aquel en el que se puede hacer todo lo anterior y además se pueden realizar bajas.

Control de Operación

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora. Los instructivos de operación proporcionan al operador información sobre los procedimientos que debe seguir en situaciones normales y anormales del procesamiento, y si la documentación es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de máquina, incrementando los costos del procesamiento de datos.

Debemos de considerar la operación de los sistemas en líneas, los cuáles deben de estar residente en todo momento, con su correspondiente sistema de comunicación, mientras que en cuanto a los sistemas en lote (batch) se debe planear y programar la operación.

Control de Operación

Se debe verificar que el instructivo de operación

contenga los siguientes datos:Diagramas.Mensajes y su explicación.Parámetros y su explicación.Fórmula de verificación.Observaciones e instrucciones en caso de error.Calendario de proceso y entrega de resultados.

Control de Asignación de trabajo

Esta parte se relaciona con la dirección de las operaciones de

la computadora en términos de la eficiencia y la satisfacción

del usuario. La función clave del personal de cargas de

máquina está relacionada con el logro eficiente y efectivo de

varios aspectos: Satisfacer las necesidades de tiempo del usuario. Ser compatible con los programas de recepción y transcripción de datos. Permitir niveles efectivos de utilización de los equipos y sistemas de operación. Entregar a tiempo y correctamente los procesos en lotes (batch).

Control de Asignación de trabajo

La experiencia muestra que los mejores resultados se logran en organizaciones que

utilizan sistemas formales de programación de actividades, los cuáles intentan

balancear los factores y medir resultados. Se deberán evaluar los procedimientos de programación de cargas de máquina para

determinar si se ha considerado atenuar los picos de los procesos generados por

cieres mensuales, o bien los picos de los sistemas en línea, y poder balancear las

cargas de trabajo de lotes (batch) y línea, dando prioridad a los procesos en línea, o

contar con equipos permitan en forma independiente cumplir con las necesidades de

procesos en línea, con su comunicación, y con procesos en lote. Se deberá procurar que la distribución física del equipo sea funcional, que la

programación de las cargas de máquina satisfaga en forma eficaz al usuario. Asimismo, se tendrá cuidado con los controles que se tengan para la utilización de

equipo y que el mantenimiento satisfaga las necesidades.

Control de Medios de Almacenamiento Masivo

Los dispositivos de almacenamiento masivo representan, para cualquier centro de cómputo, archivos extremadamente importantes, cuya pérdida parcial o total podría tener repercusiones muy serias. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de la información), principalmente en el caso de las cintas.

Además, se deben tener perfectamente identificados físicamente los archivos para reducir la posibilidad de utilización errónea o destrucción de la información.

Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de proceso.

Control de Mantenimiento

Existen básicamente tres tipos de contrato de mantenimiento. El contrato de mantenimiento total, que incluye el mantenimiento

correctivo y preventivo. El contrato que incluye refacciones es

propiamente como un seguro, ya que en caso de descompostura el

proveedor debe proporcionar las partes sin costo alguno. Este

contrato es normalmente mas caro, pero se deja al proveedor la

responsabilidad total del mantenimiento a excepción de daños por

negligencia.

Control de Mantenimiento

El segundo tipo de mantenimiento es “por llamada”, en el

cual se llama al proveedor en caso de descompostura y éste

cobra de acuerdo a una tarifa y al tiempo que se requiera para

componerla.El tercer tipo de mantenimiento es aquel en el que el cliente

lleva a las oficinas del proveedor el equipo, y éste hace una

cotización de acuerdo con el tiempo necesario para la

reparación, mas las refacciones (este tipo de mantenimiento

puede ser adecuado para computadoras personales).

Control de Mantenimiento

El segundo tipo de mantenimiento es “por llamada”, en el

cual se llama al proveedor en caso de descompostura y éste

cobra de acuerdo a una tarifa y al tiempo que se requiera para

componerla.El tercer tipo de mantenimiento es aquel en el que el cliente

lleva a las oficinas del proveedor el equipo, y éste hace una

cotización de acuerdo con el tiempo necesario para la

reparación, mas las refacciones (este tipo de mantenimiento

puede ser adecuado para computadoras personales).

Evaluación del Mantenimiento

Al evaluar el mantenimiento debemos primero analizar cuál de los tres tipos

es el que más nos conviene, y en segundo lugar pedir los contratos y

revisar con detalle que las cláusulas estén perfectamente definidas, que no

exista subjetividad y que haya penalizaciones en caso de incumplimiento,

para evitar contratos que sean parciales hacia el proveedor. Para poder exigir el cumplimiento del contrato se debe tener un estricto

control sobre las fallas, la frecuencia y el tiempo de reparación. Se debe tener control de las fallas y del mantenimiento no sólo del equipo

central, sino del total de los equipos, incluyendo computadoras personales,

impresoras, equipo de comunicación y períféricos.

Orden en el centro de cómputo

Una dirección de informática bien administrada debe tener y

observar reglas relativas al orden y cuidado de la sala de

máquinas. Los dispositivos del sistema de cómputo y los

archivos magnéticos pueden ser dañados si se manejan en

forma inadecuada, lo que puede traducirse en pérdidas

irreparable de información o en costos muy elevados en la

reconstrucción de archivos.

Puntos a evaluar en los equipos

El equipo que se adquiere dentro de una organización debe de cumplir con el esquema de adquisición de toda la organización.

En lo posible, se deben tener equipos estándares dentro de la organización, a menos que por requerimientos específicos se necesite un equipo con características distintas. (Esto no implica que los equipos tengan que ser del mismo proveedor, aunque sí deben tener la misma filosofía).

Tener diferentes plataformas de programación, sistemas operativos, bases de datos, equipos de comunicación y lenguajes propietarios, provoca que se incremente los costos, que se haga más problemático el mantenimiento, que se requiera personal con diferente preparación técnica, y que se necesiten diferentes programas de capacitación.

La posibilidad de que se pueda expandir un equipo es otro de los puntos a evaluar.

Alquiler, leasing o compra

Tanto las computadoras como el software pueden alquilarse, alquilarse con opción de compra, comprarse, y en el caso del software, producirse. Es función del auditor evaluar en cada instalación específica porque se escogió una opción y si las ventajas que se obtienen son superiores a sus desventajas. El auditor deberá evaluar: ¿ Existe un comité de compra de equipo ? ¿ Quién participa en el comité ? ¿ Existen políticas de adquisición de equipos ? ¿ Cómo se determina el proveedor del equipo ? ¿ Cómo se evalúan las propuestas de instalación, mantenimiento y entrenamiento ? ¿ Cómo se evalúa el costo de operación y el medio ambiente requerido para cada

equipo ? ¿ Se evalúan las opciones de compra, renta y leasing ?

Centralización vs. Descentralización

El auditor deberá evaluar a la organización y la justificación

que se tiene para que en una determinada organización se

tengan equpos en forma centralizada o descentralizada.

Preguntas

?