FACTORES QUE SE TOMAN EN CUENTA PARA REALIZAR UNA AUDITORIA A UN CENTRO DE CMPUTO.

FACTORES QUE SE DEBEN TOMAR EN CUENTA AL MOMENTO DE REALIZAR UNA AUDITORIA DENTRO DE UN CENTRO DE CMPUTO.Antes de plantear los objetivos, se deben tomar en cuenta ciertos factores determinante, los cuales deben ser perseguidos por todo auditor al momento de realizar su labor. Estos factores son: Caractersticas de la organizacin objeto de estudio

Caractersticas del departamento de informtica a auditar Limitaciones tcnicas del auditor Determinar el nivel de riesgo aparente del sistema o instalacin a auditar Identificar las reas crticas de control en las que se detecten unos mayores ndices de riesgo. Identificar la seguridad del local a auditar Identificar la seguridad de los equipos instalados dentro de las instalaciones del Centro de Cmputo. Definir objetivos y alcance del trabajo a auditar CLASIFICACIN DE LAS REAS A AUDITAR DENTRO DE UN CENTRO DE CMPUTO.

Para un mejor logro de nuestros objetivos, al momento de realizar la auditoria, se debe tener claro cules son las reas que se van a evaluar y clasificarlas con la finalidad de lograr un mayor rendimiento en cuanto a calidad y tiempo.

A continuacin detallamos la clasificacin de las diferentes reas a evaluar dentro de un Centro de Cmputo.

Auditoria directa al Centro de Cmputo, como espacio fsico.

Controles dentro de la Organizacin y Auditoria al Personal Auditora al desarrollo de hardware, software y todos sus componentes. Auditora a las Aplicaciones en Funcionamiento. Auditora al Ambiente de Redes. Recomendaciones y certificaciones. 1. Auditora a la Seguridad en el Centro de Cmputo

Al realizar nuestra evaluacin y auditoria al Centro de Cmputo como aspecto fsico, lgico y de seguridad, necesitamos evaluar el espacio, los controles dentro y fuera del centro de cmputo, anlisis del local, y sobre todo, la seguridad del local y los implementos con que cuenta. Riesgos Fsicos: Son todos los peligros que corre el local para el cual se est realizando la auditoria. Es la contingencia o probabilidad de que ocurra un dao. Peligro: es el riesgo o contingencia inminente de que ocurra un mal. En el caso que nos interesa (El centro de cmputo), el dao o el mal est vinculado con el perjuicio que pueda ocurrirle a cualquiera o cada uno de los implementos o artefactos que se encuentra dentro de nuestro local. Seguridad del Centro de Cmputo: Debemos recordar que nuestro local guarda dentro de sus instalaciones equipos de suma importancia y altos costos, por consiguiente, al realizar nuestra auditoria, debemos cerciorarnos de la seguridad que tiene el Centro de Cmputo y de ser deficiente, debemos realizar nuestras recomendaciones para que el mismo cuente con unas condiciones de ptima seguridad como podran ser: Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as como extintores de incendio, conexiones elctricas seguras, entre otras. Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin. El acceso al centro de cmputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operacin de computo solo a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y cmo responder ante esos eventos. Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos. Los back ups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bvedas de bancos, tomando en cuenta el tamao e importancia de la informacin que se guarda. Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante

manuales, instructivos, normas, reglamentos, etc. El proveedor de hardware y software deber proporcionar lo siguiente: 2. Controles dentro de la Organizacin y Auditoria al Personal: Se refiere a la organizacin dentro del Centro de Cmputo, a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea; Se debe evitar que una mismapersona tenga el control de toda una operacin dentro de una organizacin. Al realizar el reconocimiento del personal, debemos hacer un anlisis del tipo de persona y el alcance de los conocimientos que tiene respecto a los servicios que se brindan dentro del establecimiento.

Controles dentro de La Organizacin del Centro de Cmputo: Al realizar la auditoria, debemos tener claro que toda organizacin debe ceirse a ciertos controles, los cuales abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos dealmacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas de los diferentes servicios que se brindan dentro de Centro de Cmputo motivo de nuestra auditoria. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios. Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos. Auditoria de personal. Planteamiento general: Tipologa del personal al servicio de las empresas. Personal en rgimen laboral y personal no laboral. Personal fijo y temporal. Los trabajadores extranjeros en particular. Documentacin a solicitar de la empresa. Formularios de apoyo. Desarrollo del trabajo. Conclusiones e informes del Auditor Laboral. Una auditora de los recursos humanos evala las actividades de administracin de personal en la organizacin con el objetivo de mejorarlas. La auditora puede cubrir un departamento, una divisin o toda la corporacin. Para ser verdaderamente eficientes, las actividades de recursos humanos de la corporacin deben considerar las necesidades y objetivos del personal, y al

mismo tiempo tener en cuenta y mantenerse en consonancia con los objetivos corporativos. 3. Auditora al desarrollo de hardware, software y todos sus componentes. Al momento de realizar nuestra auditoria sobre lo que es el desarrollo de software, hardware, sistemas operativos y archivos, necesitamos poner especial inters y cuidado en lo que a esta rea se refiere ya que para que el Centro funcione a la perfeccin, debemos tener en cuenta los siguientes puntos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionen mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa. Hardware: El hardware comprende aquellos elementos fsicos que intervienen en el sistema de informacin que comprenden los registros fsicos, los perifricos y el ordenador central. .

En estos componentes ( hardware ) se incide en auditora sobre la salvaguarda de activos, esto es, tipos de custodia o requerimientos que comprenden todos los elementos fsicos integrantes del sistema de informacin. Algo muy interesante de auditar es ver si el componente fsico es adecuado con el soporte lgico que se tiene o que se quiere tener. Software: Este viene siendo el componente lgico de un sistema de informacin que va desde las aplicaciones informticas hasta la configuracin de los campos que se utilizan en el sistema de informacin. En una auditoria, este es un punto clave, pues es el que nos indica el grado de calidad con que cuenta el centro de cmputo para brindar los servicios solicitados. Sistema Operativo: (SO) es el programa o conjunto de programas que efectan la gestin de los procesos bsicos de un sistema informtico, y permite la normal ejecucin del resto de las operaciones. Uno de los propsitos del sistema operativo consiste en gestionar los recursos de localizacin y proteccin de acceso del hardware. La mayora de aparatos

electrnicos que utilizan microprocesadores para funcionar, llevan incorporado un sistema operativo. (telfono mvil, reproductores de DVD, radios, etc).

Archivos: Un archivo o fichero informtico es un conjunto de bits almacenado en un dispositivo.

Un archivo es identificado por un nombre y la descripcin de la carpeta o directorio que lo contiene. Los archivos informticos se llaman as porque son los equivalentes digitales de los archivos en tarjetas, papel o microfichas del entorno de oficina tradicional. Los archivos informticos facilitan una manera de organizar los recursos usados para almacenar permanentemente datos en un sistema informtico. 4. Auditora a las Aplicaciones en Funcionamiento: las aplicaciones web generan dinmicamente una serie de pginas en un formato estndar, como HTML o XHTML, soportados por los navegadores web comunes. Se utilizan lenguajes interpretados en el lado del cliente, directamente o a travs de plugins (Programa que puede anexarse a otro para aumentar sus funcionalidades) tales comoJavaScript, Java, Flash, etc., para aadir elementos dinmicos a la interfaz de usuario. Al momento de realizar la auditoria, el encargado debe cerciorarse e investigar cuales son las aplicaciones con que cuentan los equipos a auditar, el tipo de datos de entrada y las salidas con que cuenta el local. Entrada y salida de Datos: Las entradas son las seales recibidas por la unidad, mientras que las salidas son las seales enviadas por sta. Para que el Centro de Cmputo funcione correctamente, conjuntamente con los usuarios, se deben establecer ciertos paramentos respecto a proceso de entrada y salida de datos los cuales detallamos a continuacin: La preparacin de datos de entrada debe ser responsabilidad de los usuarios y consecuentemente su correccin. La Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un horario elaborado en coordinacin con el usuario, realizando un debido control de calidad y dependiendo del tipo de trabajo realizado tomando en cuenta el tipo de trabajo y el volumen del mismo. Adoptar acciones necesarias para correcciones de errores.

La entrada y salida de datos, como cualquier tipo de trabajo realizado dentro del Centro de Cmputo, debe ser debidamente verificado por el personal encargado.

Controles de Procesamiento: Por procesamiento de datos se entienden habitualmente las tcnicas elctricas, electrnicas o mecnicas usadas para manipular datos para el empleo humano o de mquinas. Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para obtener buenos resultados, las cuales mencionamos a continuacin: Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados.

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Utilitarios: Los Programas Utilitarios son aplicaciones de software que ejecutan funciones miscelneas dentro de sus sistemas operativos. Los programas utilitarios realizan varias actividades dependiendo del propsito de su diseo, es una herramienta que realiza soporte para la construccin y ejecucin de diversos programas a utilizar. 5. Auditora al Ambiente de Redes: Una Auditora de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin. Seguridad fsica del equipo: Cuando hablamos de seguridad fsica del equipo, nos referimos a todos aquellos mecanismos -generalmente de prevencin y deteccin- destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de back up con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina, incluyendo todo el cableado necesario para su perfecto funcionamiento; para ello se debe tener en cuenta la necesidad de planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios. Por ningn motivo se debe olvidar asegurar un buen respaldo de mantenimiento y asistencia tcnica en forma peridica. Una vez vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo para los equipos y los sistemas instalados.

Perfiles de Usuarios: El perfil de usuario contiene las preferencias y las opciones de configuracin de cada usuario. Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio y a la vez ayuda a brindar un mejor servicio. 6. Recomendaciones y respaldos. Al finalizar la auditoria al citado Centro de Cmputo, el auditor estar en capacidad de rendir un detallado informe con el trabajo realizado, las fallas encontradas y las debidas recomendaciones a dichas fallas y las prevenciones que se deben tener para evitar cualquier tipo de anomala. Planes de Respaldo: Contempla las medidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin y que en caso de llegar a darse una falla, tengamos automticamente un respaldo con que reponer la falla y continuar con nuestro trabajo de manera eficiente, tratando de llenar las expectativas esperadas.

Todos los sistemas deben estar debidamente documentados, respaldados y actualizados y para ello, se debe tomar en cuenta los datos originales del programa y las versiones que incluyan los cambios efectuados con sus respectivas modificaciones. Tambin se deben implantarlos los procedimientos de solicitud, aprobacin y ejecucin de los cambios efectuados. Recomendaciones: Por ltimo, al realizar la auditoria, el auditor debe presentar su informe y enunciar sus recomendaciones respecto al trabajo realizado, a fin de mejorar cualquier falla encontrada dentro de los parmetros auditados. REVISIN DE CENTROS DE CMPUTO. REVISIN DE CENTROS DE CMPUTO Al momento de realizar una auditoria dentro de un Centro de Cmputos, debemos en primera instancia, realizar una revisin de todos los parmetros que encierra la organizacin. Consiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los siguientes aspectos: 1. Revisin y verificacin de los controles de los equipos. Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado peridicamente.

2.- Revisin de programas de operacin Se verifica que el cronograma de actividades para procesar la informacin asegure la utilizacin efectiva del computador. 3.- Revisin de controles ambientales Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, extintores de incendio, aire acondicionado, energa continua, etc. 4.- Revisin del plan de mantenimiento Aqu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. 5.- Hacer una revisin a los sistemas de archivos. Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estn respaldados, as como asegurar que el uso que le dan es el autorizado. 6.- Revisin previa del plan de contingencia. Aqu se verifica si es adecuado el plan de recuperacin en caso de desastre, el cual se detalla ms adelante.

LISTAS DE CHEQUEO O CHECKLIST PARA REAS DE CMPUTO

Definicin: Actualmente es difcil definir lo que es un centro de cmputo, puesto que en una organizacin pequea dos equipos PC son todo su centro de cmputo, en una escuela, su centro de cmputo lo conforman sus aulas y las oficinas administrativas, y en un corporativo, su centro de cmputo lo forman varios edificios o un sitio central y oficinas regionales.

Para poder englobar todos estos extremos, se definir al centro de cmputo no en funcin del nmero de equipos con que cuente, ni en funcin del espacio que ocupa, sino en cuanto al servicio que proporciona. En este entorno un centro de cmputo es la infraestructura necesaria para satisfacer todas las necesidades de procesamiento de informacin y brindar los servicios que la organizacin requiere, contando para ello con recursos humanos, tcnicos y materiales.

CUESTIONARIO DE CONTROL C1

Aulas de informtica Institucin Educativa Cuestionario de Control Dominio Proceso Objetivo de Control Adquisicin e Implementacin

R/PT C1

AI3: Adquirir y mantener la arquitectura tecnolgica Evaluacin de Nuevo Hardware Cuestionario

Pregunta Se cuenta con un inventario de todos los equipos que integran el centro de cmputo? Con cuanta frecuencia se revisa el inventario? Se posee de bitcoras de fallas detectadas en los equipos? Caractersticas de la bitcora (seale las opciones). La bitcora es llenada por personal especializado? Seala fecha de deteccin de la falla? Seala fecha de correccin de la falla y revisin de que el equipo funcione correctamente? Se poseen registros individuales de los equipos? La bitcora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, as como las refacciones utilizadas? Se lleva un control de los equipos en garanta, para que a la finalizacin de sta, se integren a algn programa de mantenimiento? Se cuenta con servicio de mantenimiento para todos los equipos? Con cuanta frecuencia se realiza mantenimiento a los equipos? Se cuenta con procedimientos definidos para la adquisicin de nuevos equipos?

SI

NO

N/A

Se tienen criterios de evaluacin para determinar el rendimiento de los equipos a adquirir y as elegir el mejor? Documentos probatorios presentados: