IDSystems

Administracion de Centros de Computo

8.4

8.4.1 AUDITORIA DE HARWARE

1. INTRODUCCION A medida que una empresa incrementa su grado de informatizacion aumenta progresivamente el tratamiento de la informacion. Asi, muchas de las actividades empresariales dependen de la e actitud y seguridad de la informacion con que se opera. Cualquier distorsion co!ra cada vez mayor vigencia la ma ima que dice que la informacion de una empresa es parte importante de su activo y, en consecuencia, toma relevante importancia el garantizar su calidad e integridad. A tal fin, la auditoria del entorno hard"are vendra a verificar la seguridad no solamente en la operativa de los componentes materiales del ordenador, sino de todo lo relativo a los aspectos fisicos concernientes al departamento de procesos de datos. #n este capitulo se pretende un acercamiento a la auditoria del entorno operativo hard"are$ sus o!%etivos, formas de actuacion, puntos a revisar, recomendaciones a tener en cuenta, etc. Se incluyen tam!ien unas paginas dedicadas a los planes de contingencia y desastre. Concluye el capitulo con un cuestionario&guia de auditoria. ' como hemos visto a lo largo de este curso de Administracion de Centros de Computo, generalmente la Auditoria Informatica en el area de (ard"are utiliza alguno de las herramientas de soft"are que para tal fin fueron creadas, y las cuales a!undan. 2. OBJETIVOS DE AUDITORIA )ara *aterrizar* en el tema o!%eto de este capitulo se enumeraran algunos de los o!%etivos de la auditoria informatica del entorno hard"are$ & Determinar si el hard"are se utiliza eficientemente +

IDSystems

Administracion de Centros de Computo

8.4

& ,evisar los informes de la direccion so!re la utilizacion del hard"are & ,evisar si el equipo se utiliza por el personal autorizado. & # aminar los estudios de adquisicion, seleccion y evolucion del hard"are & Compro!ar las condiciones am!ientales & ,evisar el inventario hard"are & -erificar los procedimientos de seguridad fisica & # aminar los controles de acceso fisico & ,evisar la seguridad fisica de los componentes de la red de teleproceso & ,evisar los controles so!re la transmision de los datos entre los perifericos y el ordenador & Compro!ar los procedimientos de prevencion.deteccion.correccion frente a cualquier tipo de desastre & Cola!orar en la confeccion de un plan de contingencias y desastres.

3. AUDITORIA INFORMATICA DEL ENTORNO HARDWARE Como ya se decia al principio del capitulo, cuando se utiliza el termino *hard"are* se estan englo!ando todos aquellos aspectos materiales, fisicos, es decir que *se ven* y *se tocan*, dentro de la funcion informatica de la empresa. )or ello, cuando el auditor informatico planifique su revision del entorno hard"are, de!e pensar tanto en e aminar las seguridades y por contra las de!ilidades de los componentes fisicos del equipo, de las comunicaciones, etc., y tam!ien, por supuesto, de las seguridades fisicas de la instalacion donde se u!ica el centro de proceso de datos. Cuando se audita la seguridad de los componentes materiales /unidad central y perifericos0 de!era tenerse presente que la multiprogramacion a1ade riesgos adicionales por las posi!les interacciones entre usuarios que pueden provocar que de modo accidental o provocado se interfieran datos o programas de otro usuario a los que en principio de!eria estar restringido el acceso. )or consiguiente, de!eran tomarse medidas para evitar este tipo de pro!lemas. #stas pueden en su mayor parte estar !a%o la supervision del soft"are, si !ien el hard"are de!e asumir una postura conveniente. #l auditor de!era vigilar que se han implantado determinadas medidas hard"are para garantizar la seguridad en los componentes, y si no es asi, dedicara una parte de su informe de recomendaciones a que tales medidas se hagan efectivas. Asi pues, se citaran algunas de las formas en que el hard"are puede aumentar su margen de seguridades. Cuando la informacion se encuentra en la memoria central se la puede proteger, por e%emplo, asociando un digito de proteccion por pala!ra o !loque de memoria y en funcion del valor de ese digito se podra realizar la lectura o escritura de ese !loque o pala!ra. Si la memoria esta dividida en !loques iguales se puede utilizar el procedimiento de llave y cerradura, segun el cual a cada !loque se le asigna una cerradura de proteccion y a cada llave /clave definitiva0 se le hace corresponder un programa. Asi, si una instruccion de un programa hace referencia a una direccion de memoria contenida en un

IDSystems

Administracion de Centros de Computo

8.4

!loque determinado, se compro!ara si la llave del programa puede a!rir la cerradura del !loque en cuestion. Claramente el sistema de!era estar provisto de una llave maestra para acceder a todas las particiones de memoria. 3tro procedimiento de proteccion de memoria central es el de los registros limites, segun el cual a cada programa se asignan dos registros que contienen respectivamente la primera y la ultima direccion de memoria a las que puede acceder ese programa. 4odas las direcciones referenciadas por el programa de!eran estar comprendidas entre los limites citados. (ay por supuesto, mas metodos de proteccion como el que se puede esta!lecer en la conversion de direcciones cuando hay memoria virtual, etc. pero no es nuestra intencion enumerar una larga lista. 5os perifericos lentos son dispositivos muy propensos a los errores, por ello es oportuno que el fa!ricante proporcione con ellos algun tipo de control como pueda ser, por e%emplo, la paridad. 5as redes de transmision son otro punto delicado dada su fragilidad, ya que un e perto puede *pinchar* una linea sin e cesiva comple%idad. )or consiguiente, de!eran tomarse precauciones si la confidencialidad de la informacion a transmitir asi lo requiere. 5os dispositivos hard"are para el mane%o de errores introducidos por la comunicaci6n ofrecen la venta%a de eliminar la compro!aci6n por parte del hom!re, especialmente en aquellos casos en que esto 7ltimo sea un tanto dificil, por e%emplo, por la velocidad de transmisi6n y recepci6n. Adem8s de los controles que se de!er8n esta!lecer a la entrada de las aplicaciones de usuario cuando 9stas mane%en datos reci!idos de una transmisi6n: y que valorar8n los c6digos y valores sensi!les, e isten una serie de t9cnicas usadas en la detecci6n de errores como son$ la utilizaci6n de !loques de redundancia c;clica< la compro!aci6n del eco y la consiguiente retransmisi6n de datos err6neos< la inclusi6n de paridad en los mensa%es /longitudinal, transversal, diagonal0$ caracteres de compro!aci6n< registros sumarios< c6digos polin6micos, etc9tera. )ara concluir estas l;neas que se est8n dedicando a la auditoria de las comunicaciones se citar8n algunos otros puntos que no de!en escapar del e amen del auditor$ & Se revisar8 la documentaci6n so!re los aspectos t9cnicos y configuraci6n de la red, as; como los procedimientos de recuperaci6n y rearranque, al o!%eto de evitar en la medida de lo =osi!le las fuertes dependencias personales que puedan proucirse. & Se compro!ar8n los analisis y controles de rendimientos de la red y puestas a punto correspondientes para me%orar los tiempos de respuesta. & De!e e aminarse que efectivamente se est8 realizando una supervisi6n de la actividad diaria del teleproceso mediante la revisi6n del >logging? que proporciona el sistema y no s6lo ante eventuales incidencias como suele ser norma en muchas instalaciones.

IDSystems

Administracion de Centros de Computo

8.4

& Si el teleproceso es un elemento de importancia critica en las funciones de la entidad de!era verificarse que e isten los adecuados elementos de respaldo para la red de teleproceso de modo que ante fallos de elementos claves /concentradores, ordenadores para comunicaciones, controladores, etc.0 la actividad del centro no se vea paralizada. #n determinados casos puede ser interesante desarrollar un estudio de via!ilidad para la implantaci6n de una versi6n m8s reducida del teleproceso de forma que se garantice, cuanto menos, la continuidad de las transacciones vitales en espera de la total restauraci6n de servicio tras una caida grave. 5a seguridad fisica del local donde se instalar8 el centro del proceso de datos es una cuesti6n que afortunadamente preocupa cada vez m8s no ya s6lo a los responsa!les del proceso de datos, sino tam!i9n a la direcci6n general a quien, como se sa!e, no siempre es f8cil concienciar de los temas que afecten a las funciones informaticas. 4odavia se encuentran hoy ordenadores en unas condiciones peregrina< y en los lugares m8s inverosimiles pero como se est8 diciendo, la concienciaci6n es cada vez mayor y ya la alta direcci6n suele sentirse sensi!le ante la denuncia de un evidente riesgo de inundaci6n por lo deficiente de la instalaci6n. o las posi!les influencias de un campo electromagn9tico pr6 imo al computador. A la hora de auditar la u!icaci6n del Centro de )rocesamiento de Datos /C.).D0 se de!er8n o!servar unas precauciones elementales$ & ,iesgos naturales procedentes del entorno en que se asienta el centro, tales como inundaciones por des!ordamiento de presas, rios, etc.< descargas el9ctricas< vientos fuertes... #n la mayoria de los casos la elecci6n de u!icaci6n de!er8 restringirse al interior de un edificio por lo que la posi!ilidad de prevenci6n de tales riesgos es practicamente nula si la zona es propensa a la aparicion de alguno de ellos. 5o que si sera facti!le es realizar un an8lisis de las posi!les causas de siniestralidad natural, para minimizar sus consecuencias en la me dida de lo posi!le. & ,iesgos de vecindad derivados de construnciones, edifidos y o!ras p7!licas pr6 imos al lugar de u!icaci6n y que pueden aumentar el peligro de incendio /una fa!rica vecina de productos inflama!les0, de vi!raciones, de ruidos, etc. #n este caso se puede apuntar lo que ya se cit6 en el punto anterior so!re lo inevita!le de la situaci6n pero, al igual que se decia alli, eval7ense tam!i9n estos riesgos en aras de disminuir sus efectos. &,iesgos del propio edificio donde se localiza el C.).D. como son el almacenamiento e cesivo de papeles. com!usti!les, polvo, peligros todos ellos m8s controla!les que los de los puntos anteriores. Seg7n se ha visto, los eventuales riesgos$ los queestA sometido el edificio son inevita!les a menos que se pida la opini6n e perta del auditor&consultor cuando se vaya a instalar el C.).D. 5o que si sera corregi!le en una adecuada operaci6n de revisi6n son las condiciones de seguridad que de!e cumplir la propia sala del ordenador y a las que se dedicaran las siguientes lineas. 5os elementos primarios en la configuraci6n de la sala son el falso piso, el suministro de energia, la insonorizaci6n y el acondicionamiento de aire. #n un paso posterior se revisar8n las prevenciones necesarias contra el fuego, el agua, el hom!re. etc. 4

IDSystems

Administracion de Centros de Computo

8.4

&Balso suelo$ es una construcci6n necesaria para aislar y proteger los ta!les de cone i6n de los distintos aparatos y facilitar la conducci6n del aire acondicionado. #ste suelo ser8 inde;orma!le, resistente a la humedad y a los e cesos de peso mal repartidos &la concentraci6n de peso por metro cuadrado que ofrece un ordenador es importante&. y estara compuesto por !aldosas independienmes y removi!les separadamente para facilitar las operaciones de mantenimiento. )or supuesto que estar8 fa!ricado en un material que no transmita ni la electri& cidad ni las vi!raciones. &Suministro de energia$ la fuerza el9ctrica que alimenta al ordenador puede sufrir variaciones, picos, cortes, que producir8n tur!ulencias en el funcionamiento dela m8quina. )or ello, cuando por las condiciones am!ientales estos hechos se repiten con cierta frecuencia, sera casi o!ligado la instalaci6n de fuentes de alimentaci6n ininterrumpida /C)S0, dispositivos li!res de este tipo de fluctuaciones. Se vigilar8 que se hacen revisiones peri6dicas del funcionamiento de tales dispositivos. & lncluir la lucha contra el agua en el plan de formaci6n del personal ante situaciones de emergencia. 5os campos magn9ticos, como es sa!ido, afectan gravemente a cintas y discos alterando su informaci6n o provocando su !orrado. #s posi!le que e istan elementos a%enos a la instalaci6n situados en el e terior del centro, como una potente torre el9ctrica o un radar, que induzcan campos que alteren los dispositivos magn9ticos. De ser asi, superficies met8licas colocadas en los muros servir8n de reflectores de las se1ales. 5a li!re circulaci6n de personas por la sala del ordenador condiciona la seguridad de la inform8tica. Do es infrecuente o!servar esta li!re circulaci6n so!re todo en centros de envergadura media o peque1a, a pesar de que en casi todos ellos la se1alizaci6n de restricci6n de acceso s6lo al personal autorizado, es !ien visi!le. )ara la implantaci6n de controles de acceso se tendr8 l6gicamente en cuenta la idiosincracia del centro de c8lculo. #n instalaciones peque1as puede servir una adecuada concienciaci6n del personal a%eno al servicio so!re el cumplimiento de las limitaciones de paso, mientras que en instalaciones grandes donde el grado de seguridad tenga que mantener unas altas cotas, las soluciones pueden pasar por la utilizaci6n de medios mec8nicos, electr6nicos, o incluso por la utilizad6n de personal de seguridad. Ademas de la protecci6n de los accesos de personal a%eno al C.).D., se impondran tam!i9n restricciones de movimiento al personal del propio servicio dentro de las 8reas del departamento Eun programador por el simple hecho de serlo no tiene porque tener li!ertad de movimientos dentro de la sala del computador y mucho menos de acci6n en la consola del sistema&. Cna primera divisi6n incluir8 al menos cuatro zonas !asicas con derechos de acceso diferentes$ & & & & Sala de ordenadores. Fona de preparaci6n de tra!a%os. Gandoteca /cintas. discos. etc.0. Fonas de analistas y programadores. H

IDSystems

Administracion de Centros de Computo

8.4

Asl, por e%ernplo, a la !andoteca solo tendria acceso el !i!liotecario de soportes, o a la sala e clusivamente el personal imprescindi!le para la operacion del ordenador, instaurandose los procedimientos de autorizaci6n oportunos para el acceso de personas diferentes de las mencionadas. Como medidas adicionales se evitara la e istencia de otras puertas de acceso o de ventanas en la sala del computador< la zona de recepci6n de listados ser8 e terior a la sala< de e istir conducci6n e terior de aire acondicionado 9sta no de!era permitir el paso de personas< de no e istir otros controles, la puerta de acceso a la sala que nunca sera de madera, de!er8 permanecer siempre cerrada< sepodra implantar un sistema de tar%etas de identificacion que permita distinguir al personal de la entidad, al personal inform8tico y a los eventuales visitantes /proveedores, tecnicos...0. #stos visitantes estaran siempre acompa1ados por personal de la empresa quien, se insiste una vez mas, es necesario que se conciencie de la importancia que para la entidad tiene el concepto de seguridad, siendo este el me%or m9todo para conseguir que todas las medidas adoptadas para garantizar tal seguridad tengan 9 ito. 5a seguridad en los soportes de almacenamiento necesita de medidas preventivas como$ & 5os soportes de papel requieren pocas precauciones adicionales. Si todavia su!sisten las fichas perforada$ se guardaran en ca%as del modo m8s compacto posi!le, aumentando asi su resistencia al fuego y al agua. 5os formularios en !lanco con un cierto grado de sensi!ilidad se guardaran en zonas de acceso restringido. 5os listados se repartir8n seg7n criterios que garanticen su confidencialidad, si es el caso, y se minimiza el tiempo que estos listados est8n e puestos a ser utilizados inmoderadamente. Si el nivel de seguridad asi lo requiere ha!r8 que disponer de una moderna trituradora de papel para destruir los listados inservi!les. 5a documentaci6n relativa a proceso de datos de!er8 contar con las correspondientes copias de seguridad almacenadas en un lugar e terior al edificio que al!ergue al proceso de datos. & 5os soportes magn9ticos, aparte de las protecciones que se comentaron para el papel, requieren de todas aquellas que com!atiran su fragilidad fisica. #l calor, el polvo y los efectos electromagn9ticos son enemigos mortales para este tipo de dispositivos. Cuando sea preciso trasladar cintas o disquetes que contengan informaci6n delicada a un edificio diferente puede ser incluso recomenda!le utilizar personal de seguridad. Se insiste una ver m8s en que todas las medidas que se han e puesto a lo largo de este apartado necesitan necesariamente de un personal a!solutamente concienciado de su necesidad y utilizaci6n, adecuadamente formado para las emergencias que puedan surgir. 4. INVENTARIANDO EL HARDWARE Cna de las acciones mas comunes en la auditoria de hard"are es la realizacion del inventario y la organizaci6n adecuada de la informacion referente a cada equipo de computo fisico y sus perifericos dentro del Centro de Computo. Asi como los elementos que lo componen dando sus caracterisiticas. #sto es una de las primeras cosas que hay que realizar para esta!lecer un marco adecuado de tra!a%o y conocer las herramientas I

IDSystems

Administracion de Centros de Computo

8.4

con las que tra!a%a el personal, para mas adelante, durante el transcurso de la auditoria, conocer si cumplen todos los requerimientos impuestos para dicho Centro de Computo /#mpresa, Gi!lioteca, #scuela, etc.0 Cna de las opciones, como ya vimos en lecciones anteriores, es hacer el inventario Ja manoK, es decir, crear una plantilla en una ho%a de papel e ir equipo por equipo anotando las caracteristicas mas relevantes acerca de el$ procesador, memoria ,AL, capacidad de disco duro, perifericos, etc. 3tro metodo es hacerlo mediante el soft"are e istente para tal fin, que nos da mucha mas informacion so!re el equipo y sus componentes. Incluso los hay, que pueden inventariar toda la red 5AD del centro de computo sin movernos del escritorio principal o instalar el soft"are necesario en equipo nuevo. #ste soft"are nos sera muy util para conocer hasta las ultimas caracteristicas de los componentes fisicos del ordenador, como chipset, marcas de !ios, circuitos, y tener a la mano el soft"are correspondiente o poder pedir el reemplazo de la pieza de manera adecuada cuando el equipo falle. Sin em!argo, lo que este soft"are aun tra!a%ando de manera automatica a traves de una red, creando la !ase de datos de decenas o cientos de computadoras en cuestion de minutos no hace, es conocer cuando se compro, cuanto costo, donde se compro, a quien se compro, donde esta la garantia, cuando se realiza el mantenimiento, cuando se realizan los respaldos, donde estan u!icadas, etc. ' esto es importante tam!ien para en el reporte final de la Auditoria hacer constar el ciclo de mantenimiento periodico y el ciclo de respaldos o la antigMedad del equipo y hacer las recomendaciones pertinentes< al igual que las u!icaciones incorrectas /poca iluminacion, mala ventilacion, u!icaciones inseguras, etc.0. )or lo que ademas, de contar con algun soft"are automatizado, necesitamos inventariar Ja manoK estas otras caracteristicas. 4am!ien, es posi!le que dicho soft"are automatizado de auditoria de hard"are /inventario0 no pueda JconocerK a los perifericos en cuestion /unidades zip, unidades de almacenamiento e terno, impresoras, escaners u algo otro dispositivo especial0, por lo que ha!ra que generar la informacion necesaria para estos dispositivos y su dependencia al equipo de computo correcto. 3tro aspecto tam!ien, seria el de JvisualizarK o JmaquetizarK mediante un diagrama la u!icaci6n correcta de los equipos, esto con el fin de tener un control mas preciso y rapido so!re todo el equipo de hard"are de nuestro Centro de Computo y sus cone iones. )ara ello, soft"are como Licrosoft )o"er)oint, Licrosoft -isio, Licrosoft )u!lisher, SmartDra", etc nos pueden ayudar con dicho diagrama.

IDSystems

Administracion de Centros de Computo

8.4

C+0,1%+0 I0&,-0,& '+0 IP 2%3) ) R%+ G-)0*, N,& 4+- A0&,0) /%-,5,66 E1'5"6%7) 4)-) ')8)-)6 BAC9.P (:) 0+ "&%5%;)*) ,0 2006) INTERNET DATASERVER (148.235.34.112) 172.16.0.70 201.153.116.244:1030 201.153.116.244:80

R)*%+ &+$,-

V%*,+ B-%*<, 10.0.0.1

C+0,1%+0 -,* '+0 ')#5, E&(,-0,& C+0,1%+0 -,* %0)5)8#-%') C+0,1%+0 A0&,0) I0&,-0,& E1&,-0) C+0,1%+0 A0&,0&) I0&-)0,&

RO.TER 2/IRE 172.16.0.1

C+0,1%+0 ) I0&,-0,& '+0 P-+*%<= I0>%0%&"8 512 ?", *) 6,-7%'%+ ) &+*) 5) -,* V,5+'%*)*: 2MB@ 2569

CAJA4 172.16.0.71

CAJA3 172.16.0.72

CAJA2 172.16.0.73

CAJA1 172.16.0.74

S$%&'(

!"# E05)', ) T%8+0 P",0&, *, 5) R,* +')5 = *, I0&,-0,& 10.0.0.3 E05)', ) T%8+0 C%7%') *, 5) R,* +')5 = *, I0&,-0,& 10.0.0.5 V%*,+ 2)1

P-%0&,NESTOR 172.16.0.77 P-%0&,-

GOP_TIMON (BETO) 172.16.0.75

DIAGRAMA RED TIMON MATRIA E05)', ) C5)66%' G5; *, 5) R,* +')5 = *, I0&,-0,& 10.0.0.2 E05)', ) C5)66%' V *, 5) R,* +')5 = *, I0&,-0,& 10.0.0.7 E05)', ) C5)66%' !EB *, 5) R,* +')5 = *, I0&,-0,& 10.0.0.4 2007 P-%0&,CANABA 172.16.0.76

Como ha!iamos visto en las lecciones anteriores, uno de los pocos soft"are que permiten el inventario de manera mas completa aunque no automatica es ComputerAdmin el cual, genera una !ase de datos donde almacenamos toda la informacion referente a nuestro equipo /ademas de soft"are y help desO0, pero que nos puede dar una idea de la informacion que en la Auditoria precisamos.

IDSystems

Administracion de Centros de Computo

8.4

Como vemos, no solamente nos pregunta acerca de los componentes fisicos del ordenador, sino que tam!ien nos pregunta so!re su u!icaci6n, caracteristicas de la red y la asociacion con los perifericos.

IDSystems

Administracion de Centros de Computo

8.4

4am!ien es importante que asociemos a los usuarios de los equipos computacionales, siempre y cuando no e ista mucha rotacion de personal. De esta manera, en nuestra Auditoria podremos darnos cuenta si cuenta con las medidas de seguridad necesarias, o si el usuario esta realizando los procedimientos adecuados de respaldo, uso de soft"are, control de informacion.

+Q

IDSystems

Administracion de Centros de Computo

8.4

' como indicamos anteriormente, tam!ien es importante conocer el costo del equipo, numero de factura, lugar de compra, fecha de compra, depreciacion incluso, vida de la garantia o si tiene garantia e tra y algunos datos mas acerca del vendedor. 4odo esto, ayuda al administrador del centro de computo a tener organizado la estructura y detectar o prevenir futuras fallas en los equipos mas adelante.

5. CUESTIONARIOS ++

IDSystems

Administracion de Centros de Computo

8.4

A continuacion veamos algunos cuestionarios que se pueden realizar para la Auditoria de (ard"are. Se muestran a manera de e%emplo, con algunas preguntas importantes para la realizacion de la Auditoria. )or e%emplo, este que se muestra a continuacion es so!re la seguridad del equipo de computo$

Con estas preguntas sa!remos si se estan aplicando medidas de seguridad o si e isten en realidad.

+2

IDSystems

Administracion de Centros de Computo

8.4

#ste otro, aunque parece que toca pregunta acerca de soft"are, sigue siendo so!re el acceso a la informacion que soporta el hard"are y que controles o medidas se estan usando$

+@

IDSystems

Administracion de Centros de Computo

8.4

' si el acceso fisico a los equipos cuentan con algunas medidas de seguridad$

+4

IDSystems

Administracion de Centros de Computo

8.4

4am!ien, mediante esta serie de preguntas, nos daremos cuenta si e isten planes de contigencia y si se siguen en caso dado$

Como podemos apreciar, no solamente es el inventario del equipo y sus componentes, o la utilizacion de algun soft"are de automatizacion de inventario o de red, sino algunas caracteristicas mas del hard"are que se utiliza en el Centro de Computo. ' aunque algunas medidas, preguntas, caracteristicas tocan la Auditoria de Seguridad /tanto para hard"are como soft"are y recursos e tra0 se complementan tam!ien dentro de este capitulo. +H

IDSystems

Administracion de Centros de Computo

8.4

+I