Instituto Tecnolgico del Valle del Guadiana Auditoria Informtica

Unidad III Tema: Operacin y Seguridad en la Auditoria de Hardware

"b#etivos %rincipales para 8na 9uditoria en -ard'are &ue se deben realizar

1. 2.

3.

!.

$.

(.

*.

0.

12.

11.

12.

13.

1 .

1!.

El departamento de sistemas debe estar organizado Debe existir segregacin de funciones entre sistemas y otros departamentos Supervisin competente y completa, revisin de tareas por gerencia Deben existir procedimientos administrativos y de operacin "b#etividad e independencia de los usuarios %roteccin de e&uipo, soft'are, documentacin )antenimiento del e&uipo en buen funcionamiento +estringido a personal autorizado ,-ard, documentos, arc.ivos/ %rocesamiento r1pido y exacto de la informacin 3ontroles internos en la operacin de S4 4nstrucciones de operacin %rogramas de e#ecucin ,sc.edule/ 5ista de mensa#es y paradas programadas ,acciones ligadas/ %rocedimientos de recupero y reinicio 6iempos est1ndar7estimados

Las estaciones de traba o de los empleados! no son los blancos ms comunes de ata"ues remotos! especialmente a"uellos detrs de un cortafuegos bien configurado# Sin embargo! $ay algunas protecciones "ue se pueden implementar para e%itar un ata"ue interno o f&sico en los recursos indi%iduales de una estacin de traba o#

Las estaciones de traba o modernas y los '(s del $ogar tienen )IOS es "ue controlan los recursos del sistema a ni%el del $ardware# Los usuarios de las estaciones de traba o pueden establecer contrase*as administrati%as dentro del )IOS para pre%enir a los usuarios maliciosos de acceder o arrancar el sistema# Las contrase*as del )IOS impiden "ue usuarios maliciosos arran"uen el sistema! disuadiendo al usuario de robar o acceder informacin almacenada en el disco duro#

Se recomienda "ue las estaciones de traba o tengan seguros para restringir el acceso al $ardware interno# Las medidas de seguridad especiali+ada! tales como cables de acero asegurable! se pueden ane,ar a la '( y porttiles para pre%enir robos! as& como tambi-n seguros en el c$asis mismo para pre%enir acceso interno# .ste tipo de $ardware es ampliamente disponible desde fabricantes tales como /ensington y Targus#

Control y supervisin de las operaciones y los dispositivos de comunicacin

.n cada uno de los componentes de un SI deben e,istir controles internos# (omo ob eti%o principal de todo control interno! lo primordial es tratar de disminuir riesgos# .n las comunicaciones de un SI deben establecerse controles en: -ard'are: debe $aber controles "ue impidan el fcil acceso f&sico a las terminales y al e"uipamiento de la red 0instalaciones! modems! $ubs! cables! etc#1

.l $ardware de ser%idores! especialmente ser%idores de produccin! son t&picamente montados en estantes en $abitaciones de ser%idores# Los armarios de ser%idores usualmente tienen puertas con seguros y tambi-n estn disponibles c$asis de ser%idores indi%iduales con re illas "ue se pueden asegurar para pre%enir "ue alguien apague intencionalmente o por accidente la consola#

Las empresas tambi-n pueden utili+ar pro%eedores de co2location para $ospedar sus ser%idores! ya "ue los pro%eedores de co2location ofrecen un mayor anc$o de banda! soporte t-cnico 34,5 y la e,periencia en seguridad de sistemas y ser%idores# .sto puede ser una forma efecti%a de $acer outsourcing de las necesidades de seguridad y conecti%idad para las transacciones HTT' o ser%icios de flu o de contenidos de multimedia 0streaming media1#

Sin embargo! co2location puede ser un poco pro$ibiti%o en t-rminos de costos! especialmente para negocios pe"ue*os a medianos# Las facilidades de co2location son conocidas por ser muy bien protegidas por personal entrenado y muy bien monitoreado en todo momento#