Professional Documents
Culture Documents
Ao 2011
Introduccin
En la actualidad las organizaciones se apoyan en gran medida de la confiabilidad y presicin de los datos proporcionados por los sistemas de infromacin computarizados, pero existen numerosos riesgos, que si no son tenidos en cuenta podria colocar a la misma en una situacion desventajosa y hasta provocar su extincin. En el presente trabajo describimos sobre los aspectos a tener en cuenta en la planificacin estrategica de la auditoria en los entornos de hardware. La evaluacin de la utilidad del hardware, las normas para la adquisicin de nuevo hardware, las politicas para la utilizacin de los equipos por parte del personal, los aspectos para el cuidado en lo referente a la seguridad fisica de la instalacin y los planes de contingencia ante los posibles desastres que se puedan presentar en la organizacin.
Seguridad fisica
El objetivo es establecer polticas, procedimientos y prcticas para evitar que las interrupciones prolongadas del servicio de procesamiento de informacin, debudi a contingencias como incendios, inundaciones, huelgas, disturbios, sabotajes, terremotos, huracanes, etc., y continuar en un medio de emergencia hasta que sea restaurado el servicio completo. Ubicacin y Construcion del Centro de Computo En la Actualidad se considera extremadamente peligroso tener el centro de cmputo en las areas de alto trafico de personas, o bien en un lugar cercano a la calle o con un alto nmero de invitados. Otros elementos referentes al material y construccin del edificio del centro de computo con los que se debe tener precaucin son los materiales altamente inflamables, que despiden humos sumamente txicos, o las paredes que no quedan perfectamente selladas y despiden polvo, los cuales deben ser evitados. En lo posible tambien se debe tomar precauciones en cuanto a la orientacin del centro de cmputo y se debe evitar, en lo posible, los grandes ventanales, los cuales ademas de permitir la entrada del sol, son riesgosos para la seguridad del centro de computo. Las dimensiones mnimas del centro de cmputo deben determinarse por la cantidad de componentes del sistema, el espacio requerido para cada unidad, para su mantenimiento, el rea de operacin. Ademas en el centro de cmputo se debe prever espacio para lo siguiente: 1. Almacenamiento magnetico 2. Formatos y papel para impresora 3. Mesas de trabajos y muebles 4. Area y mobiliario para mantenimiento 5. Equipo de telecomunicaciones 6. Area de programacin 7. Consolas del Operador 8. Area de recepcin 9. Microcomputadoras 10. Fuentes de Poder 11. Bveda de seguridad. Con los archivos maestros que deben ser guardados antiincendios con proteccin maxima. Piso elevado o camara plena Pisos falsos: En la actualidad este requerimiento solo es necesario o deseable para macrocomputadoras, por lo que habria que verificar con el proveedor la necesidad de contar con l. Una ventaja del piso falso es que permite organizar el tendido y proteccin del cableado y facilitan el reacomodo del sistema. Se recomienda que el acabado del piso sea de plastico antiestatico y que la superfici del piso elevado tenga 45 cm de alto, cuando es usado como camara plena de aire acondicionado. La altura del plafn, desde el piso falso terminado, debe ser de 2.4m. Asimismo, los paneles del piso elevado
deben poder ser removidos fcilmente para permitir la instalacin del cableado del sistema y ser de fcil limpieza con trapo hmedo o aspiradora. Aire Acondicionado El equipo de A.A es otro de los dispositivos que dependern del tipo de computadora que se utilice y del lugar donde est instalado, para lo cual se recomienda verificar con el proveedor la temperatura mnima y mxima, asi como la humedad relativa en la que debern trabajar los equipos. Los ductos de A.A son una fuente de incendio muy frecuente, son susceptibles a ataques fsicos, especialmente a travz de los ductos. Se deben instalar redes de proteccin en todo el sistema de ductos, tanto exteriores como interiores, y deber contarse con detectores de humo que indiquen la posible presencia de fuego. Se recomienda que la presin de aire en la sala de cmputo sea ligeramente superior a la de las reas adyacentes, para reducir asi la entrada de polvo y suciedad. Instalacin electrica y Suministro de Energia Uno de los dispositivos que deben ser evaluados y controlados con mayor cuidado es la instalacin elctrica, ya que no solamente puede provocar fallas de energa que pueden producir prdidas de informacin y de trabajo, sino que tambien es uno de los principales provocadores de incendios. El auditor se debe valer de la asesoria de un experto en esta area para poder evaluar el estado del sistema auditado. Los cables del sistema elctrico deben estar perfectamente identificados(positivos, negativos y tierra), lo mas frecuente es identificarlos por medio de colores. Deben existir conexiones independientes para los equipos de cmputo, ademas deben estar identificados y contar con conexin a tierra fisica, lo cual protegera a los equipos contra cortocircuitos en caso de una descarga. Los planos de la instalacin electrica deben estar debidamente actualizados. La tierra fsica debe estar perfectamente instalada de acuerdo con las especificaciones del proveedor, dependiendo de la zona en que est instalado el equipo y de las caractersticas de ste. Se debe tener una proteccin contra roedores o fauna nociva en los cables de sistema elctrico y de comunicaciones. Es comun que los roedores se coman el plastico de los cables. Los reguladores son dispositivos elctricos que reducen el riesgo de tener un accidente por los cambios de correinte. Dichos protectores son comnmente construidos dentro de un sistema de correinte ininterrumpido denominado UPS.
Planes de desastre
Los accidentes pueden surgir por un mal manejo de la administracin, por negligencia o por ataque deliberados hechos por ladrones, por fraudes, sabotajes o bien por situaciones propias de las organizacin. El trabajar con posibilidad de que ocurra un desastre es algo comn, aunque se debe evitar en lo posible y palnear de antemano las medidas en caso de que esto ocurra. El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en situaciones de emergencia se tenga la seguridad de que funcionar. Segn una de los ocho grandes firmas estadounidenses de contadores publicos, los planes de seguridad deben: 1. Garantizar la integridad y exactitud de los datos 2. Permitir identificar la informacin confidencial, de uso exclusivo o delicada. 3. Proteger los activos de desastres provocados por la mano del hombre y por actos abiertamente hostiles y conservarlos. 4. Asegurar la capacidad de la organizacin para sobrevivr a accidentes 5. Proteger a los empleados contra tentaciones y sospechas innecesarias 6. Proteger a la Administracin contra cargos por imprudencia. La prueba del plan de contingencia o emergencia debe hacerse sobre la base de que un desastre es posible y que se ha de utilizar respaldos (posiblemente en otras instituciones). Habra que cambiar la configuracin y posiblemente se tengan que usar algunos metodos manuales considerando que la emergencia puede existir. Se deben evitar suposiciones que, en un momento de emergencia, vuelvan inoperante el respaldo. El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. Los de desastres pueden clasificarse de la siguiente manera: 1. Destruccin completa del centro de cmputo 2. Destruccn parcial del centro de cmputo 3. Destruccin o mal funcionammiento de los equipos auxiliares del centro de cmputo(Electricidad, Aire Acondicionado, etctera). 4. Destruccin parcial o total de los equipos descentralizados. 5. Perdida total o parcial de informacin, manuales o documentacin. 6. Perdida del personal clave. 7. Huelga o problemas laborales. El plan de contingencia es definido como: la identificacin y proteccin de los procesos crticos de la organizacin y los recursos requeridos para mantener aceptable el nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacin en caso de desastre. Para la preparacin del plan se seleccionar el personal que realice las actividades clave de ste. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direcion de informatica. Cada uno de ellos debe tener tareas especficas, como la operacin del equipo de respaldo, la interfase administrativa y la de logstica. Cada miembro del
grupo debe tener asignada una tarea y contar con una persona de su respaldo. Se debera elaborar un directorio de emergencia con telefonos particulares que contenga adems los nombre y direcciones. Este debera estar almacenado en un lugar seguro y accesible. Entre los objetivos del paln de contingencia se encuentran: 1. Minimizar el impacto de desstre en la organizacin 2. Establecer tareas para evaluar los procesos indispensables de la organizacin. 3. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travz de una buena metodologa. 4. Determinar el costo del paln de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos criticos de la orgranizacion cuado ocurra una interrupcin de las operaciones. La metodologa del plan de contingencias determina los procesos crticos de la organizacin para restablecer sus operaciones y debe tomar en cuanta ser eficaz y eficiente, los aspectos legales, el impacto de servicio al cliente y los siesgos para que sobreviva la organizacin. El plan de contingencias debe contemplar lo siguiente: 1. 2. 3. 4. 5. La naturaleza, la extencin y la complejidad de las actividades de la organizacin. El grado de riesgo al que la organizacin est expuesta. El tamao de las instalaciones de la organizacin. La evaluacin de procesis crticos. La formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. 6. La justificacin del costo de implementar las medidas de seguridad Entre las etapas del proyecto del plan de contingencias estn: 1. 2. 3. 4. 5. Anlisis del impacto en la organizacin Seleccin de la estrategia Preparacin del plan Prueba Mantenimiento