Evaluación de Seguridad y Eficiencia en Sistemas Informáticos

Enviado por Programa Chuletas y clasificado en Diseño e Ingeniería

Escrito el en español con un tamaño de 8,17 KB

Auditoría de Hardware

La auditoría del entorno de hardware verifica la seguridad operativa de los componentes físicos del ordenador y todos los aspectos físicos relacionados con el departamento de procesamiento de datos.

Objetivos de la Auditoría de Hardware

  • Determinar la eficiencia en la utilización del hardware.
  • Revisar los informes de la dirección sobre la utilización del hardware.
  • Verificar el uso del equipo por personal autorizado.
  • Examinar los estudios de adquisición, selección y evolución del hardware.
  • Comprobar las condiciones ambientales.
  • Revisar el inventario de hardware.

El auditor debe verificar la implementación de medidas de seguridad en los componentes de hardware y, de no ser así, incluir recomendaciones en su informe.

Auditoría de Comunicaciones

Puntos clave para el auditor:

  • Revisar la documentación técnica y de configuración de la red, así como los procedimientos de recuperación y arranque, para minimizar las dependencias personales.
  • Comprobar los análisis y controles de rendimiento de la red y las puestas a punto para mejorar los tiempos de respuesta.
  • Examinar la supervisión diaria de la actividad mediante la revisión del logging del sistema.
  • Verificar la seguridad física del local del centro de procesamiento de datos.

Auditoría de la Ubicación del Centro de Procesamiento de Datos (CPD)

Precauciones elementales:

  • Riesgos naturales: inundaciones, descargas eléctricas, vientos fuertes.
  • Riesgos de vecindad: construcciones, edificios y obras públicas próximas que puedan aumentar el peligro de incendio, vibraciones, ruidos, etc.
  • Riesgos del propio edificio: almacenamiento excesivo de papeles, combustibles, polvo.

Elementos primarios en la configuración de la sala:

  • Falso piso: aísla y protege los cables de conexión y facilita la conducción del aire acondicionado.
  • Suministro de energía: la instalación de fuentes de alimentación ininterrumpida (UPS) protege contra variaciones y cortes de energía. Se deben realizar revisiones periódicas de estos dispositivos.

Controles de Acceso

Además de la protección contra el acceso de personal ajeno al CPD, se deben imponer restricciones de movimiento al personal interno. Se recomienda la división en al menos cuatro zonas básicas con derechos de acceso diferentes:

  • Zona de estaciones clientes.
  • Zona de servidores.
  • Zona de soporte técnico.
  • Zona de analistas y programadores.

Seguridad en los Soportes de Almacenamiento

  • Almacenar formularios en blanco con cierto grado de sensibilidad en zonas de acceso restringido.
  • Disponer de una trituradora de papel para destruir documentos sin uso.

Inventario de Hardware

Se puede realizar manualmente o mediante software especializado. El software proporciona más información técnica, pero no registra datos como la fecha y el costo de compra, la garantía, el mantenimiento y los respaldos.

Auditoría y Pruebas de Software

Auditoría de Software: investigación y entrevistas para determinar cómo se adquiere, distribuye y usa el software en la organización.

Pruebas de Software: procesos para verificar y revelar la calidad del software, identificando posibles fallos de implementación, calidad o usabilidad.

Tipos de Pruebas

  • Pruebas unitarias: verifica el correcto funcionamiento de un módulo de código individualmente.
  • Pruebas funcionales: evalúa las funcionalidades del software mediante modelos de prueba.
  • Pruebas de integración: prueba el funcionamiento conjunto de los elementos unitarios de un proceso.
  • Pruebas de validación: verifica que el software cumple con las especificaciones y su cometido.
  • Pruebas de sistema: verifica el funcionamiento del sistema completo, incluyendo rendimiento, volumen, disponibilidad, usabilidad, entorno, comunicaciones y seguridad.
  • Caja blanca (sistemas): pruebas sobre las funciones internas de un módulo.
  • Caja negra (sistemas): estudia las entradas y salidas del sistema sin considerar su funcionamiento interno.
  • Pruebas de aceptación: realizadas por el cliente para verificar el cumplimiento de los requisitos y el manual del usuario.
  • Pruebas de regresión: detecta nuevos errores o divergencias funcionales causadas por cambios recientes en el código.
  • Pruebas de carga: determina la velocidad del sistema bajo condiciones específicas de trabajo.
  • Pruebas de prestaciones: evalúan la calidad operacional o de servicio.
  • Pruebas de recorrido: pruebas parciales del sistema debido a la inviabilidad económica de probar todos los componentes.
  • Pruebas de mutación: introduce código externo para verificar su detección.
  • Pruebas concurrentes: evalúa el rendimiento del sistema con múltiples usuarios simultáneos.

Fases de la Metodología de Auditoría Informática

1. Alcance y Objetivos de la A.I.

  • Definir el alcance, entorno y límites de la auditoría.
  • Establecer un acuerdo por escrito entre el auditor y el cliente.
  • Determinar las limitaciones de la auditoría.
  • Comprender los objetivos del cliente.

Objetivos Específicos

  • Auditar áreas de gran especialización.
  • Contrastar informes internos con informes externos.
  • Evaluar el funcionamiento de áreas informáticas en un departamento específico.
  • Aumentar la seguridad y fiabilidad.
  • Mejorar la calidad.
  • Reducir costes o plazos.

Objetivos Generales

  • Operatividad de los Sistemas de Información.
  • Controles generales de la gestión informática.

2. Estudio Inicial del Entorno Auditable

El auditor debe conocer la organización, organigrama, departamentos, relaciones jerárquicas y funcionales.

3. Determinación de los Recursos Necesarios

  • Recursos materiales: software y hardware.
  • Recursos humanos: la cantidad depende del volumen auditable.

4. Plan y Asignación de Trabajos

  • Calendario de actividades aprobado por los responsables de área y de auditoría.
  • Plan por grandes áreas o por áreas específicas.
  • Auditoría total o parcial de la informática.

Planificación de la Auditoría (Guía ISACA)

  • Conocimiento de la organización y sus procesos.
  • Programa de auditoría: calendario de trabajo y seguimiento.
  • Evaluación interna del control.

5. Actividades de la A.I.

  • Cuestionarios.
  • Entrevistas.
  • Tunning: evaluación del comportamiento de los subsistemas y del sistema en conjunto.
  • Checklists de rango y binarias.

6. Informe Final (Guía ISACA)

El informe debe indicar: alcance, objetivos, período de cobertura, naturaleza y extensión del trabajo, organización, destinatarios, restricciones, hallazgos, conclusiones y recomendaciones.

7. Carta de Presentación del Informe Final y Carta de Manifestaciones

Resumen del informe final, incluyendo fecha, naturaleza, objetivos, alcance, importancia de las áreas analizadas, conclusión general y debilidades en orden de importancia.

8. Estructura del Informe Final

  • Título o identificación del informe.
  • Fecha de comienzo.
  • Miembros del equipo auditor.
  • Entidad auditada.
  • Destinatarios.
  • Nombre, dirección y datos registrales del auditor.
  • Firma del auditor.
  • Fecha de emisión.
  • Objetivos y alcance de la auditoría.
  • Estándares, especificaciones, prácticas y procedimientos utilizados.
  • Excepciones aplicadas.
Karma: -30%
Visitas: 0

Entradas relacionadas:

Etiquetas:
auditoría software eficiencia seguridad informática optimización centro de procesamiento de datos auditoría hardware pruebas de software ejemplo carta de manifestaciones auditoria isaca ¿que importancia tiene la localizacion de una industria para su correcto funcionamiento? infraestructura tecnológica