La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

5 – Evaluación del Proceso de Datos y de los equipos de cómputo.

Publicada porAlisa Pacana Modificado hace 9 años

Presentaciones similares

Presentación del tema: "5 – Evaluación del Proceso de Datos y de los equipos de cómputo."— Transcripción de la presentación:

1 5 – Evaluación del Proceso de Datos y de los equipos de cómputo.
Auditoría de Sistemas Ing. Diego J. Arcusin

2 Políticas de Respaldos
Los respaldos (backups) de la información deben realizarse mensual, semanal o diario, y se deben observar los siguientes puntos. Contar con políticas formales por escrito para efectuar los respaldos. Todos los medios magnéticos (u opticos) de respaldo no deben estar almacenados en un mismo lugar, por lo que si hubiera una contingencia grave (incendio, inundación) no se tendría el riesgo de perder parte o la totalidad de la información. Debe tenerse acceso restringido al área en donde se tienen almacenados los medios magnéticos (u ópticos), tanto de operación como de respaldo. Se deben tener identificadas las cintas por fecha, concepto y consecutivo, y es conveniente elaborar y actualizar una relación sobre las cintas, el contenido de los datos de registro y los responsables de efectuarlos. Se debe contar con una política que indique los procedimientos a seguir en cuanto al almacenamiento de las cintas de respaldo en un lugar diferente al de la ubicación del site, en donde se pueda tener acceso las 24 horas y donde se designen responsables de mantenr actualizada la información vital de la información.

3 Políticas de Respaldo El hecho de no contar con estas políticas de respaldo puede provocar que haya riesgo de pérdida de información en caso de alguna contingencia y no tener una disponibilidad inmediara de la información de respaldo para recuperar la información y conseguir una continuidad en la operación de la organización. Se debe elaborar por escrito una serie de políticas y procedimientos para la elaboración de los respaldos, contemplando: Los pasos a seguir, La información que debe ser respaldada, Según el período correspondiente (mensual, semestral o anual), Así como el personal asignado para cada caso.

4 Políticas de Respaldo También se debe especificar la forma de etiquetación, nomenclatura, pruebas, rotación de cintas, los nombres de los responsables de efectuar los respaldos y las cintas que serán designadas para ser resguardadas fuera de las instalaciones. También se debe tener una relación por escrito de la ubicación y el contenido de las cintas, que debe ser entregada al responsable de seguridad informática y al gerente de informática.

5 Políticas y Procedimientos
Las políticas existentes deben estar actualizadas en todas las actividades, estar debidamente documentadas y ser del conocimiento del personal. No contar con políticas y procedimientos actualizados podría ocasionar: Administración inadecuada de la operación. Relajamiento en el cumplimiento de las obligaciones del personal. Inadecuada división de labores. Las políticas y los procedimientos deben incluir: Seguridad de la información (física y lógica) Adquisición de hardware y software Operación del centro de cómputos.

6 Políticas y Procedimientos
Es recomendable que se documenten todos los procedimientos de las diversas actividades. Estos, al igual que las normas y políticas, se manifestaran por escrito en manuales en operación. Al proceder de esta manera, se obtendríasn las siguientes ventajas: Tener una base uniforme, estable y formal para capacitación, consulta y supervisión, y se fomenta la eficiencia del personal en sus funciones. Ante la rotación del personal, se evita el desvirtuamento de las normas y procedimientos de originales creados. Se precisa la responsabilidad individual de los participantes en una operación, en caso de errores y omisiones. Las políticas y procedimientos a desarrollar, deberán ser del conocimiento del personal.

7 Política de revisión de bitácora (logs)
Deben existir bitácoras de operación en las que se registren los procesos realizados, los resultados de su ejecución, la concurrencia de errores, los procesos ejecutados en el equipo y la manera en que concluyeron. No contar con un política de revisión de logs puede ocasionar problemas como: Carecer de bases para el rastreo de errores de procesamiento. Falta de parámetros de evaluación respecto al funcionamiento del equipo y del departamento de sistemas. Ausencia de controles en cuanto a registro de seguimiento de problemas. Falta de parámetros para determinar las causas de una falla significativa en el sistema y dar seguimiento a su corrección. Dependencia del personal para solución de errores. Confusión en el área respecto a los procesos que ya se han realizado y los que se deban realizar.

8 Política de revisión de bitácora (logs)
Es necesario establecer una política de revisión de las bitácoras de operación, asignando responsables por proceso y función, lo que traería como beneficios detectar y corregir en forma oportuna errores recurrentes y poder tomar medidas preventivas para que éstos ya no se presenten.

9 Control de licencias de software
Todas las organizaciones deben de tener un inventario de las licencias del software actualizado, que asegure que todo el software sea legal y esté amparada por una licencia, para evitar posibles problemas legales por pago de derechos de uso y explotación del software. Al no contar con las licencias correspondientes, no se le puede exigir al proveedor el servicio de soporte o actualización de software, ya que para poder contar con estos servicios es necesario presentar las licencias de adquisición o el número de serie instalado dentro de la licencia.

10 Control de licencias de software
Por lo tanto, es muy importante: Actualizar el inventario de hardware y software, señalando los paquetes que se tienen instalados por máquina y verificando que cada uno de éstos esté amparado por una licencia. En caso de no contar con las licencias, es necesario contactar al proveedor del software o del paquete en cuestión para actualizarlas o adquirirlas lo más pronto posible. Elaborar un plan verificador de software, para revisar que no se instale software pirata. Designar a una persona responsable del área informática para guardar y tener actualizadas las licencias. Promover un plan de concientización entre el personal con el fin de que no se instale software ilegal en las máquinas propiedad de la empresa, y aplicar sanciones al personal que no acate estas medidas.

11 Políticas de Seguridad Física del Site
Las instalaciones del centro de cómputos deben ser las adecuadas para asegurar el buen funcionamiento y la continuidad necesaria en las operaciones. Deben existir políticas y procedimientos que describan los aspectos de seguridad física mínimos que deben de regir dentro del departamento de sistemas. Por tal motivo, durante la visita a las instalaciones se deben observar los siguientes puntos: El acceso al site debe estar restringido por una puerta, la cual contará con una chapa de seguridad adecuada, o con un dispositivo electrónico de control de acceso. Se deben tener dispositivos adecuados de detección de humo, así como aspersores de calor para la extinción de incendios, además de contar con extintores. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

12 Políticas de Seguridad Física del Site
Se debe tener protección en los servidores para que no puedan ser desconectados accidental o intencionalmente y provocar así serio daños al equipo. Deben existir documentos o carteles que indiquen las normas de seguridad mínima que deben de observarse al estar en el site. El personal operativo no debe permitir el acceso al personal ajeno al departamento. No debe tenerse papel para impresión dentro del centro de cómputos, el cuál es un objeto potencial de algún desastre. Los equipos que se utilizan para la limpieza dentro del site no deben de estar directamente conectados a la toma de corriente en la que estén conectados los equipos de cómputo y los servodres. Los equipos eléctricos, interruptores o de comunicación, no deben estar al alcance de cualquier persona. Hay que elaborar políticas formales de seguridad y diseñar las características para el site. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

13 Plan de Contingencias Debe existir un plan de contingencias que permita que los sistemas sigan funcionando en caso de algún siniestro o en caso de alguna huelga. Un plan de contingencias puede asegurar que se está preparado para enfrentar imprevistos y desastres de cualquier índole, asegurando una continuidad en la operación de los sistemas de cómputo. Ejemplos de contingencias pueden ser: incendios, tormentas, inundaciones y actos vandálicos, los cuales pueden ocasionar una disminución en el aprovechamiento de la computadora por un período considerable. Con el incremento en la dependencia que se tiene sobre las computadoras, unas pérdida de información, o la imposibilidad potencial para procesarla originada por una contingencia puede ser muy significativa. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

14 Plan de Contingencias Se sugiere la revisión del plan de contingencias para que contenga los siguientes controles: Delegación de funciones y entrenamiento de personal. Resumen de actividades a seguir en caso de contingencias. Estudio detallado de las que, de acuerdo con la zona geográfica, tienen más probabilidad de ocurrir y los impactos que cada una de éstas ocasionaría. Realizar un estudio de tiempo estimado de restablecimiento de operaciones de acuerdo a una determinada contingencia, así como un estudio de consecuencias potenciales que se desprenderían por la inoperatividad de los sistemas. Identificar las aplicaciones y archivos de datos críticos para la operación de los servicios computacionales, así como determinar las prioridades de restablecimiento de éstos. Se deben incluir especificaciones de hardware y software, tiempo de procesamiento, programa, archivos y documentación de programas y operación. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

15 Plan de Contingencias Se sugiere la revisión del plan de contingencias para que contenga los siguientes controles: Proveer los lineamientos necesarios para el restablecimiento de operaciones a partir de los respaldos de información. Desarrollo de pruebas periódicas del plan de contingencia, así como el establecimiento de niveles de autoridad y responsabilidades para garantizar el buen resultado de la prueba. Establecer procedimientos y responsabilidades para mantener el plan de contingencias. Procedimientos o planes para la reconstrucción de los sites después de una contingencia. Establecimiento de procedimientos manuales de operación por parte de los usuarios para restablecer operaciones mientras se recuperan los sistemas. Lineamientos para garantizar que dicho plan sea probado y actualizado periódicamente. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

16 Control de Datos Fuente y Manejo de cifras de control
La mayoría de los delitos por computadoras son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar datos. Alterar datos. Duplicar procesos. Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son los responsables de la captura y modificación de la información. Por ello, se debe tener un adecuado control la designación de responsables de los datos (uno de los usuarios debe ser el único responsable de determinado dato), con claves de acceso a niveles. El primer nivel es en el que se pueden hacer únicamente consultas, el segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas, y el tercer nivel es aquel en el que se puede hacer todo lo anterior y además se pueden realizar bajas. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

17 Control de Operación La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora. Los instructivos de operación proporcionan al operador información sobre los procedimientos que debe seguir en situaciones normales y anormales del procesamiento, y si la documentación es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de máquina, incrementando los costos del procesamiento de datos. Debemos de considerar la operación de los sistemas en líneas, los cuáles deben de estar residente en todo momento, con su correspondiente sistema de comunicación, mientras que en cuanto a los sistemas en lote (batch) se debe planear y programar la operación. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

18 Control de Operación Se debe verificar que el instructivo de operación contenga los siguientes datos: Diagramas. Mensajes y su explicación. Parámetros y su explicación. Fórmula de verificación. Observaciones e instrucciones en caso de error. Calendario de proceso y entrega de resultados. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

19 Control de Asignación de trabajo
Esta parte se relaciona con la dirección de las operaciones de la computadora en términos de la eficiencia y la satisfacción del usuario. La función clave del personal de cargas de máquina está relacionada con el logro eficiente y efectivo de varios aspectos: Satisfacer las necesidades de tiempo del usuario. Ser compatible con los programas de recepción y transcripción de datos. Permitir niveles efectivos de utilización de los equipos y sistemas de operación. Entregar a tiempo y correctamente los procesos en lotes (batch). Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

20 Control de Asignación de trabajo
La experiencia muestra que los mejores resultados se logran en organizaciones que utilizan sistemas formales de programación de actividades, los cuáles intentan balancear los factores y medir resultados. Se deberán evaluar los procedimientos de programación de cargas de máquina para determinar si se ha considerado atenuar los picos de los procesos generados por cieres mensuales, o bien los picos de los sistemas en línea, y poder balancear las cargas de trabajo de lotes (batch) y línea, dando prioridad a los procesos en línea, o contar con equipos permitan en forma independiente cumplir con las necesidades de procesos en línea, con su comunicación, y con procesos en lote. Se deberá procurar que la distribución física del equipo sea funcional, que la programación de las cargas de máquina satisfaga en forma eficaz al usuario. Asimismo, se tendrá cuidado con los controles que se tengan para la utilización de equipo y que el mantenimiento satisfaga las necesidades. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

21 Control de Medios de Almacenamiento Masivo
Los dispositivos de almacenamiento masivo representan, para cualquier centro de cómputo, archivos extremadamente importantes, cuya pérdida parcial o total podría tener repercusiones muy serias. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de la información), principalmente en el caso de las cintas. Además, se deben tener perfectamente identificados físicamente los archivos para reducir la posibilidad de utilización errónea o destrucción de la información. Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura, mejorando además los tiempos de proceso. Código Abierto. Se distribuye con el código fuente. Hecho en C (Antes se desarrollaban en Assembler) Lenguaje en C -> Portabilidad entre distintos Hardware. Fácil de modificar y mejorar. Tiempo Compartido: Contra los recursos de una computadora y los asigna entre los usuarios.

22 Control de Mantenimiento
Existen básicamente tres tipos de contrato de mantenimiento. El contrato de mantenimiento total, que incluye el mantenimiento correctivo y preventivo. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este contrato es normalmente mas caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepción de daños por negligencia. Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

23 Control de Mantenimiento
El segundo tipo de mantenimiento es “por llamada”, en el cual se llama al proveedor en caso de descompostura y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerla. El tercer tipo de mantenimiento es aquel en el que el cliente lleva a las oficinas del proveedor el equipo, y éste hace una cotización de acuerdo con el tiempo necesario para la reparación, mas las refacciones (este tipo de mantenimiento puede ser adecuado para computadoras personales). Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

24 Control de Mantenimiento
El segundo tipo de mantenimiento es “por llamada”, en el cual se llama al proveedor en caso de descompostura y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerla. El tercer tipo de mantenimiento es aquel en el que el cliente lleva a las oficinas del proveedor el equipo, y éste hace una cotización de acuerdo con el tiempo necesario para la reparación, mas las refacciones (este tipo de mantenimiento puede ser adecuado para computadoras personales). Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

25 Evaluación del Mantenimiento
Al evaluar el mantenimiento debemos primero analizar cuál de los tres tipos es el que más nos conviene, y en segundo lugar pedir los contratos y revisar con detalle que las cláusulas estén perfectamente definidas, que no exista subjetividad y que haya penalizaciones en caso de incumplimiento, para evitar contratos que sean parciales hacia el proveedor. Para poder exigir el cumplimiento del contrato se debe tener un estricto control sobre las fallas, la frecuencia y el tiempo de reparación. Se debe tener control de las fallas y del mantenimiento no sólo del equipo central, sino del total de los equipos, incluyendo computadoras personales, impresoras, equipo de comunicación y períféricos. Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

26 Orden en el centro de cómputo
Una dirección de informática bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de máquinas. Los dispositivos del sistema de cómputo y los archivos magnéticos pueden ser dañados si se manejan en forma inadecuada, lo que puede traducirse en pérdidas irreparable de información o en costos muy elevados en la reconstrucción de archivos. Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

27 Puntos a evaluar en los equipos
El equipo que se adquiere dentro de una organización debe de cumplir con el esquema de adquisición de toda la organización. En lo posible, se deben tener equipos estándares dentro de la organización, a menos que por requerimientos específicos se necesite un equipo con características distintas. (Esto no implica que los equipos tengan que ser del mismo proveedor, aunque sí deben tener la misma filosofía). Tener diferentes plataformas de programación, sistemas operativos, bases de datos, equipos de comunicación y lenguajes propietarios, provoca que se incremente los costos, que se haga más problemático el mantenimiento, que se requiera personal con diferente preparación técnica, y que se necesiten diferentes programas de capacitación. La posibilidad de que se pueda expandir un equipo es otro de los puntos a evaluar. Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

28 Alquiler, leasing o compra
Tanto las computadoras como el software pueden alquilarse, alquilarse con opción de compra, comprarse, y en el caso del software, producirse. Es función del auditor evaluar en cada instalación específica porque se escogió una opción y si las ventajas que se obtienen son superiores a sus desventajas. El auditor deberá evaluar: ¿ Existe un comité de compra de equipo ? ¿ Quién participa en el comité ? ¿ Existen políticas de adquisición de equipos ? ¿ Cómo se determina el proveedor del equipo ? ¿ Cómo se evalúan las propuestas de instalación, mantenimiento y entrenamiento ? ¿ Cómo se evalúa el costo de operación y el medio ambiente requerido para cada equipo ? ¿ Se evalúan las opciones de compra, renta y leasing ? Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

29 Centralización vs. Descentralización
El auditor deberá evaluar a la organización y la justificación que se tiene para que en una determinada organización se tengan equpos en forma centralizada o descentralizada. Se puede decir que las variantes de Bell (1era a 6ta= era una versión comercial continuada por AT&T, y la versión de Berkley era una versión academica. Linux toma partes de cada una de estas ramas.

30 Preguntas ?

Descargar ppt "5 – Evaluación del Proceso de Datos y de los equipos de cómputo."

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.

También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS

Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Tipos y características de instalaciones deportivas.

Tipos y características de instalaciones deportivas.
PRODUCTO NO CONFORME.

PRODUCTO NO CONFORME.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Versión 2. 12.03.12. Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.

Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla

Autor :Miguel Ángel Márquez Amador Coordinador S.P.RR.LL Sevilla
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO

Presentaciones similares

Anuncios Google