Professional Documents
Culture Documents
ASIGNATURA:
Auditoría Y Evaluación de Sistemas Informáticos
Integrantes:
Andrade Reyes Luis
Pacheco Rivera Cristopher.
Rodríguez Sánchez Jefferson.
Vera López Madeleine.
Curso:
9 “B”
Docente:
Ing. Ayoví
09 de diciembre de 2018
Contenido
Introducción ............................................................................................................................... 3
Problema .................................................................................................................................... 4
Objetivos .................................................................................................................................... 4
Eavesdropping.................................................................................................................. 10
Conclusiones ............................................................................................................................ 17
Recomendaciones .................................................................................................................... 17
Bibliografía .............................................................................................................................. 19
Introducción
(Vargas, 2017) Define a la auditoría física como la revisión y evaluación que promocionan
evidencia sobre la seguridad física a nivel de un centro de cómputo, sistemas de información,
procesamiento de información y su entorno.
(PRATS, 2006) Por lo general, cuando se habla de seguridad informática siempre se piensa en
errores de software, virus, intrusos de red, etc. En definitiva, pensamos en software. La realidad
es que la seguridad informática también implica otro aspecto muy importante y que
generalmente permanece desatendido. Se trata de la Seguridad Física de un sistema.
Para (Meneses) la seguridad física está enfocada a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico donde se encuentra ubicado el centro.
Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el
correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS. (Suárez, 2010)
(Velthuis, 2001) “Una Auditoría Parcial que garantiza la integridad de los activos humanos
lógicos y materiales, por lo que no difiere de la Auditoría General más que en el alcance de
esta.”
Según La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales
de un CPD. Si se entiende la contingencia o proximidad de un daño como la definición de
Riesgo de Fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación
con la cronología del fallo: Antes, Durante y Después.
o Punto 4. Problema.
o Punto 5. Objetivos: general y específicos.
o Punto 6. Desarrollo del trabajo.
o Punto 7. Conclusiones.
o Punto 8. Recomendaciones.
o Punto 9. Términos nuevos o importantes.
o Puntos 10. Bibliografía.
Problema
¿Cuál es el nivel de conocimientos de los estudiantes de la facultad de ciencias informática
acerca de los procedimientos de auditoria física?
Objetivos
Objetivo general
• Conocer los conceptos básicos de la auditoria física.
Objetivos específicos
• Especificar las áreas en la que se realiza la auditoria física.
Es, por tanto, es necesario asumir que la Auditoría Física no se debe limitar a comprobar la
existencia de los medios físicos, sino también su funcionalidad. racionalidad y seguridad.
(Alberto, 2014)La auditoría física, sea interna o externa, no es otra cosa que una auditoria
parcial, por lo que no difiere de la auditoría general más que en el alcance de la misma.
Seguridad Física
(SEGU.INFO)La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros,
como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una
sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la
sala, que intentar acceder vía lógica a la misma.
(School, 2016)Dependiendo del entorno y los sistemas a proteger esta seguridad será más o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación, se mencionan algunos de los problemas de seguridad física con los que nos
podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su
impacto.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto
las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad
física de cualquier organización.
Acceso físico:
Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y
en algunos casos incluso a los dispositivos de red. Cuando el usuario debe usar el hardware
directamente, como usando disqueteras, CDROMs o similares la máquina que alberga estos
dispositivos debe estar cercana al usuario. Lo mismo es aplicable para los servidores y
dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que
tener normalmente acceso físico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las
aplicaciones que han de correr los usuarios finales el mantener al menos los servidores y los
dispositivos de red lejos del usuario final, en racks, armarios o centros de datos. Los usuarios
podrán acceder a sus datos a través de la red local y mantener los datos importantes a salvo,
aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo.
Los sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones
pueden ayudar en esto.
Por tanto, la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina
donde el usuario va a trabajar. Deberemos instar al personal de administración para que
organice el sistema de forma que los usuarios finales trabajen directamente sobre servidores de
ficheros y servidores de aplicaciones, manteniendo así los datos a salvo de errores o
manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional
en hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas
en su constitución y más sencillas de administrar.
Para la prevención hay soluciones para todos los gustos y de todos los precios:
• analizadores de retina
• tarjetas inteligentes
• videocámaras
• vigilantes jurados
Desastres naturales
Además de los posibles problemas causados por ataques realizados por personas, es importante
tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias,
sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
• Terremotos y vibraciones
• Tormentas eléctricas
• Inundaciones y humedad
• Incendios y humos
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados
en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas
que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas
causados por pequeñas vibraciones:
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers)
que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido
o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos
instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente
en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema
de detección de agua, sino cuando se intente parar ya estará mojado.
Por último, se encuentra el fuego y los humos, que en general provendrán del incendio de
equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que, aunque
pueden dañar los equipos que apaguemos, nos evitarán males mayores. Además del fuego,
también el humo es perjudicial para los equipos, al ser un abrasivo que ataca a todos los
componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o
filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además
de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas
de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los
aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada
(generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos
de que ha caído la línea o de que se ha restaurado después de una caída).
Por último, indicar que además de los problemas del sistema eléctrico también debemos
preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se
pueden emplear spray antiestáticos o ionizadores y tener cuidado de no tocar componentes
metálicos, evitar que el ambiente esté excesivamente seco, etc.
Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede
serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de
líneas eléctricas cercanas a nuestra instalación.
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no
situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese
necesario hacerlo siempre podemos instalar filtros o apantallar las cajas de los equipos.
Temperaturas extremas
En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar
la temperatura emplearemos aparatos de aire acondicionado.
Protección de los datos
Además, proteger el hardware nuestra política de seguridad debe incluir medidas de protección
de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de
información, no la destrucción del medio físico que la contiene.
Eavesdropping
La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso
mediante el cual un agente capta información que va dirigida a él; esta captación puede
realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se
pone en modo promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones
electromagnéticas.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única
realmente útil es cifrar toda la información que viaja por la red (sea a través de cables o por el
aire). En principio para conseguir esto se deberían emplear versiones seguras de los protocolos
de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los
protocolos basados en TCP permiten usar una versión cifrada mediante el uso del TLS.
Copias de seguridad
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las
copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de
operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y
cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se
produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general
el hardware se puede volver a comprar, pero una pérdida de información puede ser
irreemplazable.
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de
operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se
almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad
alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser
lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de
modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar
los datos almacenados.
Soportes no electrónicos
Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado
en un lugar de acceso restringido; también es conveniente que sea de acceso restringido el lugar
donde los usuarios recogen los documentos que lanzan a estos dispositivos.
Además de esto es recomendable disponer de trituradoras de papel para destruir todos los
papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda
obtener información rebuscando en nuestra basura.
Auditoria Interna
Departamento independiente o subordinado al de Auditoría Financiera, si existe, y colaborador
de éste en cualquier caso, debe guardar las auditorías pasadas, la Normas, Procedimientos y
Planes que sobre la Seguridad Física y su Auditoría baja emitido y distribuido la Autoridad
competente dentro de la Empresa.
Administración de la seguridad
Vista desde una perspectiva general que ampare las funciones, dependencias, cargos y
responsabilidades de los distintos componentes:
Las instalaciones son elementos accesorios que deben ayudar a la realización de la mencionada
función informática y. a la vez. proporcionar seguridad a las personas al soft y a los materiales.
Equipos y Comunicaciones
Son los elementos principales del CPD: host, terminales, computadores personales, equipos
de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.
Un auditor debe inspeccionar su ubicación dentro del CPD así como el control de Acceso a
los mismos como elementos restringidos.
Computadores personales
Especialmente cuando están en red. son elementos muy potentes e indiscretos que pueden
acceder a prácticamente cualquier lugar donde se encuentren los Datos, por lo que merecerán
especial atención tanto desde el punto de vista de acceso a los mismos como a la adquisición
de copias no autorizadas Es especialmente delicada su conexión a los medios de
telecomunicaciones.
Herramientas
Cuaderno de campo / grabadora de audio
Dentro del campo de responsabilidades de los auditores, las referentes a Seguridad Física,
quedan establecidas las siguientes para cada tipo de auditor:
Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas Internos. Sobre estos
elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia
para su evaluación. Características del Sistema Operativo. Organigrama del área que participa
en el sistema Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditoría realizadas anteriormente Características de la aplicación de computadora
Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para
administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la
aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los
archivos de la aplicación.
Fase II: Análisis de transacciones y recursos: Definición de las transacciones. Dependiendo
del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores. Análisis de las
transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los
flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.
Análisis de los recursos Identificar y codificar los recursos que participan en el sistema
Relación entre transacciones y recursos
Fase VII: Seguimiento de las Recomendaciones Informes del seguimiento Evaluación de los
controles implantados
Conclusiones
La auditoría debe ampliar su enfoque no solo a la evaluación de controles sino también a la
evaluación de riesgos y de esta manera avanzar hacia una auditoria preventiva.
El personal de auditoria interna deberá estar altamente capacitado a un nivel que le permita
cumplir eficientemente sus tareas y contar con apoyo tecnológico e información actualizada.
Para contribuir en la prevención de riesgos, es necesario que las políticas sean conocidas en
forma oportuna por la auditoria interna y que se garanticen los mecanismos organizacionales
necesarios para que ello ocurra.
Recomendaciones
Toda empresa, pública o privada, que posean Sistemas de Información, deben de someterse a
un control estricto de evaluación de eficacia y eficiencia ya que el éxito de una empresa
depende de la eficiencia de sus sistemas de información.
No sirve de nada que una empresa tenga gente de primera, si tiene un sistema informático
propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la
empresa nunca saldrá a adelante.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar
la continuidad del negocio y las operaciones de una compañía u organización.
Áreas Perimetral: sirve para delinear un límite de control con el exterior que busca reducir el
riesgo de contaminación del área alrededor de los galpones.
Bibliografía
Alberto, D. A. (2014). Auditoria Física. Obtenido de
https://www.academia.edu/7785944/Auditoria_F%C3%ADsica