Descargar

Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas

Partes: 1, 2

    2. Situación actual el cliente
    3. Definición de Auditoría
    4. Consultoría en Normas, Estándares y Seguridad Informática
    5. Recomendaciones de Mayor Prioridad
    6. Conclusiones
    7. Estándares de la Informática
    8. Definición de seguridad informática
    9. Política de seguridad
    10. Análisis y gestión de riesgos
    11. Vulnerabilidad, amenazas y contramedidas
    12. Tipos de vulnerabilidad
    13. Tipos de amenazas
    14. Tipos de medidas de seguridad o contramedidas
    15. Planes de contingencia
    16. Principios fundamentales de la seguridad informática
    17. Diagramas de Infra estructura informática Óptima

    El presente documento es una guía práctica para las personas que desean conocer la situación de una organización en relación a su seguridad informática.

    Enumera los puntos a Auditar en el área IT. En base a los resultados obtenidos de la Auditoría, se comparan con estándares de la industria informática y mejores prácticas reconocidas.

    El presente documento es un ensayo de estándares de seguridad IT, tomando como base la tecnología más comercial del mercado.

    Además genera los cimientos para que se realice una Consultorìa de seguridad que pueda llevar a la organización a una certificación de seguridad informática.

    Este trabajo lo realicé con el objetivo de que personas e instituciones que busquen una guía de cómo mejorar su seguridad IT, tengan un punto de referencia.

    Cristian E. R. Bailey E.

    Consultor IT.

    INTRODUCCIÓN

    Las sociedades avanzadas de fines del siglo XX son denominadas frecuentemente sociedades de la información, pues el volumen de datos que es procesado, almacenado y transmitido es inconmensurablemente mayor que es cualquier época anterior. Actualmente en el siglo XXI la información es poder, por ello las organizaciones la valoran mucho.

    Además, no sólo el volumen, sino la importancia de esta información para el desarrollo económico y social, no tienen ningún antecedente con la que tuvo en el pasado. De hecho, en la actualidad, las organizaciones consideran que la información es un bien más de sus activos y en muchos casos, prioritario sobre los restantes de la organización.

    Pero gran parte de esos datos que nosotros, o las entidades de nuestra sociedad, manejamos, han sido tratados, sea durante su proceso, o almacenamiento, o transmisión, mediante las llamadas tecnologías de la información, entre las que ocupa un lugar focal la informática.

    Consiguientemente, la seguridad de las tecnologías de información, y por ende las informática, se convierte en un tema de crucial importancia para el continuo y espectacular progreso de nuestra sociedad, e incluso para su propia supervivencia.

    Por otro lado, la evolución en los últimos años de las redes informáticas y fundamentalmente de Internet, ha sido el factor fundamental que ha hecho que la Seguridad Informática y sus estándares cobrasen una importancia vital en el uso de sistemas informáticos conectados.

    Desde el momento en que nuestra computadora se conecta a Internet, se abren ante nosotros toda una nueva serie de posibilidades (Derechos y Obligaciones), sin embargo éstas traen consigo toda una serie de nuevos y en ocasiones complejos tipos de ataque. Más aun, mientras en un ordenador aislado el posible origen de los ataques o amenazas es bastante restringido, al conectarnos a Internet, cualquier usuario de cualquier parte del mundo puede considerar nuestro sistema un objetivo apetecible (Vulnerabilidades).

    Existe un acuerdo y conciencia general sobre la importancia de la Seguridad de los Sistemas de Información (denominado SSI). La SSI está relacionada con la disponibilidad, confidencialidad e integridad de la información tratada por las computadoras y las redes de comunicación. Se usan comúnmente otros términos que en esencia tienen el mismo significado, tales como seguridad de la información, seguridad de las computadoras, seguridad de datos o protección de la información, pero en aras de la consistencia, usaremos el término Seguridad de los Sistemas de Información en las páginas siguientes.

    Los objetivos fundamentales del presente tema son los siguientes:

    • Introducir los procedimientos adecuados para la revisión y auditoría del área informática en Empresas u Organizaciones.
    • Introducir el concepto de Sistema de Información, sus principales componentes y tipos de información manejados.
    • Definir los conceptos básicos involucrados en la seguridad informática como son la confidencialidad, integridad y disponibilidad.
    • Definir cuales son las principales amenazas y vulnerabilidades de un sistema informático, así como los distintos tipos de medidas que podemos utilizar para prevenirlas.
    • Definir que se entiende por política de seguridad, cómo se fija y cuales son sus principales contenidos.
    • Introducir algunos principios básicos que subyacen en la aplicación de cualquier política de seguridad informática.
    • Realizar una Consultorìa de Seguridad para una Empresa u Organización que esta interesada en alcanzar los estándares de Seguridad, u obtener una certificación de seguridad.

    En este documento se recomiendan seguir los estándares de la informática que se mencionan a continuación:

    • INFORMACIÓN Y SISTEMA INFORMÁTICO
    • ASPECTOS CLAVE EN LA SSI
    • DEFINICIÓN DE SEGURIDAD INFORMÁTICA
      • Confidencialidad
      • Integridad
      • Disponibilidad
      • Autenticidad
      • Imposibilidad de rechazo
      • Consistencia
      • Aislamiento
      • Auditoría
    • POLÍTICA DE SEGURIDAD
    • ANÁLISIS Y GESTIÓN DE RIESGOS
    • VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS
      • Vulnerabilidad
      • Amenaza
      • Contramedida
    • TIPOS DE VULNERABILIDAD
      • Vulnerabilidad física
      • Vulnerabilidad natural
      • Vulnerabilidad del hardware y del software
      • Vulnerabilidad de los medios o dispositivos
      • Vulnerabilidad por emanación
      • Vulnerabilidad de las comunicaciones
      • Vulnerabilidad humana
    • TIPOS DE AMENAZAS
      • Intercepción
      • Modificación
      • Interrupción
      • Generación
      • Amenazas naturales o físicas
      • Amenazas involuntarias
      • Amenazas intencionadas
    • TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS
      • Medidas físicas
      • Medidas lógicas
      • Medidas administrativas
      • Medidas legales
    • PLANES DE CONTINGENCIA
    • PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA
      • Principio de menor privilegio
      • La seguridad no se obtiene a través de la oscuridad
      • Principio del eslabón más débil
      • Defensa en profundidad
      • Punto de control centralizado
    • SEGURIDAD EN CASO DE FALLO
      • Participación universal
      • Simplicidad

    Para mayor información de cada uno de los temas antes mencionados, pueden consultar la sección de este documento denominada Estándares de la Informática.

    SITUACION ACTUAL EL CLIENTE:

    En la actualidad con los procesos de Globalización que están aconteciendo en el mundo las empresas deben adoptar estándares de calidad y seguridad mayores, para poder ser más competitivos, ya que los mercados a los que deben de incursionar así lo requieren.

    Adicionalmente las empresas u organizaciones ven al área de informática como un mal necesario dentro de la organización, ya que generalmente solo representa gastos y no es palpable el retorno de inversión en informática. Esto sucede generalmente porque en el crecimiento de la organización no se tomo en cuenta al departamento de IT como parte importante de la planeación estratégica, lo cual indica que no asigna un papel importante en el rol de la empresa. Esto lleva a que los departamentos de informática son remitidos a un segundo plano en la empresa u organización, lo cual limita su crecimiento y recursos.

    Esta visión de IT es Errónea debido a que es la medula espinal del flujo de información que mantiene a las empresas u organizaciones con información fresca y oportuna es el departamento de informática, es simple de demostrar, cuando una empresa se queda sin correo electrónico (algo muy básico y cotidiano en la actualidad) los gerentes o directivos dan un grito que se escucha hasta en el cielo, pero aun así no captan la importancia de área de IT (en pocas ocasiones toman la conciencia de la importancia de IT).

    El ingeniero(s) (generalmente es un equipo de técnicos con un líder a cargo de la actividad) que tiene la responsabilidad de ejecutar la auditoría de sistemas, primero que nada debe concertar reuniones de trabajo con los responsables de las áreas administrativas, recursos humanos, seguridad industrial, con el objetivo de conocer cual es la visión que tiene la empresa u organización del valor de la información y rol que tiene el departamento de IT de forma global.

    Al establecer estos puntos de vista, y tomar nota de los mismos, podrá empezar su labor de auditoría en el área, ya que generalmente las fortalezas o debilidades de un departamento de informática inician por el concepto global (visión, misión, metas, objetivos empresariales u organizacionales) que tiene una empresa del área a auditar.

    Definición de Auditoría:

    Metodología basada en Riesgo vs. Control vs. Coste. El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar.

    La evaluación consiste en identificar la existencia de unos controles establecidos.

    Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.

    La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

    La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

    Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

    A continuación, la descripción de los dos principales objetivos de una auditoría de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

    En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

    • Evaluación de los sistemas y procedimientos.
    • Evaluación de los equipos de cómputo.

    Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

    La auditoría de sistemas debe abarcar tres grandes áreas:

    Este tipo de auditorías generalmente son realizadas por un equipo de expertos en diferentes ramas de la informática, con el objetivo de poder revisar a fondo el área asignada y utilizar herramientas de software que permitan obtener "Logs o Bitácoras" de que esta aconteciendo en cada área, con lo cual podrán analizar y dictaminar el estatus de un departamento de informática.

    Auditoría de Infra Estructura Física:

    Esta etapa de la auditoría es muy importante de revisar, ya que en muchas ocasiones las empresas u organizaciones poseen pocos recursos, y esto puede crear vulnerabilidades, también existen situaciones opuestas en las cuales tienen muchos recursos y están siendo sub utilizados.

    Hay que revisar el Hardware de los servidores que utilizan, y el propósito de uso del servidor en sí, con el objetivo de comprender si los recursos que posee cada servidor son los óptimos para prestar el tipo de servicio o función para lo que ha sido designado. Hay que tomar en cuenta que cada sistema operativo de servidor consume una "X" cantidad de recursos de Memoria RAM y procesador, y según el uso destinado deberán ser las características del equipo analizado. Es conveniente que se posean estudios de Benchmark del caso, para poder tener parámetros de comparaciones y recomendaciones.

    Generalmente se pueden encontrar redes de tipo

    LAN, WAN, MAN dentro de una institucion, por lo cual hay que revisar el equipo y cableado que lo conforma.

    Referente al cableado estructurado (verificar que realmente cumpla con este estándar) chequeando desde la categoría de cable utilizado para cada punto de red, el tipo de configuración que se utilizada para cada cable (568 A o B) y que dicha configuración sea la misma en todos y cada uno de los puntos de red. Verificar con equipos especiales la transmisión de datos de cada punto, certificando que se esta cumpliendo con el estándar mínimo de transmisión de paquetes por punto. Establecer si se posee un plano del diseño del cableado estructurado en el cual se tiene la ubicación e identificación de cada punto de red tanto en el edificio como en el Patch panel respectivo. Idealmente el plano debe tener identificado también el departamento, nivel, puesto que tiene asignado cada punto de red, con lo cual se simplificará la ubicación física del mismo. Verificar que la distancia máxima de cada punto de red sea de 90 metros del equipo activo y que el Patch Cord de la estación de trabajo no sea mayor a 10 metros, para cumplir con el estándar de distancias máximas de 100 metros.

    Seguidamente hay que revisar el diseño de la red a nivel físico, esto significa revisar que tipo de equipo activo y equipo pasivo que poseen. En relación al equipo pasivo se debe verificar que los patch panel sean los adecuados para la cantidad de puntos de red existentes, de preferencia si el patch panel esta usando una configuración de espejo previo a conectarse al equipo activo del caso.

    El equipo activo de una red LAN puede estar conformado por una "X" cantidad de concentradores entre los que se pueden encontrar HUB o SWITCH, de existir aun Hub en una red es recomendable reemplazarlos por Switch para que se pueda mantener el Qos de la red LAN. Ya que el HUB no realiza Qos.

    Hay que revisar que el Rack o Gabinete sean aptos para el equipo pasivo y activo que soportan, así como para el caso de que posean servidores de Rack. Se debe verificar que posean tomas de corriente apta para la cantidad de equipos que tiene cada estructura.

    En los casos que la empresa u organización están alojadas en un edificio de más de 3 niveles se recomienda que se posea un BACK BONE para comunicar los diferentes niveles del edificio o edificios que conforman la red.

    Así mismo colocar un equipo activo en cada nivel del edificio para que brinde servicio a los diferentes puntos de red, este equipo activo deberá contar con su respectivo patch panel y estar alojados en un gabinete con llave para protección del equipo activo como pasivo.

    El equipo activo debe contar con un mínimo de 2 puertos de Fibra Óptica o GBIC los cuales se deben conectar a un Router que atenderá a la red LAN y con esto se lograra segmentar y direccionar correctamente el trafico de paquetes de la red. Dicho Router debe tener la capacidad de manejar la misma tecnología con que recibirá la señal de los switch de cada nivel.

    Hay que tomar en cuenta que el área de servidores debe poseer su propio Switch para servicio exclusivo de los mismos, con lo cual se optimiza la comunicación entre dicho FARM (granja de servidores) y esto permite que el tiempo de respuesta en la comunicación entre servidores sea óptimo. El Switch que se debe utilizar en este segmento de red deberá ser de fibra óptica o GBIC para que la velocidad de comunicación y transferencia de paquetes sea excelente. Se debe tomar en cuenta que los modelos de servidores existentes soporten este tipo de tecnología de redes.

    En los casos que una empresa u organización posea red WAN o MAN se debe establecer la cantidad de usuarios que hay en cada oficina remota, con lo cual se deben de revisar las configuraciones de cableado estructurado de cada oficina, ya que deberán de cumplir con lis estándares que se tienen en las oficinas centrales. Al existir este tipo de redes se entiende que existe un Router que tiene como objetivo brindarles servicio y optimizar el tráfico de estas redes. Esto significa que dicho tráfico accede únicamente al área de servidores y muy poco o prácticamente nulo a la red LAN. La razón del poco acceso o prácticamente nulo a la red LAN central es porque todos los archivos o programas compartidos deben estar alojados en los servidores.

    En esta fase no se audita aun el equipo del Gateway y/o Firewall que pueda tener una empresa, ya que estos equipos son parte de la infra estructura Física pero su funcionamiento y configuración dependen de la infra estructura Lógica de la red. Las únicas revisiones que se deben de hacer son relacionadas a que cumplan con estándares relacionados a cableado estructurado.

    Es importante recomendar que un auditor revise si el equipo activo existente en la organización tiene las facultades de administrarse de forma remota.

    Auditoría de Infra Estructura Lógica:

    Esta etapa de la auditoría debe de revisar múltiples áreas de la infra estructura, tales como lo son:

    1. Diseño Lógico de la Red LAN.
    2. Diseño Lógico de la Red WAN o MAN.
    3. Diseño de DNS.
    4. Tipos de servicios o aplicaciones que se ejecutaran en los servidores.
    5. Fin o propósito de cada servidor y su respectiva configuración.
    6. Cantidad de usuarios a los que se presta servicio con el objetivo de establecer si el performance de cada servidor es el adecuado para las aplicaciones y cantidad de usuarios a los que presta servicio.

    Diseño Lógico de la Red LAN.

    Esta parte de una red abarca varias áreas, tales como lo son las diferentes SUB NET que se tendrán en la red, el propósito de cada una de ellas, los servicios o aplicaciones que correrán sobre dicha red.

    En el caso de que una empresa u organización posea un edificio de más de 3 niveles para sus oficinas, es recomendable que se asigne una sub net para cada nivel del edificio. Importante resaltar que los rangos de direccionamiento IP a utilizar deben ser de tipo privados. En caso de que se utilice DHCP es recomendable que se tengan bien definidos los grupos a los que pertenece cada estación de trabajo, para que así se pueda llevar un control de la sub net asignada a dicho grupo.

    Para el área de servidores se debe de contemplar tener direccionamiento FIJO y una sub net, especifica a la cual apuntaran las estaciones de trabajo. Es recomendable que se haga un buen diseño de las sub net y se deje documentado el propósito de las mismas. Tomar en cuenta que los DNS y el Gateway deben pertenecer a un sub net diferente a la de cada nivel o ubicación y a la del sub net de servidores, esto permite que se tenga una mejor seguridad.

    Diseño Lógico de la Red WAN o MAN.

    Tomar en cuenta que son parte de la misma empresa u organización, la única diferencia es que están retiradas de la central. Pero tienen derecho a acceder a ciertas áreas de la red, específicamente a servidores que les brindan algún tipo de servicio o aplicación. Para ello es recomendable que se diseñe un sub net que utilice direccionamiento IP privado, de preferencia que sea fijo y no dinámico, ya que esto simplifica la administración remota.

    Los DNS generalmente son los mismos si tienen una sola salida al Internet, y su GateWay es variante, según la dirección IP que nos asigno el ISP para el enlace de punto a punto (esto varia según cada escenario en el que practica la auditoría). Aunque si hay servidores de DNS segundarios que brindan servicios a locaciones remotas, es posible que esto cambie. Es por ello que es importante que se posea documentación de cómo se estructuro lógicamente la red.

    Diseño de DNS.

    En la mayoría de los casos una empresa u organización en Latinoamérica empieza de ser una empresa pequeña, después pasa a ser una empresa mediana. El negocio o giro es bueno y los dueños crean otras empresas que de igual manera tienen un crecimiento, posteriormente deciden unificarlas.

    Esto en la mayoría de casos es muy complejo y difícil, ya que cada empresa tenia su propio domino, por ende sus propios DNS. Al unificarse el dominio, se puede complicar la unificación porque existen diversidad de aplicaciones y servicios en cada empresa, que están apuntando a su servidor de DNS. Al momento de integrar todas las empresas inicia el problema, por ello es que se recomienda que se tenga cuidado al realizar este tipo de consolidaciones organizacionales y estructurales ya que esto puede repercutir duramente en la red.

    Hay que hacer un análisis y re configuración de los DNS en estos casos y dejar bien configuradas las replicaciones o re direccionamientos en casos de ausencias de un servidor padre.

    Tipos de servicios o aplicaciones que se ejecutaran en los servidores.

    Es importante tener claro las aplicaciones que utiliza una empresa, como los son los ERP, CRM, SCM, u otros, servicios como Correo Electrónico, File Server, etc., las cuales se ubicaran en un "X" servidor, y la cantidad de usuarios que accederán a dicha aplicación. Hay que determinar que Benchmark se necesita para cada conexión de usuario a la aplicación, para establecer si es correcta o no la configuración Física (Hardware) del servidor, con lo cual se puede establecer si el servidor posee suficientes recursos para atender las necesidades de cada requerimiento de conexión a la aplicación o servicio.

    Fin o propósito de cada servidor y su respectiva configuración.

    Inicialmente un servidor se adquirió con un fin o propósito especifico, y por ellos posee un Hardware capaz de brindar servicios para dicho fin. En mi experiencia he encontrado casos en que hay un servidor que esta haciendo 5 o 7 cosas mas de las que fueron su propósito inicial, y por ello es que un servicio o aplicación presentan problemas de respuesta o lentitud, ya que los recursos del Hardware son menores a lo que requiere el Benchmark para el Software de las 5 o 7 aplicaciones corriendo simultáneamente.

    Es por ello que se recomienda que un auditor verifique el Propósito inicial con el que se adquirió un servidor de arquitectura, y en el caso de que no sea el adecuado se pueda hacer las recomendaciones del caso.

    Cantidad de usuarios.

    Hay que establecer la cantidad de usuarios a los que se presta servicio con el objetivo de establecer si el performance de cada servidor es el adecuado para las aplicaciones y cantidad de usuarios a los que presta servicio.

    Auditoría de Aplicaciones:

    Esta parte es muy compleja de revisar, ya que hay múltiples factores a tomar en cuenta de la aplicación a revisar, tales como:

    • Lenguaje de Programación.
    • Actualizaciones de la Aplicación.
    • Fabricante.
    • Trayectoria del Fabricante.
    • Soporte en sitio.
    • Tipo de base datos que utiliza.
    • Diccionario de la estructura de la base de datos.
    • Compatibilidad con programas generadores de reporte de terceros.
    • Arquitectura de la aplicación.
    • Métodos de acceso de los usuarios.
    • Establecer si un usuario del mas bajo nivel puede acceder a las partes mas delicadas de la aplicación, de forma intuitiva, ya que hay que recordar que los Hacker`s mas cercanos que tenemos son los mismos usuarios por su propia curiosidad humana en el mejor de los casos.
    • Revisar si la aplicación posee bitácoras de tipo transaccional, con las cuales se pueda hacer rastreos de lo ejecutado por cada usuario en su sesión de trabajo.

    Auditoría de Estaciones de Trabajo:

    Generalmente las empresas poseen un departamento de recursos Humanos que tiene definidos los Roles, funciones, atribuciones de cada uno de los empleados, por consiguiente informática debe tener conocimiento de que funciones tiene un empleado, para poder instalar el Software necesario para el trabajo del empleado. Así poder determinar que no tenga juegos o herramientas que distraigan su atención, o que solamente consuman recursos de la estación de trabajo necesarios para su trabajo cotidiano. Por ello es que una empresa debe tener clara estas definiciones. Además se debe revisar que los usuarios no sean Administradores de sus equipos, para que no puedan instalar SW (Software) a su discreción. Revisar que se posea el licenciamiento de los programas instados en la estación de trabajo. Hay que hacer las revisiones del caso con Software destinado a realizar inventarios de HW (Hardware) y SW instalados en la estación de trabajo.

    Auditoría de las instalaciones físicas del departamento de Informática:

    Esta parte es muy importante, ya que la seguridad Física es parte fundamental, ya que las amenazas de este tipo son latentes, los puntos a revisar son:

    • Métodos de acceso al cuarto de servidores.
    • Bitácoras de acceso al área de servidores.
    • Sistema de monitoreo por medio de video.
    • Bitácoras de Video.
    • Temperatura ambiente del área de servidores.
    • Circuito eléctrico independiente del cuarto de servidores.
    • Sistema de protección de descargas electro atmosféricas para el cuarto de servidores.
    • Ubicación, distribución de los Rack y propósito del rack.
    • Sistemas detectores de Humo.
    • Equipos para apagado de Fuego a base de CO2.
    • Circulación del aire acondicionado en el cuarto de servidores.
    • Canales aéreos de trasporte del cableado estructurado que ingresa al cuarto.
    • Rack independiente para equipos activos y pasivos de Voz, Datos, Video.
    • Mapas disponibles de los diferentes puntos de red y su uso.
    • Métodos de limpieza del área de servidores, frecuencia, entrenamiento del personal que la realiza, etc.

    Auditoría de los conocimientos del personal del departamento de Informática:

    Hay múltiples factores a evaluar según la función y puesto del personal, ya que el perfil y conocimientos de cada uno pueden variar según sus funciones y atribuciones.

    Generalmente hay 6 tipos de personal en IT:

    1. Gerente de Informática.
    2. Administrador(es) de red LAN, WAN.
    3. Administrador(es) de seguridad Perimetral e interna.
    4. Desarrolladores de aplicaciones.
    5. Administrador de bases de datos.
    6. Técnico de atención a usuarios.

    Según el puesto se recomienda hacer una batería de pruebas en conocimientos de las áreas que son responsables, para conocer las fortalezas y debilidades, con el objetivo de recomendar capacitación en las áreas débiles.

    Consultoría en Normas, Estándares y Seguridad Informática.

    1. Esto se logra mediante una AUDITORÍA sorpresa para que se conozcan las condiciones cotidianas de trabajo de la empresa u organización.

    2. Revisión Estatus actual del área IT de la Organización:

      Se logra al concluir las reuniones con la alta dirección de la empresa, y acorde a la misión y visión de la empresa u organización.

    3. Definición de Alcances de las necesidades de la Organización:

      Resultado de la auditoría, así como de las posibles quejas indicadas por el personal de IT, pero generalmente son resultado de la auditoría como tal.

    4. Problemas y Riesgos Encontrados en área IT:
    5. Recomendaciones para lograr con cumplir con los requisitos de la organización:

    Cada auditoría es un caso diferente y único, por lo cual se deben de tratar como independientes, lo que se toma como base son los estándares de la industria informática en este tema. Importante que se tengan como mínimo los equipos adecuados para una red de este tipo.

    • Infra Estructura de Comunicaciones Red WAN.

    Cada auditoría es un caso diferente y único, por lo cual se deben de tratar como independientes, lo que se toma como base son los estándares de la industria informática en este tema. Importante que se tengan como mínimo los equipos adecuados para una red de este tipo. Para los enlaces de datos es recomendable que se tenga previsto una tolerancia a fallos por medio del ISP que esta brindando el servicio de datos, es bueno tener redundancia.

    Una empresa debe poseer como mínimo 2 enlaces de Internet y un número igual de direcciones IP Publicas para que con esto tenga la factibilidad de redundancia en casos de falla. Los anchos de Banda dependerán del uso que se le de al Internet, así como la cantidad de usuarios que tienen acceso al servicio.

    • Inventario de Hardware y Software Organización.

    El objetivo de esta actividad es poder tener claro que tipos de equipos se están utilizando en la empresa u organización, los modelos, y tipos, además de saber que Software posee sus respectivas licencias por cada equipo que lo tiene instalada.

    Esto permite que el departamento de IT pueda llegar a tener un estándar de equipos, con semejantes configuraciones, y así al momento de tener que realizar algún tipo de reparación, poder saber que tipo de piezas son las que necesita, o si tiene en stock para una sustitución mucho mas rápida.

    Es muy conveniente que una empresa u organización seria tenga todo el software que existe dentro de sus equipos de cómputo, debidamente licenciado, ya que esto les brinda un respaldo de tipo legal.

    El tener un inventario de HW y SW permite que el personal de IT sean consientes de que poseen y que pueden utilizar dentro de sus recursos.

    • Definición de Políticas de Administración de Dominio.

    Estas políticas son definidas en base a una serie de temas a considerar, tales como:

    • Misión, Visión de la empresa.
    • Grupos de trabajo.
    • Funciones y atribuciones de los grupos de trabajo.
    • Definición de puestos y sus funciones.
    • Establecer a que servicios o aplicaciones tiene derecho el usuario o grupo de trabajo.
    • Horarios de trabajo.
    • Políticas de seguridad física y lógicas de la empresa u organización.
    • Definición de Políticas de uso Recursos de la organización.

    De igual forma estas políticas son definidas en base a una serie de puntos a considerar, pero realmente son más puntuales, tales como:

    • Derechos de uso de impresoras de red.
    • Cantidad de impresiones por usuario.
    • Horarios de usos de los recursos.
    • Correo electrónico
    • Internet.
    • Carpetas compartidas.
    • Aplicaciones o herramientas de trabajo.
    • Etc., son muy diversos los escenarios de cada empresa u organización.
    • Definición de Políticas de Almacenaje de Información.

    Este es un tema delicado desde cualquier punto de vista, ya que dependen varios factores del mismo, tales información generada por cada usuario, información generada por las aplicaciones en sus respectivas bases de datos, información de correos electrónicos de la organización, etc.

    Lo importante de resaltar en este tema es que el almacenaje de información de usuarios debe ser centralizado, con el objetivo de que sea fácil la generación de copias de seguridad, y de forma rápida. Esto minimiza el problema clásico de que en las estaciones de trabajo se guardan los documentos de cada usuario y que al tener problemas con su equipo o estación de trabajo, pierden el acceso temporal o definitivo a sus archivos.

    Por ello es conveniente que se creen los denominados FILE SERVER que tiene como propósito el almacenaje de esta información de tipo labora.

    Para aquellos archivos de tipo personal es conveniente crear una política en la cual puedan guardar archivos en su disco duro, y que la capacidad de almacenaje no sea mayor a 700 MB.

    Con relación a las herramientas o aplicaciones de la empresa u organización, es recomendable que las bases de datos sean monitoreadas diariamente, además de crear las copias de respaldo del caso.

    • Definición de Políticas de Back Up.

    El respaldo de la información de la empresa es Vital y por ellos se debe tomar como una actividad diaria y de prioridad alta.

    Para ello se deben definir políticas de Back Up que permitan tener copias de seguridad incrementales y totales de la información tanto del FILE SERVER con del DB SERVER, MAIL SERVER, etc., para que al momento de una problema de tipo físico o lógico se pueda restaurar la información en un tiempo prudente.

    Mi recomendación personal es utilizar herramientas de back up de Veritas, ya que son de muy buen prestigio, además de fácil manejo.

    Las políticas se deben de fijar en función de nivel crítico de los datos, y del volumen. La frecuencia de cada BACK UP como mínimo debe ser diaria, semanal y como máxima mensual.

    Adicionalmente cada TAPE, DVD, CD de información debe ser almacenado en un lugar seguro y debidamente etiquetado, con el objetivo de poder ser ubicados correctamente.

    Esta actividad debe ser presupuestada por el gerente de área, ya que es un rubro importante.

    • Definición de Políticas de Servicios como Correo Electrónico e Internet.

    Este tema es básicamente simple, pero detallista, se deben de tomar en cuanta los siguientes puntos:

    1. Fijar la política de que usuarios deben poseer correo electrónico, y el tipo de permisos del correo electrónico, tales como correo externo, correo entrante, saliente, tipo de archivos a recibir, tipo de archivos a enviar.

    2. Limitar el uso de herramientas de mensajera instantánea.

    3. Limitar el uso de Internet a usuarios que no deben utilizarlo.

    4. Limitar a páginas específicas en los casos de que un usuario lo deba de tener que utilizar.

    5. Fijar horarios de uso del Internet para dichos usuarios.

    6. Adquirir software para monitorio y administración del uso de Internet, este software debe ser capaz de ligarse estrechamente a las políticas del directorio maestro (Active Directory).

    • Definición de Políticas de Mantenimiento Preventivo – Correctivo de equipo de cómputo.

    En la mayoría de empresas u organizaciones utilizan al personal de IT para hacer tareas de este tipo, pero hay que reconocer que esto es un mal uso del personal informático. Por ello se recomienda que sub contraten servicios externos para este tipo de actividades, tales como:

    1. Contratación de una empresa que brinde el servicio de mantenimiento preventivo de las estaciones de trabajo. Este tipo de mantenimiento se recomienda que se haga de forma Trimestral. Se deberá de incluir las Computadoras e impresoras de la organización. Esta empresa debe de tener personal calificado y de preferencia certificado en mantenimiento de estaciones de trabajo e impresoras.

    2. Contratación de una empresa capaz de brindar mantenimiento a los servidores de la empresa, esta empresa deberá de tener personal certificado por el fabricante, para dicha actividad. El ciclo de mantenimiento es semestral para este equipo.

    3. Contratación de un servicio de mantenimiento de preventivo para equipo activo, por una empresa con personal certificado en este equipo.

    • Control de Acceso área de Servidores.

    Generalmente este tema se descuida, por ello es importante tomar en cuanta lo siguiente:

    1. Implementar herramientas electrónicas de control de accesos, para que solamente el personal autorizado pueda ingresar al área.

    2. Implementación de sistema de monitoreo de la temperatura del cuarto de servidores.

    3. Implementación de cámaras de video para vigilar el acceso al área de servidores.

    4. Implementación de detectores de Humo.

    5. Implementación de extinguidor de fuego, a base de Co2.

    • Administración IT.

    Este es un tema muy complejo y delicado, ya que las recomendaciones se basan en las evaluaciones que ha realizado el auditor, tanto de conocimientos como de procedimientos y hábitos del departamento de informática. Es importante resaltar que debe ser una crítica constructiva, con el afán de estandarizar procedimientos, conocimientos y funciones y atribuciones de cada uno de los miembros.

    • Definición de funcionamiento de aplicaciones administrativo contables (ERP) y/o de Administración de clientes (CRM) u otras.

    Estas aplicaciones deben cumplir con los estándares de la industria informática, deben ser robustas, centralizadas, arquitectura cliente servidor, segura y confiable, Base de datos segura y confiable, de fabricantes de renombre, con una base instalada amplia (lo cual permite obtener soporte local), que permita flexibilidad y seguridad transaccional, que sea altamente parametrizable a las necesidades de la empresa, debe ser un sistema transaccional que refleja en tiempo real las transacciones que se están realizando dentro del sistema, debe tener capacidad multi empresa, multi sucursal, multi bodega, multimoneda, un sistema capaz de no requerir cierres mensuales, capaz de aceptar funcionalidades adicionales según las características de la empresa, que sea capaz de interactuar con otras aplicaciones de la empresa, debe de manejar controles de acceso mediante la definición de perfiles de cada usuario o grupo de usuarios, dándoles un nivel de acceso limitado a las diferentes áreas de la aplicación, capaz de manejar prioridades en el perfil de cada usuario, mapas de acceso, y procesos para el usuario especifico. Capacidad de manejar la administración de la empresa de forma fácil y amigable para los usuarios. Debe ser intuitiva. La gestión de las empresas de hoy en día se establece en 4 grandes áreas de la empresa:

    • ADMINISTRACIÓN: Donde se procesan diariamente las operaciones de Inventarios, Compras, Cuentas por Cobrar, Cuentas por Pagar, Caja y Bancos, Facturación o Ventas de la empresa.
    • CONTABILIDAD: Donde se procesa de forma mensual las transacciones de las áreas administrativas antes mencionadas.
    • NOMINA: Proceso de administración del capital humano y su remuneración, debe ser un sistema altamente configurable a las necesidades de la empresa.
    • Administración de clientes (CRM) u otras.
    • Se recomienda contemplar la adquisición de una CRM por el tamaño de la organización.
    • Se recomienda adquirir una herramienta de Help Desk para monitoreo del desempeño del departamento de Informática.
    • Cantidad de Direcciones IP Públicas.

    Es importante tener un inventario de las direcciones publicas que posee la empresa, así como el uso o propósito de cada una, ya que de no existir un control de esto, estas direcciones se convierten en una vulnerabilidad fuerte para la empresa u organización.

    • Uso de servicios de accesos remotos (Web Server)

    Este servidor generalmente esta ubicado en una DMZ, y permite que usuarios remotos o externos, tengan acceso a servicios o reportes que necesiten consultar.

    Es importante que este tipo de servidores cuenten con un muy alto nivel de seguridad y que exista un muy cercano control de los accesos al mismo.

    Muchas empresas u organizaciones utilizan herramientas de acceso remoto para poder ingresar a estos portales, con lo cual optimizar sus recursos tanto de performance de ancho de banda como uso de servidor.

    Partes: 1, 2
    Página siguiente