Introducing
Your new presentation assistant.
Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.
Trending searches
7
TUPIA Auditores y Asesores
Auditoría de las operaciones, mantenimiento y soporte de los sistemas de información
Capítulo 5
PRESENTACIÓN
INTEGRANTES:
- Emilce Micaela Rojas
- Juan José Aguero
- Francisco Casaccia
- Joni Fernández
Contenido
Contenido
Hablaremos de las prácticas comprendidas en la entrega y el soporte de los servicios de TI, garantizando al interior de la organización la prestación del nivel de servicio requerido por los usuarios y los objetivos del negocio.
Entre los temas clave de esta sección se encontrarán:
- la gestión de las operaciones de los SI
- los acuerdos de los niveles de servicio o SLA
- la gestión financiera y de capacidad
- la gestión de la continuidad del servicio de TI
Objetivo
El objetivo del capítulo es hacer comprender al auditor las prácticas de administración de los servicios de TI y su importancia dentro de las responsabilidades del área de Sistemas / Informática / TI como herramientas para asegurar que los usuarios de las organizaciones reciban dichos servicios dentro de los parámetros más adecuados de un nivel de servicio (SLA).
Operaciones de los sistemas de información
Operaciones de los sistemas de información
Las operaciones de SI están constituidas por las actividades diarias ejecutadas dentro del entorno de hardware y software de la organización (Laudon, 2008).
Un aspecto fundamental es reconocer que son los operadores / usuarios de los sistemas, los responsables del manejo correcto de los mismos en condiciones normales.
Para que las tareas del operador sean cumplidas, deben seguirse los procedimientos determinados y documentados por la gerencia de Sistemas / Informática / TI, incluyendo los reportes de fallas, demoras en la recuperación de errores, entre otros.
Operaciones de los sistemas de información
Las principales operaciones son:
• Gestión de operaciones
• Soporte a la infraestructura
• Soporte técnico o mesa de ayuda
• Planificación de operaciones automatizadas
• Aseguramiento de la calidad
• Control de cambios y gestión de versiones
• Gestión de problemas e incidentes
• Monitoreo de la capacidad
• Gestión de la seguridad física y ambiental
• Gestión de la seguridad de información
Debe reconocerse la importancia de la administración de estas operaciones por parte de las gerencias técnicas correspondiente, sobre todo por el mantenimiento de la continuidad de TI. Este es un aspecto vital del Gobierno de Tecnología de información y por tal motivo, es indicado en marcos de gobierno como COBIT 4.1
Gestión de las operaciones de tecnologías de información
Se está haciendo referencia aquí a la administración de todas las operaciones del departamento, incluyendo funciones tales como la asignación de recursos necesarios para realizar dichas operaciones; el establecimiento de estándares y procedimientos para todas las operaciones conforme las estrategias y políticas de negocio; y el monitoreo de los procesos para su mejora continua.
La gestión de operaciones tiene tres elementos fundamentales:
1.Gestión de sistemas de información:
1.Gestión de sistemas de información:
actividades para asegurar que las operaciones tengan los recursos adecuados para su ejecución, que estas operaciones han sido planificadas eficientemente y que están siendo monitoreadas para verificar el uso adecuado de los recursos anteriormente asignados.
2.Operaciones de los sistemas de información:
propiamente dicha es el elemento más importante de la gestión de operaciones. Busca asegurar que los programas operen según se requiera, en los horarios adecuados, dentro de una infraestructura de red conveniente, con el hardware recomendado –asegurándose que los cambios que sufra no afecte la continuidad de las operaciones-, cumpliendo con los niveles de servicio establecidos de acuerdo a las necesidades de negocio, manteniendo reportes de las operaciones con fines de auditoría, resolviendo los problemas e incidentes que pudiesen sucederse durante la realización de las operaciones, entre otros.
2.Operaciones de los sistemas de información:
3.Funciones de seguridad de información:
3.Funciones de seguridad de información:
principalmente están referidas aquí las actividades que permitan asegurar la confidencialidad, integridad y disponibilidad de los datos manipulados por los SI. Igualmente, se incluyen las funciones de monitoreo de la seguridad de la infraestructura sobre la que operan dichos sistemas, los procesos de actualización de los parches de seguridad de los SI y a resolución de los problemas e incidentes de seguridad –desde la detección de vulnerabilidades internas y externas, su resolución, la detección de intrusiones y el control de acceso físico y lógico a los recursos computarizados-. Con mayor detalle se tratarán estos temas en el próximo capítulo.
Gestión de los servicios de tecnologías de información
Comprende los procesos y procedimientos involucrados en la entrega eficiente de los servicios de TI junto con el soporte que respalde a las funciones de TI, siguiendo la dinámica de la organización, adecuándose a las infraestructuras que posea y satisfaciendo la demanda de sus usuarios.
Servicios principales de soporte
Nivel de Servicio
La gerencia técnica es eminentemente prestadora de servicios a los usuarios finales de la organización, los que hacen las veces de [sus clientes].
La gestión de los niveles de servicio se encargará de documentar y administrar los distintos niveles establecidos a la vez que llevará cuenta de los costos incurridos en la prestación de los servicios en la organización, el grado de satisfacción y las necesidades de mejora. Algunas de las características usadas para la entrega de los servicios – y que deberían estar presentes en los SLA – son: exactitud (brindar el servicio que se ha querido y no otro), integridad (brindar el servicio que se ha requerido de forma completa), puntualidad (brindar el servicio en los plazos de tiempo acordados) y seguridad (proteger los activos de información involucrados en la prestación del servicio).
SLA
Un SLA es un convenio entre estos clientes y la gerencia con el objetivo de detallar los servicios que se prestarán, sea cual fuere el origen y la naturaleza del ente que los ofrezca. Describe además, en términos claros para todas las partes, aspectos tales como los estándares de calidad a seguir (p. ej. Rapidez en la prestación de servicio), los procedimientos para la prestación misma (p. ej. Mecanismos para la atención de problemas e incidentes), así como los procedimientos para medir y ajustar la performance de los mismos.
Ejemplo
1. Reportes de terminación anormal de trabajo: el exceso de es...
1. Reportes de terminación anormal de trabajo: el exceso de este tipo de reportes, en un determinado escenario de aplicaciones, puede denotar:
a. Mal diseño / desarrollo / proceso de pruebas.
b. Lógica de programas inadecuada.
c. Soporte inadecuado.
2. Reportes de re-ejecución de operaciones: identifica l...
2. Reportes de re-ejecución de operaciones: identifica los reinicios de operaciones o de los sistemas mismos ante una caída no esperada.
3. Reportes de problemas del operador de aplicaciones: ...
3. Reportes de problemas del operador de aplicaciones: de carácter manual, elaborados por los usuarios para comunicar sus problemas con las aplicaciones. La revisión de estos reportes permitirán saber si las fallas son por acciones inadecuadas de los operadores (lo que podría implicar la necesidad de capacitación) o por fallas del SI.
4. Registros automatizados de las actividades de consola.
4. Registros automatizados de las actividades de consola.
Operaciones de infraestructura
Como ya se ha hecho mención, las operaciones de TI engloban aquellas actividades cotidianas que respaldan el accionar de los sistemas, aplicaciones y datos manejados por la organización. Un aspecto fundamental es reconocer que son los operadores / usuarios de los sistemas, los responsables del manejo correcto de los mismos en condiciones normales, es decir, asumiendo la no existencia de errores en los SI. Para que las tareas del operados sean cumplidas, deben seguir los procedimientos determinados y documentados por la gerencia de Sistemas / Informática / TI, incluyendo los procedimientos para el reporte de fallas, demoras y recuperación de errores. A continuación se presentan algunos tipos particulares de operaciones.
Operaciones Automatizadas no supervisadas – Light – Out
Este tipo de operaciones automatizan las acciones críticas de los centros de cómputo de tal manera que no requieren de supervisión humana como por ejemplo actividades de consola, actividades de reinicio de servidores, balance y emisión de reportes impresos, administración de dispositivos de almacenamientos, elaboración de copias de respaldo entre otros.
Operaciones de entrada y salida de datos
Este juego de operaciones está conformado principalmente por el denominado procesamiento en lotes. La administración debe encargarse de la integridad de las transacciones, procurando su correctitud y completitud, verificando integridad de los datos de entrada, los datos (que serán la entrada para posteriores procesos) y reportes de salida.
Operaciones de cómputo
Operaciones de cómputo
Los controles de estas operaciones cotidianas que el auditor debería revisar y verificar son:
• Restringir las posibilidades de acceso del operador proporcionándole solamente las que necesite: limitar acceso a bibliotecas de archivos, de códigos fuentes e instaladores, a entonces controlados para hacer cambios, entre otros.
• Presencia de cronogramas para poner en conocimiento en todo momento, las actividades que está haciendo el operador con los activos que se le han asignado.
• Procedimientos de excepción y mecánicas de aprobación de ejecución de operaciones en secuencias diferentes a las normales así como en horarios no autorizados.
Adicionalmente el auditor deberá revisar:
• Manuales de operaciones de cada SI
Capacidades de la biblioteca de archivos, códigos fuentes e instaladores y su documentación correspondiente: se refiere a los procedimientos que se deben seguir para poder sacar software de las bibliotecas respectivas.
Entrada de datos
En cuanto a los controles de entrada que el auditor debe tener en cuenta, se tiene [ISACA08]:
• Autorizaciones para la entrada de datos
• Proceso de conciliación de los totales ingresados, especialmente importante cuando es información numérica crítica o confidencial (por ejemplo montos de dinero)
• Segregación de funciones entre el personal que ingresa datos y los operarios que revisan y hacen los controles.
El auditor debe verificar la existencia de controles que garanticen el adecuado ingreso de datos así como la presentación de su integridad.
Revisiones y controles sobre las operaciones ligths-out
Al ser actividades no supervisadas, las operaciones lights out presentan fuertes riesgos relacionados con la interrupción de su normal ejecución. El auditor debe estar consiente de estos riesgos relacionados con la interrupción de su normal ejecución. El auditor debe estar consiente de estos riesgos al momento de evaluar y dar sus recomendaciones sobre este tipo de operaciones.
Los controles involucrados que se han de examinar son:
• Acceso remoto para el manejo de la consola para resolver algún tipo de contingencia que se pueda presentar con la ejecución de las operaciones.
• Planes de contingencia para continuar la ejecución de las operaciones ante interrupciones que se produzcan, que incluyan la realización de las operaciones de forma manual.
Monitoreo del uso de los recursos
Monitoreo del uso de los recursos
Esta labor incluye el monitoreo del suministro de información, el manejo del hardware y software en la organización y el análisis del uso de los dispositivos de redes y telecomunicaciones, con el objetivo de verificar el uso beneficioso de estos activos para la organización.
Manejo de incidentes
Es un atributo crítico de la prestación de servicios de TI y consistente en proveer a la organización de la máxima continuidad posible en el tiempo del servicio, procurando reducir los efectos de las perturbaciones que se puedan experimentar.
El ciclo de vida que siguen los incidentes puede verse en la siguiente figura:
Manejo de incidentes
Manejo de problemas
La administración de problemas consiste en reducir el número de incidentes y su severidad por medio de un profundo estudio e investigación de cada caso, usando por ejemplo, metodologías del tipo causa raíz – efecto. Se debería poder desarrollar pues, un proceso para resolver el estado de error y prevenir su recurrencia futura.
La diferencia en cuanto a los objetivos del manejo de incidente es:
• La gestión de problemas apunta a reducir paulatinamente la cantidad y severidad de los incidentes que se produzcan en la infraestructura de TI, mientras que
• La gestión de incidentes buscar resolver el evento pernicioso acontecido tan rápido como sea posible, regresando al estado normal de las operaciones y manteniendo la continuidad del negocio.
Documentación y reporte de condiciones anormales: incidentes y problemas
La documentación de cualquier situación anormal en el uso de los SI y la TI es un procedimiento obligatorio como parte del concepto de continuidad del negocio, a la vez que sirve para analizar la eficiencia del servicio mismo y para facilitar la investigación sobre las causas de los incidentes y la resolución de problemas en el futuro.
Una característica que debe revisar el auditor es la posibilidad de añadir reportes de errores (de sistemas, de red, de programa, de telecomunicaciones) actualizables; es decir, que manejen un estado. El auditor debe comprobar que existen los mecanismos apropiados para atender los errores reportados.
Soporte y mesa de ayuda – Help desk
El personal de soporte técnico tiene la responsabilidad de asistir a los usuarios frente a los problemas que surjan por el uso de los SI así como ante los cambios que puedan sufrir a lo largo de su vida útil dentro de la organización. Dentro de sus responsabilidades están:
• Determinar el origen de los problemas
• Reportar el inicio de las actividades de tratamiento del problema detectable: registrar los incidentes y mantener el sistema de registro.
• Efectuar las revisiones de hardware, software y telecomunicaciones donde sea pertinente.
• Brindar el soporte técnico que permita la resolución del problema.
• Documentar el proceso de resolución del problema.
Imagen
El personal que atiende en la mesa de ayuda debe procurar la documentación y el escalamiento de todos y cada uno de los eventos de software y hardware que se les reporten, siguiendo una serie de acciones básicas que pueden apreciarse en la siguiente figura:
Imagen
Proceso de gestión de cambios
Complementando lo mencionado en el capítulo anterior sobre este tema, se puede reforzar el concepto de este servicio indicando que permite controlar los distintos cambios que van siendo efectuados sobre las aplicaciones (software base, software de aplicación desarrollado por la organización o adquirido a terceros) cuando ya están en uso procurando asegurar:
• Documentación de los SI en estado actualizado en relación a los cambios y versiones por las que ha pasado.
• Librería con los registros de la versiones actualizadas en cada uno de los SI
• Cambios y pruebas de los cambios, autorizados y aprobados por los responsables y los usuarios de los SI y las TI
• Evaluación del riesgo ante los cambios por realizar.
Bibliotecas de programas
Se hace necesaria la presencia de algún tipo de biblioteca que permita mantener un inventario de los SI instalados en la organización y las versiones por las que van pasando, documentando de alguna manera, sus ciclos de vida una vez que son puestos en producción. Estas bibliotecas permiten mantener la integridad de cada código fuente / instalador junto con sus correspondientes actualizaciones (comúnmente conocidas como parches).
Software de control de bibliotecas
Los programas en pruebas sufren cambios tanto como los programas en producción. Los paquetes de control permiten asegurar que los cambios hechos en cada etapa del ciclo de desarrollo, han sido convenientemente analizados y autorizados. Una de las funcionalidades más importantes es la comparación de códigos fuente, la que permite detectar los cambios hechos.
Gestión de versiones
Una versión es un conjunto de funcionalidades que constituyen un SI y que han sufrido modificaciones, las cuales han sido dispuestas para su empleo por parte de los usuarios. En cada una de ellas se han reparado errores reportados sobre el funcionamiento del sistema.
Dependiendo de la significancia de los cambios operados sobre las funcionalidades, las versiones pueden ser mayores, menores o reparadas por emergencia.
Administración de hardware de sistemas de información
Una función importante de la Gerencia Técnica, es lo concerniente a la administración del hardware que aloja a los Sistemas de la Información.
Hardware -> los componentes de procesamiento, de entrada y salida, de telecomunicaciones, etc.
Tipos de computadoras según capacidad de procesamiento
Supercomputadoras
Mainframes
Minicomputadoras y microcomputadoras
Otros dispositivos portátiles
Características de las computadoras
Multitarea
Procesamiento múltiple
Multipropósito
Multihilo
Usos comunes de las computadoras en un entorno de trabajo de SI
Servidores de archivos, de programas, Web, de base de datos
Servidores PROXY
Firewall, Sistemas detectores de intrusos, redes privadas virtuales, entre otras.
Conmutadores, enrutadores, balanceadores de carga
Práctica de mantenimiento y monitoreo del hardware
Mantenimiento rutinario de los componentes de infraestructura de TI
Existencia de un programa de mantenimiento
Monitoreo, identificación y corrección de cualquier desviación respecto especificaciones que figuran en el programa de mantenimiento
Procedimientos para monitoreo del uso eficiente del hardware
Reporte de disponibilidad: para indicar tiempo improductivo de los equipos de infraestructura
Informes de error de hardware
Reporte de utilización: documentación de uso de equipos y periféricos.
Reporte de gestión de activos Inventario de equipos conectados a la red
Gestión de la capacidad
Consiste en la planificación y monitoreo constante de los recursos de TI con el objetivo de mantener su disponibilidad y su nivel de servicio acordado.
Comprende planes de adecuación de capacidad, las proyecciones futuras de expansión y mejora de la infraestructura de TI. Entre lo que podemos considerar tenemos uso de procesadores, unidades de almacenamiento, uso de telecomunicaciones (red), canales de entrada y salida, aplicación de nuevas tecnologías, etc.
Persigue como objetivo que los recursos empleados sean los adecuados para las necesidades de la organización.
Almacenamiento, recuperación, transporte y desecho de la información
Debemos considerar lo siguiente:
Protección de archivos de respaldo de base de datos
Bancos de datos: el hardware que contiene estos bancos de datos debe ser especialmente protegidos.
Desechos de medios de almacenamientos previos.
Gestión de equipos enviados a mantenimiento fuera de los locales de la organización.
Arquitectura y software de sistemas de información
Arquitectura de software -> es la estructura de este sistema que incluye los componentes de software, las propiedades visibles externas de dichos componentes y las relaciones que se establecen entre ellos.
Arquitectura y software de sistemas de información
Sistemas operativos
Software que permite la comunicación entre el usuario de la computadora, el procesador y el distinto software de aplicación que se encuentre instalado en ella. Cumple un papel intermediario entre el hardware y el usuario final
Parámetros de control en los sistemas operativos
Algunos parámetros de control tienen que ver con admnistración de datos, gestión de recursos, administración de tareas y establecimientos de prioridades para ocupar la CPU
Integridad del software del Sistema Operativo
Proteger al S. O. de cualquier modificación no autorizada
Asegurar que los programas de configuración de parámetros del S. O. sean empleados por los administradores encargados, de acuerdo a los privilegios de acceso establecidos
Verificar que los procesos que se ejecutan no afecten a la integridad del Sistema Operativo
Monitorear la actividad sobre el sistema operativo
Registro de actividad del Sistema Operativo
Versiones de los archivos de datos usados para el procesamiento
Acceso a los programas
Uso de aplicaciones utilitarias
Software de administración de base de datos
Aplicaciones que proveen asistencia para organizar, controlar y usar los datos necesarios en el resto de programas de infraestructura del software.
Capacidades de administración
Crear bases de datos,
Mantenerlas
Proteger la información
Organizarla
Ventajas de su utilización
Facilidad de soporte y flexibilidad
Eficiencia en el procesamiento de las transacciones
Reducción de la redundancia de datos
Mayor facilidad para administrar la seguridad de los esquemas de datos
Arquitectura y modelos de la base de datos
Existen tres principales estructuras
Estructura jerárquica: presencia de relación padre-hijo entre sus elementos
Estructura de red: Modelo más complejo que el anterior, en donde se organizan en conjuntos.
Estructura relacional: la más conocida, donde se definen estamentos y relaciones entre los elementos denominados tablas.
Controles sobre la base de datos
Implementar mecanismos de respaldo de datos y procedimiento de recuperación para garantizar la disponibilidad de la infraestructura de TI.
Establecer niveles de control de acceso para todos los elementos de la base de datos.
Implementar mecanismos de control de accesos recurrentes.
Gestión de discos y cintas
Implementar procedimientos para la gestión de discos y cintas, de manera a poder rastrear de manera adecuada a estos dispositivos y a su contenido.
Licenciamiento de software
Las organizaciones deben conocer sobre las legislaciones de derechos de autor que pesan sobre las aplicaciones que adquieren.
Infraestructura de redes de computadoras
Las arquitecturas, tipos y topologías de rede deben ser convenientemente elegidas y establecidas de acuerdo a las necesidades de la organización igualmente deben ser administradas y protegidas, siendo responsabilidad directa de las gerencias técnicas. El diseño de la arquitectura adecuada a los requerimientos de conectividad de la empresa, permite mantener altos estándares de:
Infraestructura de Redes de Computadoras
- Interoperabilidad: conexión de sistemas de múltiples naturalezas y de tecnologías distintas.
- Disponibilidad: servicio continuo de acceso a los sistemas depositados en la red.
- Flexibilidad: facilidad de expansión y de escalabilidad hacia versiones posteriores tanto de los sistemas de aplicación como del software de base (sistema operativo) instalados a lo largo en la infraestructura de la red.
- Mantenimiento: facilidad de brindar soporte centralizado a la red.
Tipos de redes
- PAN: redes personales entre un computador y demás dispositivos empleados por una misma persona. Puede incluir la conexión a Internet y presentar tecnología inalámbrica.
- LAN: redes conmutadas no públicas, dentro de un área geográfica limitada.
- WAN: redes con subredes geográficamente separadas
- SAN: redes de almacenamiento - LAN con el propósito de conectar dispositivos de almacenamiento o servidores.
Ejemplo de red empresarial
Servicios prestados por las redes
Los servicios no son otra cosa que funcionalidades propias que pueden ser ejecutadas por las redes (por los sistemas operativos de red) siendo los más comunes en prestarse, los siguientes:
- Compartición de archivos y aplicaciones.
- Servicios de mensajería y correo electrónico.
- Compartición recursos de hardware tales como impresoras, escáneres, faxes, entre otros.
- Servicio de accesos remotos o a distancia (físicamente alejado) de la red anfitriona.
- Servicios de administración para el control y mantenimiento de la red.
Especificaciones de los medios físicos de transmisión
Los medios físicos de interconexión y transmisión han sido resumidos en la siguiente tabla, la cual muestra el tipo de medio, la cantidad de información que puede ser transportada, las ventajas y desventajas de cada uno de ellos por separado:
Especificaciones de los medios físicos de transmisión
El modelo OSI
Ante la necesidad de estandarizar la manera de diseñar procesos de comunicación entre computadores dentro de una red, surgen los modelos de referencia tales como el de Interconexión de Sistema Abierto conocido mundialmente como OSI (por sus siglas en inglés Open Syslems Interconnection): un modelo de siete capas cada una de las cuales cumple una función específica de comunicación dentro de las redes.
Modelo OSI
Redes LAN - redes de área local
Las redes LAN son el esquema de organización física más empleado en el ámbito empresarial moderno. Su facilidad de construcción, mantenimiento y fiabilidad constituyen los motivos de la generalización de su uso. Las prestaciones que brindan en cuanto a velocidad y capacidad de transmisión las convierten en soluciones adecuadas para casi cualquier tipo de organización, siendo responsabilidad de las gerencias de Sistemas/ Informática / TI preservar la disponibilidad junto con el resto de características requeridas: interoperabilidad, flexibilidad y capacidad de mantenimiento.
Protocolos de comunicación LAN
Son las reglas y procedimientos que se utilizan en una red para establecer la comunicación entre los nodos que la conforman. Los protocolos más comúnmente utilizados en las redes son Ethernet, Token-Ring y ARCNET. Cada uno de estos protocolos está diseñado para cierta clase de topología de red y presentan algunas características generales tales como:
- Ethernet: actualmente es el protocolo más sencillo y es de bajo costo. Utiliza la topología de bus lineal.
- Token Ring: el protocolo de red IBM es el Token ring, el cual se basa en la topología de anillo.
- ARCNET: se basa en la topología de estrella o estrella distribuida.
Componentes de las redes LAN
- Repetidores: extienden el alcance de la red o conectan segmentos separados.
- Hubs: dispositivos que expanden y conectan nodos, nonnalmente usados como centros de redes estrella.
- Bridges: dispositivos que conectan LANs entre sí.
- Switches: dividen e interconectan segmentos de red, reduciendo colisiones.
- Routers: conectan físicamente segmentos de red; revisando las direcciones IP, enrutan los mensajes mandados por los mejores caminos.
Componentes de las redes LAN(2)
- Gateways: convertidores de protocolos de comunicación.
- Módems: son equipos que penniten a las computadoras comunicarse entre sí a través de líneas telefónicas; modulan y desmodulan las señales telefónicas en señales electrónicas para que puedan ser procesadas por las computadoras de la red. Los rnódems pueden ser externos (un dispositivo de comunicación) o interno (dispositivo de comunicación interno o tarjeta de circuitos que se inserta en una de las ranuras do expansión de la computadora).
Redes WAN
Red de comunicación formada por distintas redes LANs, geográficamente dispersas. Su función fundamental está orientada a la interconexión de redes o equipos terminales que se ubicados a grandes distancias entre sí. A diferencia de las redes LAN la velocidad con la que circulan los datos por las redes WAN suele ser menor; además, las redes LAN tienen carácter privado pues su uso está restringido normalmente a los usuarios miembros de una empresa, o institución para los cuales se diseñó la red mientras que las WAN muchas veces son de dominio público. Una WAN convencional puede verse en la siguiente figura:
Redes WAN
Esquema de Red WAN
Técnicas de transmisión de mensajes en las redes WAN
- Conmutación de mensajes: envía el mensaje completo al concentrador, el cual lo almacena y manda cuando encuentre una ruta disponible al destino. El costo de la transmisión dependerá íntegramente de la longitud del mensaje completo.
- Conmutación de paquetes: se parte el mensaje en paquetes, dirigiéndolos individualmente dependiendo de la disponibilidad de los canales de transmisión.
Técnicas de transmisión de mensajes en las redes WAN(2)
- Conmutación de circuito: se establece el canal físico entre los equipos de red. Los propietarios usan el canal en exclusiva. La red no provee por sí sola, control de errores requiriendo entonces de otros mecanismos de control de acceso, colisiones, latencia, etc.
- Circuitos virtuales: el canal entre los dispositivos es lógico (por ejemplo inalámbrico).
Componentes de las redes WAN
Todos los componentes usados para las redes LAN también son compatibles
- Switches: para la conmutación dedicada encargado de solucionar problemas de las transmisiones.
- Routers: conexión de diversos segmentos dentro de una red interna O entre una red interna y una externa (Extranet)
- Servidores de acceso.
- Multiplexores.
Componentes de las redes WAN(2)
- Modems: hacen posible el uso de dispositivos analógicos para la transmisión de señales digitales mediante la división en bits del lado del emisor y su posterior reagrupamiento del lado del receptor. Tienen dos modos de transmisión
- Asíncrona: transmisión indica inicio y fin byte por byte.
- Síncrona: transmisión de todo el mensaje sin interrupciones, a velocidad constante.
Tecnologías de comunicación WAN
Algunas de las tecnologías usadas para la administración de los enlaces de comunicación en las redes WAN, son enumerados a continuación:
- Protocolo punto a punto: trabaja a nivel de la capa 2 de enlace OSI, proveyendo una única ruta de comunicación preestablecida desde el cliente hasta una red remota usando por ejemplo, la red de alguna compañía telefónica.
- Estándar X.25: define la manera en que las conexiones de los terminales de datos y del circuito, se mantienen para un acceso remoto y para conexión entre redes públicas de datos.
- Retransmisión de tramas o frame relay: versión más eficiente del estándar X.25 y que funciona en las capas superiores del modelo, controlando mejor los errores en la transmisión de datos.
Tecnologías de comunicación WAN
- Red digital de servicios integrados (ISDN): ISDN es una implementación de conmutación de circuitos en donde ya se «permite» transmisión de voz, datos y video integrados a través de las líneas portadoras públicas digitales.
- Modo de transmisión asíncrona (ATM): es una implementación del modo de conmutación de paquetes que opera en la capa 2 de enlace de datos, considerado adecuado para las líneas dedicadas aunque algo caro de implementar en redes WAN.
- Líneas digitales de abonado: uso de una tecnología de módem a través de líneas telefónicas, comúnmente brindado por un proveedor de servicios de Internet y que transmite datos en banda ancha, incluyendo multimedios.
Redes privadas virtuales - VPN
Este tipo especial de tecnología para enlazar los elementos de la red WAN, permite extender una red corporativa a través de conexiones de Internet, hacia oficinas distantes (p.ej. sucursales), puntos de venta y socios de negocio. En una VPN se extiende, mediante un proceso de encapsulación y encriptación y el uso de unas infraestructuras públicas de transporte (Internet), la transmisión de los paquetes de datos a distintos puntos remotos, en lugar de utilizar líneas dedicadas caras.
Son independientes de sus plataformas y de la tecnología topológica usada por las redes que la conforman, haciéndola más escalable y preferida para los negocios. Basta con que los equipos por conectarse tengan una dirección IP.
Dentro de sus tipos se pueden hallar:
- VPN de acceso remoto: usuarios móviles interconectados con la WAN.
- VPN Intranet: interconexión de sucursales de la organización.
- VPN Extranet: acceso limitado de externos (socios estratégicos, clientes).
Las VPN permiten más que nada la expansión de la red corporativa de las empresas a costos moderadamente bajos y con ratios seguros de efectividad en la transmisión, consiguiendo que usuarios remotos tengan acceso a aplicaciones de negocio en ambientes seguros.
Redes inalámbricas - Wireless
Probablemente son las tecnologías de redes que más rápidamente han crecido en las organizaciones durante los últimos años, al haber ido de la mano con el avance tecnologías tales como BlueToth. En términos simples es una red donde la conexión de los dispositivos o nodos se hace sin cableado físico [Gast, 2006].
Las tecnologías pueden ser complejas (Wireless de área amplia) o simples (Wireless locales y hasta personales), pero su potencialidad es que pueden incluirse dispositivos hoy tan comunes como los teléfonos celulares. Sin embargo, también han traído consigo un nuevo conjunto de riesgos entre los que se pueden destacar:
- Facilidad de interceptación de la señal.
- Aplicaciones móviles fácilmente alterables.
- Seguridad y privacidad de la información transferida por aspectos de encriptación de la misma.
Redes inalámbricas de área amplia - WWAN
La tendencia en cuanto a este tipo de redes es a formarlas de área amplia (o WWAN) empleando tecnologías como radio, satélite y telefonía móvil; especialmente ha sido elegido por las empresas cuando sus empleados están en constante movimiento y requieren de acceso a los sistemas organizacionales, así como en medios rurales en donde el proceso de cableado sería oneroso.
Redes inalámbricas de área local - WLAN
A diferencia de una LAN convencional, las WLAN permiten la unión de dispositivos entre sí usando un único punto de acceso (o hub) el cual conecta los adaptadores inalámbricos de los mencionados dispositivos; además, se acomodan a los más variados estándares siendo el más conocido de ellos el estándar IEEE 802.11.
Un tipo aun más limitado es el de las denominadas redes inalámbricas personales o VPANs, que unen los dispositivos separados por pequeñas distancias y que son de uso -normalmente- de una sola persona, para lo cual emplea el estándar Bluetooth. Este estándar tiene un alcance de conexión de hasta 15 metros y se ha convertido en característico de aparatos tales como PDAs, celulares, teclados, mouse, impresoras, escáneres, así como las notebooks, entre otros. Bluetooth permite velocidades altas de transmisión de datos.
Protocolos de comunicación en redes inalámbricas
Las tecnologías más usadas para el caso de las redes inalámbricas WAN o LAN son las de la familia IEEE 802.11 como ya se ha mencionado [Stalling, 2005]. En cuanto a las técnicas de encriptación se han venido usando:
- WEP: Wired equivalent privacy que usa claves de transmisión simétricas privadas, que no se modifican durante el proceso (tanto la NIC del usuario como el hot spot o punto de acceso tienen la misma clave) lo que hace que sea fácilmente penetrable.
Protocolos de comunicación en redes inalámbricas(2)
- WPA: Wi-Fi protected access que usa el protocolo de Integridad de Clave Temporal (TKIP - Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado. Cuando esto se combina con un vector de inicialización mucho más grande, evita los ataques de recuperación de clave (ataques estadísticos) a los que es susceptible WEP.
En cuanto a los protocolos, el protocolo WAP es el utilizado para comunicar a la Internet con dispositivos móviles inalámbricos (PDAs y teléfonos celulares)
Riesgos asociados a las redes inalámbricas
Las redes inalámbricas están expuestas a los mismos riesgos que cualquier otro tipo de red y adicionalmente a algunos propios:
- Intercepción de información sensible por las debilidades de los protocolos o la falta de encriptación [Earle, 2006].
- Mal uso, pérdida y robo de dispositivos.
- Perdida de datos contenidos en los dispositivos.
- Posibles efectos del uso de dispositivos (inalámbricos) sobre la salud de los usuarios.
- Proceso de autenticación de usuario inalámbrico.
- Condiciones de seguridad física y lógica de los archivos almacenados en los dispositivos de las redes inalámbricas, y de la información en transmisión.
- Mecanismos de encriptación débiles.
LA INTERNET
Internet es en realidad una red de redes distribuidas a lo largo del mundo utilizando múltiples mecanismos de conexión
LA INTERNET
El Protocolo TCP/IP
El protocolo de comunicaciones estándar usado en Internet para la transmisión de datos es el denominado TCP/IP, que permite la comunicación misma y el soporte a las aplicaciones que
corren en la red
El Protocolo TCP/IP
Envío de datos entre diferentes países
Serias consideraciones deben tenerse en cuenta cuando la Internet «conecta» computadoras de diferentes países por las que fluyen datos, pues las diferentes infraestructuras, complejidades, niveles de seguridad, marcos legales y regulatorios, entre otros, varían de país en país poniendo en variados riesgos a todo el proceso de transmisión de información
Terminología General
Es imprescindible que el auditor conozca y comprenda los principales elementos que intervienen en el proceso de administración y uso de Internet, por lo que debe profundizar sus conocimientos sobre los conceptos que son de uso común. Como por ejemplo:
Terminología General
Terminología asociada a la Internet
URL (Uniform Resource Locator)
Scripts
Cookies
Applets
Servlets
Puntos de Acceso a Red
Proveedor de Servicios de Internet
Aplicaciones específicas para los entornos de red
Las redes no sólo se han constituido el medio más adecuado para la interconexión de dispositivos en las empresas sino también han revolucionado la «forma de ejecutar» los procesos mismos de negocios en la actualidad
Cliente - Servidor
En esta arquitectura, la red funge de servidor o fuente de servicios, mientras que el resto de los equipos actúan como clientes, posee las siguientes ventajas:
Distribución de la carga de trabajo
Ejecución de trabajo en el cliente
Ejecución eficiente de las aplicaciones
Intercambio de datos en ambientes controlados
Middleware
Permite la comunicación entre clientes y servidores, a la vez que realiza algunas otras tareas específicas avanzadas como balanceo de carga, detección de fallas de transmisión, manejo de listas de espera para la atención de peticiones, entre otras
Middleware
Computación por demanda
La computación por demanda ODC (por las siglas del inglés On-Demand Computing) es un modelo por el cual los recursos de los SI son asignados a los usuarios en la medida a sus necesidades actuales
Administración y control de redes
La administración de redes consiste en el proceso de monitoreo y planificación de las actividades relacionadas al uso de los dispositivos que forman parte de ella, de tal forma que se verifique su correcto funcionamiento tanto en los aspectos de desempeño como de seguridad
Aspectos fundamentales en la administración
Monitoreo de la red
Administración de fallas
Administración de la configuración
Administración de usuarios
Gestión del desempeño
Gestión de la seguridad
Herramientas para administración de redes
Estas herramientas pueden ser propias de los sistemas operativos de red, de los controladores que traen consigo los dispositivos instalados en la red o adquiridos por la gerencia técnica de manera independiente
Algunas herramientas
Reportes sobre manejo de tiempos
Monitoreo en línea
Protocolo Simple de Administración de Red
Otros informes sobre incidentes
Practicas de auditoría de las operaciones, infraestructura, mantenimiento y soporte de los SI
Prácticas de Auditoría de las Operaciones
En este apartado se revisan las prácticas para la auditoría de las operaciones, infraestructura, mantenimiento y soporte de SI y que en la actualidad, por el cambiante panorama tecnológico mundial, deben tener un cariz evolutivo, precisamente para responder a esta variabilidad galopante
Auditoría de las operaciones de sistemas de informacón e infraestructura
Auditoría de las operaciones de sistemas de informacón...
Un auditor debe estar familiarizado sobre la naturaleza de los distintos tipos de operaciones que pueden darse dentro de centros de procesamientos de información, para así poder revisar los procedimientos y controles establecidos sobre ellas
Áreas a revisar
Observación al personal de sistemas de información: supervisión y conocimientos
Acceso de los operadores: niveles de acceso Manuales del operador
Acceso a la biblioteca
Procedimiento para el manejo de archivos
Procedimiento para introducción de datos
Procedimiento de las operaciones
Auditoría de las prácticas de monitoreo, reporte y solución de problemas
El auditor debe asegurarse que los procedimientos para registrar y resolver problemas estén convenientemente documentados y distribuidos entre el personal del área de sistemas o de soporte
Aspectos incluidos
Revisión de los procesos de registro de problemas
Revisión de los registros de desempeño para la resolución de problemas
Estadísticas de problemas recurrentes
Estadísticas de tiempo, costos
Recursos involucrados en la resolución de problemas
Auditoría a la arquitectura de harware
Siendo la arquitectura de hardware la base del funcionamiento de los SI y estando en constante evolución los cambios de la tecnología, se hace preciso que el auditor de sistemas revise los siguientes aspectos
Aspectos a revisar
Planes y procesos de adquisición de hardware.
Procedimientos de gestión de capacidad y desempeño de hardware, los cuales guardan relación con los reportes de incidentes
Programa de mantenimiento preventivo
Gestión de la disponibilidad de hardware e informes (ratios) de utilización de recursos: en el subapartado siguiente se ahonda sobre este tema
Aspectos contractuales para la prestación del servicio de mantenimiento y soporte cuando es brindado por terceros
Proceso de administración de los cambios dentro de la infraestructura de hardware
Auditoría de disponibilidad de hardware
Revisión de los planes de monitoreo de desempeño de hardware
Revisar cronogramas de mantenimiento preventivo y correctivo
Revisión y análisis de los reportes de utilización
Auditoría al programa de mantenimiento de hardware
El auditor rebe revisar la existencia y aaplicación de un programa de mantenimiento de hardware
Los auditores deben verificar igualmente el cumplimiento, aprobación y formulación del plan de mantenimientos
Auditoría a los Sistemas Operativos
En este subapartado se describen los aspectos a considerarse por los auditores para las revisiones de:
Los sistemas operativos
Las bases de datos y los sistemas administradores de bases de datos
Los temas legales relacionados al licenciamiento de software
La infraestructura de redes
Auditoría a los sistemas operativos
Procesos de selección de los sistemas operativos y su alineación a los objetivos de SI
Evaluación de los procesos de instalación, actualización y el control de cambio de los sistemas operativos
Evaluación del proceso de mantenimiento de los sistemas operativos, incluyendo el tema del licenciamiento y sus renovaciones con los proveedores respectivos
Evaluación del proceso de uso y mantenimiento de sistemas operativos con licencia libre
Auditoría a las bases de datos
Como en el caso de los sistemas operativos, las evaluaciones de las bases de datos pueden ser muy amplias pero normalmente son alrededor de la eficiencia/eficacia de la estructura de la base de datos o sobre las medidas de seguridad y protección que, sobre ella, se han establecido.
Aspectos a revisar
El esquema lógico de la base de datos
El esquema físico de la base de datos
Controles de seguridad establecidos
Procedimientos para actualizar, modificar y acceder a los datos de los repositorios creados
Procedimientos para establecer copias de seguridad y recuperación de las bases de datos
Procedimientos para el manejo de incidentes: accesos concurrentes, accesos no autorizados, consistencia de datos, pérdidas de datos
Auditoría de cumplimiento legal sobre licenciamiento de software
Revisar las políticas y procedimientos que protejan a la organización de un uso no autorizado de un software en particular o su copiado ilegal.
Revisar los contratos de adquisición de software para verificar la naturaleza del proceso de licenciamiento y las obligaciones adquiridas sobre este aspecto.
Revisar el inventario de aplicaciones instaladas y en uso, relacionando cada elemento con su respectiva licencia
Auditoría de la infraestructura de redes
El auditor de SI debe conocer los aspectos técnicos de la infraestructura del tipo de red que auditará así como los riesgos a los que está expuesta por su naturaleza misma e incluso el escenario de negocio que soporta; debe velar el proceso de entrega de servicios a través de la red, se encuentre balanceado en cuanto a costo y a tiempos de respuesta
Aspectos a revisar
Topología y diseño: Observación y revisión de la documentación
Componentes importantes: Observación, revisión de los manuales respectivos
Usos de la red: Métodos de transmisión, análisis de tráfico y de aplicaciones
Proceso de administración: Revisión de políticas y procedimientos
Funciones y responsabilidades del DBA: Revisión de políticas y procedimientos
Esquema de usuarios: Revisión de políticas y
procedimientos
Controles por evaluar
Cuestionario
Cuestionario
Cuestionario I
1. ¿Cuál de los siguientes se puede usar para verificar los resultados del output y los totales de datos de input y de control?
a. Formularios de encabezado de lote
b. Balanceo de lote
c. Correcciones de error de conversión de datos
d. Controles de acceso sobre spools de impresión
2. ¿Cuál de los siguientes esperaría encontrar un auditor de SI en un registro de consola?
a. Nombres de los usuarios del sistema
b. Identificación del supervisor de turno
c. Errores de sistema
d. Errores de edición de datos
3. ¿Cuál de los siguientes es el MEJOR control para detectar los ataques internos a los recursos de TI?
a. Verificar los registros de actividades (logs)
b. Revisar los registros del firewall
c. Implementar una política de seguridad
d. Implementar la segregación apropiada de funciones
Cuestionario II
4. ¿Cuál de los siguientes mecanismos del sistema operativo verifica cada solicitud hecha por un individuo (proceso de usuario) de acceder y usar un objeto (por ej., archivo, dispositivo, programa) para asegurar que la solicitud cumple con una política de seguridad?
a. Protocolo de Resolución de Dirección
b. Analizador de control de accesos
c. Monitor de referencia
d. Monitor concurrente
5. Verificar si hay líneas base (baselines) de software autorizado es una actividad realizada dentro de cuál de las siguientes?
a. Administración de proyectos
b. Administración de la configuración
c. Administración de problemas
d. Administración de riesgos
6. ¿Cuál de los siguientes es el método MAS efectivo para tratar con la divulgación de un gusano de red que se aprovecha de la vulnerabilidad en un protocolo?
a. Instalar la reparación de seguridad del vendedor para la vulnerabilidad
b. Bloquear el tráfico de protocolo en el firewall del perímetro
c. Bloquear el tráfico de protocolo entre los segmentos internos de red
d. Detener el servicio hasta que se instale una reparación de seguridad apropiada
Cuestionario III
7. En una organización pequeña, un empleado realiza operaciones de computadora y, cuando la situación lo exige, programa modificaciones ¿Cuál de lo siguiente debería recomendar el auditor de SI?
a. Conexión automatizada de cambios con las bibliotecas de desarrollo
b. Personal adicional para proveer separación de funciones
c. Procedimientos que verifiquen que sólo se implementan los cambios de programa aprobados
d. Controles de acceso para impedir que el operador haga modificaciones de programa
8. Los proveedores han publicado parches que reparan las fallas de seguridad en su software ¿Cuál de los siguientes recomendaría el auditor de SI en esta situación?
a. El impacto de los parches debería ser analizado antes de su instalación
b. Pedir a los proveedores una nueva versión de software con todos los arreglos incluidos
c. El parche de seguridad debería instalarse de inmediato
d. Declinar negociar con estos proveedores en el futuro
Cuestionario IV
9. Estableciendo una sesión de red por medio de una aplicación apropiada, un remitente transmite un mensaje desglosandolo en paquetes, pero los paquetes pueden llegar al destinatario fuera de secuencia ¿Cuál capa OSI resuelve el mensaje fuera de secuencia mediante secuenciación de segmentos?
a. Capa de red
b. Capa de sesión
c. Capa de aplicación
d. Capa de transporte
10. Las herramientas de filtrado de la web y del correo electrónico son PRINCIPALMENTE valiosas para una organización porque ellas:
a. Protegen a la organización de virus, spam, cadenas de correo y correo electrónico de entretenimiento
b. Maximizan el desempeño (performance) del empleado
c. Salvaguardan la imagen de la organización
d. Asisten a la organización en prevenir problemas legales.