Metodología para evaluar y calificar la seguridad física de un centro de procesamiento de datos.

1  

INSTITUTO POLITÈCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y

ADMINISTRATIVAS

“METODOLOGÍA PARA EVALUAR Y CALIFICAR LA SEGURIDAD FÍSICA DE UN CENTRO DE

PROCESAMIENTO DE DATOS”

T E S I N A

MÉXICO D.F 2009 Q U E P A R A O B T E N E R E L T Í T U L O D E : LICENCIADO EN CIENCIAS DE LA INFORMÁTICA

P R E S E N T A N :

F R E D D Y A L E J A N D R O B U S T O S G Ó M E Z J O S Ú E F R A N C I S C O C H Á V E Z C A M A R G O L U I S A N T O N I O G O N Z Á L E Z N I C O L A S A L A N M I L L Á N P A L O M I N O

Q U E P A R A O B T E N E R E L T Í T U L O D E : I N G E N I E R O E N I N F O R M Á T I C A

P R E S E N T A

A N G É L I C A G Ó M E Z O R D O Ñ E Z

2

3 INDICE

RESUMEN……….…i

INTRODUCCIÓN……..………...……….….iv

CAPITULO 1. MARCO METODOLÓGICO ... 1

1.1 PLANTEAMIENTO DEL PROBLEMA ... 1 

1.2 OBJETIVO ... 1 

1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN. ... 2 

1.4 UNIVERSO Y/O MUESTRA. ... 2 

1.5 JUSTIFICACIÓN. ... 2 

CAPITULO 2. MARCO CONCEPTUAL ... 4

2.1 AUDITORIA ... 4 

2.1.1 CONCEPTO DE AUDITORIA ... 5 

2.1.2 NORMAS DE AUDITORÍA GENERALMENTE ACEPTADAS (NAGAS) ... 5 

2.1.3 CLASIFICACIONES DE AUDITORIA ... 6 

2.1.4 AUDITORIA EN INFORMÁTICA ... 7 

2.2 SEGURIDAD INFORMÁTICA ... 10 

2.2.1 SEGURIDAD FÍSICA ... 10 

CAPITULO 3 ENTORNO ACTUAL DE LA SEGURIDAD FISICA ... 33

3.1 ENTORNO ACTUAL DE SEGURIDAD FISICA ... 33 

3.2 SISTEMAS DE SEGURIDAD NACIONAL ... 34 

3.2.1 PROTECCIÓN CIVIL ... 35 

3.2.2 PLANES DE PROTECCION, SEGURIDAD Y EVACUACION CONTRA SISMOS ... 36 

3.2.3 PLANES DE PROTECCION, SEGURIDAD Y EVACUACION CONTRA INCENDIOS ... 36 

3.2.4 PLANES DE PROTECCIÓN, SEGURIDAD Y EVACUACIÓN CONTRA INUNDACIONES. ... 38 

3.3 PLANES DE CONTINGENCIA. ... 39 

3.3.1 PLAN DN3. ... 40 

3.3.2 PLAN DE CONTINGENCIA AMBIENTAL. ... 41 

4

3.3.3 PLANES DE PREVENCIÓN. ... 42 

3.4 PROBLEMÁTICA DEL AUDITOR PARA REALIZAR REVISIONES DE SEGURIDAD FISICA. ... 43 

3.5 PROBLEMÁTICA PARA LA ENTIDAD AUDITADA. ... 44 

3.5.1 INFORMES DE AUDITORIA PRESENTADOS A LA ENTIDAD AUDITADA. ... 45 

CAPITULO 4. LEGISLACION ACTUAL Y MEJORES PRÁCTICAS ... 47

4.1 ANTECEDENTES ... 47 

4.2 ENTORNO ACTUAL ... 48 

4.2.1 LEGISLACIÓN INTERNACIONAL ... 48 

4.2.2 LEGISLACION NACIONAL ... 49 

4.3 MEJORES PRÁCTICAS ... 52 

4.3.1 NORMATIVAS ISO ... 53 

4.3.2 OBJETIVOS DE CONTROL DE TECNOLOGÍA DE INFORMACIÓN Y RELACIONADA (COBIT) ... 56 

CAPITULO 5. “METODOLOGÍA PARA REALIZAR LA EVALUACIÓN Y CALIFICACIÓN DE SEGURIDAD FÍSICA EN UN CPD”. ... 61

5.1 PLANEACIÓN. ... 62 

5.1.1 PLAN DE TRABAJO. ... 62 

5.1.2 DEFINICIÓN DEL EQUIPO DE TRABAJO PARA LA REVISIÓN DEL COMPROMISO. ... 64 

5.1.3 SELECCIÓN DE ACTIVIDADES DE CONTROL EFECTIVAS DE ACUERDO AL CONSOLIDADO DE REFERENCIA CON ISO/IEC 17799, COBIT. ... 65 

5.2 ENTENDIMIENTO DE LA ENTIDAD. ... 67 

5.2.1 INFORME DE AUDITORÍA (PROPORCIONADO POR LA ENTIDAD A EVALUAR). ... 68 

5.2.2 PERSONAL DE LA ENTIDAD RESPONSABLE DE ACTIVIDADES DE SEGURIDAD EN EL CPD. ... 69 

5.2.3 ENTREVISTAS AL PERSONAL RESPONSABLE DE LA ADMINISTRACIÓN DEL CPD. ... 69 

5.2.4 IDENTIFICACIÓN DE LAS ACTIVIDADES DE CONTROL IMPLEMENTADOS POR LA ENTIDAD. ... 70 

5.2.5 IDENTIFICACIÓN DE ACTIVIDADES DE CONTROL COMPENSATORIAS. ... 73 

5

5.2.6 APLICACIÓN DEL CHECKLIST DE EVALUACIÓN AL CPD. ... 73 

5.3 SOLICITUD Y OBTENCIÓN DE EVIDENCIA PARA SU ANÁLISIS. ... 76 

5.3.1 ALCANCE DE PRUEBAS A REALIZAR SEGÚN LOS OBJETIVOS DE CONTROL A CUMPLIR. ... 77 

5.3.2 DISEÑO DE PRUEBAS PARA LA EVALUACIÓN DEL [DISEÑO/ IMPLEMENTACIÓN] DE LAS ACTIVIDADES DE CONTROL REALIZADAS POR LA ENTIDAD. ... 78 

5.3.3 EJECUCIÓN DE PRUEBAS PARA LA EVALUACIÓN DEL [DISEÑO/ IMPLEMENTACIÓN] DE LAS ACTIVIDADES DE CONTROL REALIZADAS POR LA ENTIDAD. ... 81 

5.4. EVALUACIÓN Y DIAGNOSTICO. ... 88 

5.4.1. EVALUACIÓN DE LAS PRUEBAS ... 88 

5.4.2. DEFINICIÓN DE NIVELES DE SEGURIDAD ... 88 

5.4.3. GENERACIÓN DEL REPORTE CON EL RESULTADO DEL NIVEL DE SEGURIDAD ALCANZADO. ... 98 

5.4.4. PRESENTACIÓN DE CONCLUSIONES. ... 99 

5.4.5. GENERACIÓN DEL INFORME FINAL - CALIFICACIÓN EN SEGURIDAD ALCANZADO. ... 99 

CAPÍTULO 6. “APLICACIÓN DE LA METODOLOGÍA, PROCEDIMIENTOS DE REVISIÓN Y EVALUACIÓN PARA DETERMINAR EL NIVEL DE SEGURIDAD FÍSICA ALCANZADO POR LA ENTIDAD”. ... 100

6.1. VISTO BUENO DE LA ENTIDAD: “CABLEVISIÓN S.A. DE C.V.” ... 100 

6.2. DEFINICIÓN DE LOS OBJETIVOS Y ALCANCE DE LA REVISIÓN. ... 102 

6.3. PLANEACIÓN. ... 102 

6.4. PLAN DE TRABAJO PARA REALIZACIÓN DE LA REVISIÓN. ... 102 

6.5. ENTENDIMIENTO DE LA ENTIDAD. ... 106 

6.6. UTILIZACIÓN DE HERRAMIENTAS PARA EFECTUAR LA REVISIÓN... 106 

6.7. SOLICITUD Y OBTENCIÓN DE EVIDENCIA PARA SU ANÁLISIS. ... 107 

6.8. DISEÑO Y EJECUCIÓN DE PRUEBAS. ... 107 

6.9. EVALUACIÓN Y DIAGNOSTICO. ... 107 

6

6.10. PRESENTACIÓN DE HALLAZGOS Y CÁLCULO DEL NIVEL DE SEGURIDAD

ALCANZADO POR LA ENTIDAD. ... 108 

6.11. PRESENTACIÓN DE LOS RESULTADOS FINALES. ... 109 

CONCLUSIONES ... 111

BIBLIOGRAFÍA ... 112

GLOSARIO ... 114

ANEXOS ... 116

7 RESUMEN

La presente tesina describe el desarrollo de una metodología que evalúa y califica la Seguridad Física de un Centro de Procesamiento de Datos con la finalidad de detectar las debilidades y fortalezas que se presentan en lugar anteriormente citado, esto con la intención de proporcionar a la entidad dueña de estos bienes una métrica de la eficacia y eficiencia de los controles que tienen implementados para salvaguardar y mitigar la materialización de un riesgo, el cual puede ocasionar un impacto negativo en el desarrollo de las operaciones del negocio traduciéndose esto en pérdidas monetarias.

Lo anterior concluyó en la creación de tres niveles de seguridad (Básico, Medio y Suficiente), para esto se tuvo que realizar una profunda investigación de las diversas metodologías y mejores prácticas que se encuentran vigentes hoy en día, para poder determinar las características y alcance que debe cubrir cada nivel de seguridad establecido y validar los objetivos de control implementados.

Cada nivel representa un grado de cumplimiento de las actividades implementadas en la entidad para salvaguardar sus activos, todo esto con el entendido de que entre mayor sea el grado de madurez tengan las implementaciones, mayor será la calificación que la entidad obtendrá. Todo lo anteriormente definido en cuanto a la asignación de un nivel de seguridad se resume en la creación de un reporte de resultados en el que se informa a la entidad el nivel obtenido, respaldado con los hallazgos encontrados, derivados de un previo y exhaustivo análisis de la información adquirida por medio de una solicitud y obtención de evidencia.

Es de suma importancia resaltar que el reporte es un reflejo de las actividades y operaciones implantadas con las que se labora día a día y que fueron sometidas a pruebas de cumplimiento con objeto de saber si son las adecuadas para la entidad; en este proceso también es sometido a evaluación el cumplimiento de los reglamentos y normas prescritas tanto por la entidad como por organismos nacionales e internacionales.

El equipo de trabajo decidió que una buena fuente para la obtención de evidencia se basará en Auditorias previamente realizadas a la entidad debido a que la naturaleza de estas no es brindar una calificación al Auditado no de forma explícita ya que este no es el objetivo que busca la misma, pero si se encarga de identificar las actividades de control que no existen y las que no están siendo ejecutadas de la mejor manera y a su vez de validar que los procesos que se tengan establecidos se encuentren lo más apegados en la manera de lo posible a las mejores prácticas; por consiguiente brinda una visión más amplia de cómo lograr tener una Seguridad adecuada y consistente al negocio.

i

8

Un aspecto del que nos pudimos percatar al momento de analizar las auditorias y que llamo de gran manera nuestra atención es el que se suscita cuando una entidad tiene ya establecido un cierto tipo de organización interna y determinados procesos con los que lleva a cabo sus operaciones diarias es el que se presenta cuando se realiza una Auditoria y se descubre que se tienen grandes vulnerabilidades debido a que si bien es cierto que establecen ciertos parámetros, estos no siempre son respetados por el personal que labora en ella, por múltiples razones van desde la negligencia de los empleados hasta el impedimento por el tipo de operaciones y naturaleza del negocio ya que cuando se tiene una sobrecarga de trabajo se tienen que acortar de gran manera los tiempos algunos procesos y por consiguiente muchas validaciones son pasadas por alto, de las cuales se hace conocimiento cuando comienzan a surgir errores en tareas que pudieron ser controladas y resueltas rápidamente, pero desafortunadamente salen a flote cuando ya ocasionaron a la entidad una gran pérdida de recursos como lo son el tiempo y principalmente dinero.

Es por la razón anterior que las entidades realizan Auditorías Internas Programadas ó Auditorías Externas que son para algunas cuestiones particulares, como certificaciones ó deslindar responsabilidades de algún acto que haya perjudicado ó mejorado a la organización, es decir las Auditorias no buscan culpables si no el objetivo principal es revisar que las operaciones se lleven a cabo de acuerdo a los procedimientos ya establecidos y que estén apegados a las necesidades de la entidad.

Haciendo referencia al párrafo anterior, es sabido que la entidad después de estar sometida a un proceso de auditoría se le tiene que entregar un Informe al responsable del área auditada, pero en muchas de las ocasiones no se va mas allá es decir no se le brinda una calificación certera de que los procesos que se están llevando a cabo son los más adecuados para ellos ó que nivel de Seguridad manejan; eh ahí una de las limitantes de la auditoría que nos llevo al desarrollo de la metodología.

Es importante resaltar el hecho de que la aplicación de los conocimientos adquiridos en el transcurso de una carrera a nivel profesional y aunada a la experiencia laboral del grupo de trabajo que realizo esta tesina, nos brindaron las bases necesarias para lograr el desarrollo de la metodología que estamos seguros contribuye de forma adecuada a la entidad a forjarse una idea objetiva sobre el estado actual del tratamiento que le están dando a la Seguridad Física en su CPD.

Para lo cual en ningún momento se hizo de lado el respeto a los principios humanos como son:

Independencia, Transparencia, Calidad e Integridad que debe tener presente siempre un Profesional.

ii

9

A lo largo de nuestro análisis pudimos detectar que nuestro país da muestras de un gran rezago en cuanto a legislación informática y no solo nos referimos al aspecto de seguridad física; ya que gracias a la inconsciencia, desconocimiento y sobre todo a una gran falta de interés de nuestros gobernantes no contamos con leyes que se encuentren a la par del desarrollo tecnológico, trayendo como consecuencia que los delitos en materia informática no puedan ser castigados de forma adecuada, ya que no se encuentran debidamente tipificados en un código penal dejando impunes muchos atentados que son realizados de forma dolosa y premeditada.

Para concluir nuestro trabajo de investigación realizamos la puesta en práctica de nuestra metodología en la entidad denominada “Cablevisión S.A. de C.V.” con el fin de que se pudiera observar, comprobar y corroborar los resultados de nuestra metodología y dar pie a que sea útil para evaluar y calificar cualquier organización, independiente del giro de la misma y del tipo de procesos que lleven a cabo debido a que en el CPD se concentra información crítica para cualquier entidad.

iii

10 INTRODUCCIÓN

Desde el inicio de los tiempos la humanidad ha puesto gran interés a la salvaguarda de su persona misma y no solo de su persona sino también a la protección de sus posesiones por precarias que estas fueran, en un principio la necesidades de seguridad se solventaban con protegerse del ataque de algún animal salvaje o de las inclemencias del tiempo; en el transcurso de los años estas necesidades se fueron transformando debido a que las sociedades fueron evolucionando a la par de sus bienes, y por consiguiente fue haciéndose más difícil la forma de proteger y protegerse debido a que los ataques también se hicieron más complejos.

En las organizaciones en sus inicios se protegían los activos como los reportes donde se concentraba su información, los accesos a las instalaciones, el cuidado de su personal, pero todo dependía del tipo de negocio, conforme la tecnología fue avanzando y abarcando más terreno, la preocupación fue en crecimiento debido a que la mayoría de los procesos se fueron automatizando, lo que antes se realizaba en papel en la actualidad está contenido en computadoras en forma de ceros y unos que se manipulan mediante el uso diferentes aplicaciones que efectúan de forma rápida y precisa las operaciones que son vitales para el buen funcionamiento del negocio.

Pero de la misma manera que nos minimiza esfuerzos también maximiza riesgos, tales como fugas de información, que son las más comunes y las que más afectan, ya que en muchas ocasiones las organizaciones guardan secretos empresariales en computadoras, que contienen sus procesos informáticos, nuevos proyectos a desarrollar, información de sus empleados y otro tipo de datos que son de vital importancia para la toma de decisiones.

Es por esta razón que desde hace ya algunos años se desarrollaron de manera extraordinaria las técnicas para lograr la seguridad, aunque sabemos que este es un concepto que proviene ya de épocas atrás y lo que es de reciente creación es la manera de hacerlo más efectivo; en esta tesina nos planteamos como la Seguridad específicamente en el ámbito de la Informática se relaciona con las actividades que se realizan para el resguardo de los bienes en los que se encuentra contenida la información altamente sensible.

Uno de los principales lugares donde se tiene una alta concentración de estos activos son los denominados Centros de Procesamiento de Datos (CPD), que actualmente se han convertido en el corazón y cerebro mismo de las organizaciones debido a que en este sitio tienen lugar los procesos que en su conjunto con sus respectivas variantes logran que el negocio genere los bienes necesarios para ser intercambiados por el recurso monetario que es el objetivo de toda sociedad lucrativa.

iv

11

Derivado de la importancia del CPD en las entidades y de la problemática existente de proporcionarle la protección adecuada, decidimos enfocar nuestro estudio en la Seguridad, específicamente en la Seguridad Física ya que es de gran importancia el poder determinar el nivel de seguridad con el que actualmente cuenta un CPD; esto con la intención de que la entidad evaluada y dueña de la infraestructura pueda llevar a cabo las acciones pertinentes para mitigar sus debilidades o en su defecto hacer sus fortalezas menos vulnerables.

Preocupados por lo que se mencionó con anterioridad, y percatándonos de que la seguridad informática en nuestro país tiene un severo rezago respecto a otras naciones de primer mundo;

decidimos realizar una metodología que evalué y califique la seguridad física de un CPD basada en metodologías y mejores prácticas que cuentan con la aceptación y reconocimiento de organismos internacionales.

El presente trabajo contempla seis capítulos los cuales se describen de manera general a continuación:

El capitulo 1 Marco Metodológico; el cual describe una visión clara y amplia del objetivo que se pretende cumplir en el presente trabajo, a su vez se hace el planteamiento del problema sobre la evaluación y calificación de la Seguridad Física en el CPD, integrando la justificación del estudio en la que se menciona el por qué de la importancia de realizar esta metodología.

El Capitulo 2 Marco Teórico; brinda las bases necesarias para obtener un punto de partida sobre la conceptualización de los temas que se abordaran a lo largo del presente trabajo; con la intención de proporcionar un marco de referencia acerca de los conceptos que son utilizados en Auditoria y Seguridad Física.

El capitulo 3 Problemática Existente para Evaluar y Calificar la Seguridad Física; describe el entorno actual sobre Seguridad Física, así como la importancia de realizar una Auditoria con el objetivo conocer los riesgos latentes en los que se encuentra inmerso el CPD

El Capitulo 4 Legislación Nacional e Internacional y Mejores Practicas; describe el marco legal entorno a la Seguridad Física de un CPD, que actualmente existe tanto Nacional e Internacionalmente. El tema de mejores prácticas describe los estándares, guías y normas existentes que giran en torno a la Seguridad Física de un CPD.

El Capitulo 5 Metodología para realizar la evaluación y calificación de Seguridad Física en un CPD; se desarrolla la propuesta metodológica para la planeación, desarrollo, evaluación e informe sobre la calificación obtenida por la entidad en torno a la seguridad física de su CPD.

v

12

El Capitulo 6 Aplicación de la metodología, procedimientos de revisión y evaluación para determinar el nivel de seguridad física alcanzado por la entidad en su CPD; presenta los resultados de la metodología aplicada a una entidad y el informe con el nivel de seguridad alcanzado.

vi

1 CAPITULO 1. MARCO METODOLÓGICO

El presente capitulo describe una visión clara y amplia del objetivo que se pretende cumplir en el presente trabajo, planteando el problema sobre la evaluación y calificación de la Seguridad Física en el CPD, justificando el estudio contestando a la siguiente pregunta ¿Porqué la importancia de realizar esta metodología?.

1.1 PLANTEAMIENTO DEL PROBLEMA

La seguridad es uno de los puntos más importantes que una entidad considera en su planeación de trabajo o al momento de crear alguna nueva tecnología, es por esta razón que asignan recursos importantes para este rubro, pero no siempre se hace de manera adecuada o siguiendo los lineamientos y necesidades de negocio, sobre todo si hablamos de Seguridad Informática.

Uno de los principales lugares para el resguardo, almacenamiento y procesamiento de la información, son los Centros de Procesamiento de datos por lo que se convirtieron en blancos directos no solo para el espionaje, sino también para la delincuencia y el terrorismo. En este caso interviene la Seguridad en Informática para prevenir amenazas que podrían materializarse en un ataque.

“En la actualidad la problemática existente con la que se enfrentan los diferentes CPD es poder conocer el nivel de seguridad alcanzado por sus actividades de control implementadas en lo que se refiere a Seguridad Física y de la misma manera las recomendaciones adecuadas para mejorar este rubro”.

Por esta razón, se propone brindar una opción para evaluar y calificar la Seguridad Física de un CPD, emitiendo un informe que muestre el cumplimiento de las mejores prácticas derivadas de normas y estándares nacionales e internacionales para dar a conocer las deficiencias de Seguridad Física del CPD, derivando en acciones como adquirir una nueva tecnología ó hacer cambios en la estrategia de negocio.

1.2 OBJETIVO

Desarrollar una metodología y un modelo que permita evaluar y calificar la seguridad física de un CPD en una entidad, mediante la definición de niveles de seguridad; basada en las mejores prácticas de las normas y estándares internacionales desarrolladas por ISO/IEC – 17199, COBIT;

así como lo definido por la guía de ISACA-CISA, en su apartado para la seguridad física.

2

1.3 TÉCNICAS E INSTRUMENTOS DE MEDICIÓN.

Se utilizarán las técnicas de investigación descriptiva y explicativa respectivamente, ya que el objetivo de nuestro trabajo se enfoca a la correcta realización de una revisión de auditoría en el perfil de seguridad física para un CPD; por lo que se describirá y explicará la forma de realizar dicha revisión de acuerdo a las mejores prácticas.

Técnica de Investigación Descriptiva: Se buscara describir principalmente lo que es una auditoría y como se lleva a cabo con todo y sus componentes así como también describiremos todo lo que tiene que ver con la Seguridad física en un Centro de Procesamiento de Datos.

Técnica de Investigación Explicativa: Describiremos el problema actual en los Centros de Procesamiento de Datos el cual tiene que ver con que no hay Seguridad Física suficiente y para que de la misma manera abordemos el desarrollo de Niveles de Seguridad apropiado en base a las vulnerabilidades de las entidades.

1.4 UNIVERSO Y/O MUESTRA.

La metodología fue puesta en práctica en la entidad conocida como “Cablevisión S.A. de C.V.” la cual nos brindo las facilidades trabajar y presentar los resultados finales que se dan a conocer en el capítulo 6 del presente trabajo.

1.5 JUSTIFICACIÓN.

En la mayoría de las entidades la auditoria informática ha tomado un papel preponderante como herramienta de control, verificando la eficacia y eficiencia de los sistemas de información, contribuyendo así al buen desempeño de las tareas automatizadas que se desarrollan día a día.

Otro factor relevante es el incremento de los ataques a los centros de procesamiento de datos, que a su vez los ha llevado volverse cada vez más sofisticados; haciendo necesario contar con las actividades de control en seguridad física necesarias, que se encuentren al nivel de dichos ataques para garantizar la salvaguarda de información; aunado al hecho de que los auditores de hoy en día tienen una mayor necesidad de contar con una metodología que permita una rápida y correcta evaluación y calificación de la seguridad física de un CPD que ayude a ubicar a la entidad dentro de un determinado nivel de seguridad.

Conociendo toda esta información, nos percatamos que las auditorias informáticas si bien están basadas en muchas normas y estándares internacionales establecidos, los auditores necesitan actualmente herramientas que le ayude a realizar una evaluación y calificación, bien cimentada y que a su vez le ayude a medir el nivel de seguridad alcanzado.

3

Y en base a toda esta información se desarrolla una Metodología que brinda esta información basada en Informes de Auditorias ya realizadas y presentando un Informe que a su vez otorga un nivel de seguridad alcanzado por la entidad.

4 CAPITULO 2. MARCO CONCEPTUAL

El presente capítulo brinda las bases necesarias para obtener un punto de partida sobre la conceptualización de los temas que se abordaran a lo largo del presente trabajo, con la intención de proporcionar un marco de referencia acerca de los conceptos que son utilizados en Auditoria y Seguridad Física.

2.1 AUDITORIA

La Auditoría en su concepción moderna nació en Inglaterra o al menos en ese país se encuentra el primer antecedente. La fecha exacta se desconoce, pero se han hallado datos y documentos que permiten asegurar que a fines del siglo XIII y principios del siglo XIV ya se auditaban las operaciones de algunas actividades privadas y las gestiones de algunos funcionarios públicos que tenían a su cargo los fondos del Estado.

La Auditoría existe desde tiempos inmemoriales, prácticamente desde que un propietario entregó la administración de sus bienes a otra persona, lo que hacía que la Auditoría primitiva fuera en esencia un control contra el desfalco y el incumplimiento de las normas establecidas por el propietario, el Estado u otros.

Como elemento de análisis, control financiero y operacional la Auditoría surge como consecuencia del desarrollo producido por la Revolución Industrial del siglo XIX. En efecto, la primera asociación de auditores se crea en Venecia en el año 1851 y posteriormente en ese mismo siglo se produjeron eventos que propiciaron el desarrollo de la profesión, así en 1862 se reconoció en Inglaterra la auditoría como profesión independiente.

En 1880 se legalizó en Inglaterra el título de Charretera Accountants o Contadores Autorizados o Certificados. En 1882 se incluyó en Italia en el Código de Comercio la función de los auditores y en 1896 el Estado de New York había designado como Contadores Públicos Certificados, a aquellas personas que habían cumplido las regulaciones estatales en cuanto a la educación, entrenamiento y experiencia adecuados para ejecutar las funciones del auditor.

Debido al mayor desarrollo de la auditoría en Inglaterra, a fines del siglo XIX e inicios del siglo XX se trasladaron hacia los Estados Unidos de Norte América muchos auditores ingleses que venían a auditar y revisar los diferentes intereses en este país de las compañías inglesas, dando así lugar al desarrollo de la profesión en Norte América, creándose en los primeros años de ese siglo el American Institute of Accountants (Instituto Americano de Contadores).¹

1http://www.wikilearning.com/monografia/fundamentos_teoricos_de_la_auditoria_vinculados_a_la_

calidad-antecedentes_historicos_de_la_auditoria/12675-1

5

2.1.1 CONCEPTO DE AUDITORIA

La auditoría puede definirse como un proceso sistemático por el cual un equipo o una persona competente e independiente obtienen y evalúan objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular e informar sobre el grado de cumplimiento en dicha afirmación que es implementada²

Una auditoria puede ser realizada por una o varias personas debidamente capacitadas cuya visión debe de ser clara y objetiva respecto a lo que se va a inspeccionar, de aquí que surja el entredicho de que no todas las personas pueden o deben ser auditores ya que esto conlleva un examen personal, para poder emitir opiniones constructivas que ayuden a la entidad a mejorar sus procesos.

Finalmente con base en la experiencia del equipo de trabajo, definimos el concepto de Auditar como el estudio de los mecanismos de control que están implementados en una organización identificando si estos son adecuados y cumplen con los objetivos y estrategias de la entidad, estableciendo los cambios que se deben realizar para la consecución de los mismos.

2.1.2 NORMAS DE AUDITORÍA GENERALMENTE ACEPTADAS (NAGAS)³

Las Normas de Auditoría Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

Las NAGAS, tiene su origen en los Boletines (Statement on Auditing Estándar – SAS) emitidos por el Comité de Auditoría del Instituto Americano de Contadores Públicos de los Estados Unidos de Norteamérica en el año 1948,Normas Generales o Personales: Se refiere a la cualidad que el auditor debe tener para poder asumir, dentro de las exigencias que el carácter profesional de la auditoria impone, un trabajo de este tipo.

Entrenamiento y capacidad profesional.- "La Auditoria debe ser efectuada por personal que tiene el entrenamiento técnico y pericia como Auditor".

Independencia.- "En todos los asuntos relacionados con la Auditoría, el auditor debe mantener independencia de criterio". Cuidado o esmero profesional.- "Debe ejercerse el esmero profesional en la ejecución de la auditoría y en la preparación del dictamen".

2 Manual de Preparación al Examen CISA 2008

3http://www.romeliarodriguezv.com.ve/files/NORMAS%20DE%20AUDITORIA%20GENERALMENT E%20ACEPTADAS%20(NAGAS).pdf

6

Normas de Ejecución del Trabajo: Estas normas son más específicas y regulan la forma del trabajo del auditor durante el desarrollo de la auditoría en sus diferentes fases (planeamiento trabajo de campo y elaboración del informe). Tal vez el propósito principal de este grupo de normas se orienta a que el auditor obtenga la evidencia suficiente en sus papeles de trabajo para apoyar su opinión sobre la confiabilidad, para lo cual, se requiere previamente una adecuado planeamiento estratégico y evaluación de los controles internos

Planeamiento y Supervisión.- "La auditoría debe ser planificada apropiadamente y el trabajo de los asistentes del auditor, si los hay, debe ser debidamente supervisado".

Estudio y Evaluación del Control Interno.- "Debe estudiarse y evaluarse apropiadamente la estructura del control interno (de la empresa que se encuentra sujeta a auditoría) como base para establecer el grado de confianza que merece, y consecuentemente, para determinar la naturaleza, el alcance y la oportunidad de los procedimientos de auditoría".

Evidencia Suficiente y Competente.- "Debe obtenerse evidencia competente y suficiente, mediante la inspección, observación, indagación y confirmación para proveer una base razonable que permita la expresión de una opinión sobre los procesos sujetos a la auditoría.

Normas de Preparación del Informe: Estas normas regulan la última fase del proceso de auditoría, es decir la elaboración del informe, para lo cual, el auditor habrá acumulado en grado suficiente las evidencias, debidamente respaldada en sus papeles de trabajo.

Opinión del Auditor.- "El dictamen debe contener la expresión de una opinión sobre los estados financieros tomados en su integridad, o la aseveración de que no puede expresarse una opinión.

En este último caso, deben indicarse las razones que lo impiden. En todos los casos, en que el nombre de un auditor esté asociado con estados financieros el dictamen debe contener una indicación clara de la naturaleza de la auditoría, y el grado de responsabilidad que está tomando".

2.1.3 CLASIFICACIONES DE AUDITORIA

De acuerdo con la filiación del auditor, las Auditorías se clasifican en:

Auditoría Interna.- Es un examen completo y constructivo de la estructura organizativa de una empresa, departamento o entidad, así como de sus métodos de operación. Esta suele ser elaborada por miembros dependientes de la entidad y cuyo propósito es evaluar las deficiencias o irregularidades encontradas en la parte auditada. Su finalidad es auxiliar a la dirección para lograr que la administración sea optima con base a la planeación inicial y siempre en busca del cumplimiento de objetivos con base en las necesidades del negocio.

7

Auditoría Externa.- Tiene como objeto averiguar la integridad, la razonabilidad y autenticidad de los estados, expedientes y documentos y aquella información producida por los sistemas de la entidad.

Esta suele ser elaborada por miembros independientes de la entidad y cuyo propósito es evaluar las deficiencias o irregularidades encontradas en la parte auditada.

Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo con una opinión independiente que le de autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

La persona o firma que realizan la Auditoría Externa deben ser capaces de ofrecer una opinión imparcial y profesionalmente experta acerca de los resultados de la auditoría, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos. ⁴ Al ser la Auditoria un campo muy amplio, también se puede clasificar por el objetivo que persiga:

Auditoría Financiera  Auditoría Operacional  Auditoría Informática  Auditoría Fiscal 

Auditoría Administrativa  Auditoría de Calidad  Auditoría Social 

2.1.4 AUDITORIA EN INFORMÁTICA

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha

4 http://www.monografias.com/trabajos11/siste/siste.shtml

8

tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

CONCEPTO

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoría Informática son:

El control de la función informática

El análisis de la eficiencia de los Sistemas Informáticos

La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Eficiencia Eficacia Rentabilidad Seguridad⁵

TIPOS DE AUDITORIA INFORMÁTICA

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):⁶

Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis del flujo gramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

5 http://es.wikipedia.org/wiki/Auditoría_informática

6 http://es.wikipedia.org/wiki/Auditoría_informática

9

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

AUDITORIA EN SEGURIDAD FÍSICA

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico.

El sistema integral de seguridad debe comprender:

Elementos administrativos

Definición de una política de seguridad Organización y división de responsabilidades

Seguridad física y contra catástrofes (incendio, terremotos, etc.) Prácticas de seguridad del personal

Elementos técnicos y procedimientos

Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

Aplicación de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos

Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoría Informática de Seguridad Física en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que

10

está sometida una instalación y los "Impactos" que aquellas puedan causar cuando se presentan.

Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.⁷ Ver Tabla 1.

Ejemplo:

Impacto Amenaza

1: Improbable 2: Probable 3: Certeza -: Despreciable Error Incendio Sabotaje Robo

Destrucción de Hardware

1 1 1 2

Pérdida de Equipos

3 1 1 3

Tabla 1.1.- Matriz de Amenaza-Impacto 2.2 SEGURIDAD INFORMÁTICA

Se puede entender como seguridad cualquier tipo de estado que el sistema está libre de riesgo, daño o peligro. Entendiendo por riesgo, daño o peligro aquellos aspectos que pueden afectar el funcionamiento directo o los resultados que se obtienen del mismo. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

¾ Integridad.- La información sólo puede ser modificada por quien está autorizado y de manera controlada.

¾ Confidencialidad.- La información sólo es legible para los usuarios que están autorizados.

¾ Disponibilidad.- La información debe de estar disponible cuando se necesita.

¾ Irrefutabilidad.- El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.⁸

2.2.1 SEGURIDAD FÍSICA

La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"⁹. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

7 http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml

8 http://es.wikipedia.org/wiki/Seguridad_informática

9 HUERTA, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org

11

Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner en riesgo un sistema informático son:

¾ Desastres naturales, incendios accidentales, humedad e inundaciones.

¾ Amenazas ocasionadas involuntariamente por personas.

¾ Acciones hostiles deliberadas como robo, fraude o sabotaje.

Son ejemplos de mecanismos o acciones de seguridad física:

¾ Tener extintores por eventuales incendios.

¾ Instalación de cámaras de seguridad.

¾ Guardia humana.

¾ Control permanente del sistema eléctrico, de ventilación, etc.¹⁰

2.1.1.1. EDIFICIO¹¹

El estudio del edificio donde se encuentra ubicado el hardware y los dispositivos que han de soportar nuestras aplicaciones es el primer paso en cualquier estudio de seguridad física, y también suele ser el más problemático, puesto que nos encontramos con un entorno ya construido, no modificable y que suele tener un uso compartido por nuestros sistemas hardware y otro tipo de sistemas. Se intentará siempre resaltar todos los fallos de seguridad que se puedan encontrar, y se tendrá en cuenta si estos son subsanables o inherentes a la estructura del edificio.

LA ESTRUCTURA DEL EDIFICIO

El estudio de la estructura del edificio es beneficioso para todos los demás estudios que vayamos a realizar sobre la seguridad física del edificio. Siempre que sea posible estudiaremos los planos del edificio para observar la estructura, el reparto del espacio dentro del edificio, los accesos, los sistemas de seguridad (salidas de emergencia, sistemas anti incendios, etc.), el suministro de energía, las canalizaciones de agua y gas, etc.

En lugares donde sea probable la incidencia de terremotos se estudiar especialmente la estructura física del edificio y los sistemas de seguridad implementados para tales casos.

Se puede pedir ayuda a un arquitecto para que estudie los planos del edificio y pueda señalarnos los puntos más críticos o que debamos vigilar.

10 http://www.alegsa.com.ar/Dic/seguridad%20fisica.php

11 Tutorial de Seguridad Física COMO, José María López Hernández

12

2.2.1.2. CPD

Un CPD es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ejemplo, un banco puede tener un data center con el propósito de almacenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. Prácticamente todas las compañías que son medianas o grandes tienen algún tipo de CPD, mientras que las más grandes llegan a tener varios”¹².

Es el paso siguiente en el estudio de la seguridad física al estudio del edificio. Supone el estudio de la localización del hardware, el acceso físico que las personas puedan tener a este, todo el cableado que interconecta el hardware o que le provee de energía, el control de la temperatura y demás condiciones climáticas del entorno donde se encuentra el hardware, el estudio del tipo de montaje de este hardware dentro de nuestra infraestructura y los métodos de administración y gestión del hardware y de su entorno.

2.2.1.3. LOS SUMINISTROS DE ENERGÍA Y COMUNICACIONES

El caso de los sistemas de comunicaciones del edificio es similar al del suministro eléctrico, deberemos buscar la mayor seguridad y protección en los sistemas y además siempre que sea posible tener redundancia en los sistemas de comunicaciones para proveer el caso de que uno de los enlaces falle.

Los sistemas de comunicaciones suelen ser de dos tipos: públicos y privados. La mayoría de los edificios usarán sistemas públicos de comunicaciones, como puede ser la red telefónica para el transporte de voz y datos o las conexiones ADSL/DSL/Cable/etc., que usan medios compartidos para la transmisión de datos. Es mucho menos común el uso de sistemas privados de comunicaciones como líneas telefónicas o de datos dedicados o enlaces de microondas entre edificios.

Para los sistemas públicos debemos estudiar sobre todo si existe algún tipo de redundancia en las comunicaciones, puesto que las compañías telefónicas que suelen ser las que proveen los servicios no suelen proporcionar ningún tipo de certeza de que nuestras comunicaciones van a mantenerse, por lo que estamos a expensas de las averías o fallos que se puedan producir en las redes públicas para tener comunicaciones. Las comunicaciones telefónicas son necesarias para

12 http://es.wikipedia.org/wiki/Centro_de_proceso_de_datos

13

permitir el fallo de alguna de estas. Téngase en cuenta que las centralitas suelen tener una única conexión por lo que solo proveen un enlace de comunicaciones compartido por varias líneas telefónicas si nos falla la conexa nos fallar el acceso telefónico de todos los sistemas telefónicos conectados a la centralita. Es aconsejable por tanto mantener más de una línea y además con diferentes compañías, de forma que tengamos siempre comunicación telefónica aunque alguna de las compañías falle. Es un sistema bastante común en grandes edificios y no debería tener más complicaciones. Es bastante común que las compañías que usan la red telefónica clásica compartan el medio físico para mandar los datos, medio físico que ser propiedad pública o de una de las compañías, pero en cambio las compañías de cable suelen tener su propia red para proporcionar la conectividad, por lo que puede ser interesante la contratación de una línea con una compañía tradicional y otra con una compañía de cable para tener dos redes independientes.

Para los sistemas de datos tipo ADSL/DSL/Cable debemos buscar también la redundancia en los sistemas, manteniendo varias conexiones con varios proveedores para mantener siempre un enlace de datos seguro puesto que ninguno nos asegurará una conexión cien por cien fiable.

Es necesario que el departamento de administración de red tenga en cuenta esta estructura para poder enrutar el tráfico de forma que si uno de los enlaces falla los datos se transmitan por otro enlace de otra compañía. Esta estructura de acceso a redes es muy común en grandes instalaciones y no debería haber problema en su estudio o en recomendar su instalación.

Para los sistemas privados las consideraciones de seguridad son algo menos severas que para los sistemas compartidos. La compañía que nos suministra el servicio nos asegurar las conexiones con una tasa fija de porcentaje de fallo en el tiempo, lo que nos permite planificar más fácilmente la seguridad del enlace, pues tenemos la seguridad de que el enlace se mantendrá. Lo mismo se aplica para los sistemas de comunicaciones privadas entre edificios usando microondas, donde nosotros mismos podemos asegurar la comunicación y no dependemos de la disponibilidad de una red pública. Para estos sistemas privados se puede realizar un estudio contratando a personal especializado en el estudio de estos enlaces y en su ajuste. Siempre es aconsejable complementar estos sistemas privados con un sistema de comunicación público para proporcionar redundancia en el caso de que nuestro enlace falle.

Se comprobará también la seguridad física del cableado (o la visibilidad de los tambores de microondas en su caso) comprobando que un intruso malintencionado no pueda seccionar los cables de comunicaciones que van desde la central más cercana hasta nuestro edificio. Hay que tener en cuenta que esta sección de cable es propiedad de la compañía que proporciona el servicio, por lo que necesitaremos llegar a un acuerdo con esta si queremos realizar algún tipo de modificación en este cable.

14

SUMINISTRO DE ENERGÍA PARA EL HARDWARE

Después de haber estudiado el suministro de energía al edificio debemos realizar un estudio del suministro de energía a los centros de computación o en el entorno inmediato donde se encuentra situado nuestro hardware. Es imprescindible el asegurar un suministro estable y continuo de energía eléctrica al hardware, utilizando normalmente sistemas UPS (Sistema de suministro ininterrumpido de energía) que regularán la tensión evitando los picos de voltaje que pueda traer la red y proporcionarán un tiempo de autonomía por medio de baterías en caso de cortes del suministro eléctrico.

Hay que tener en cuenta siempre que no solo es necesario proveer de un suministro estable y continuo de energía a los ordenadores y a los sistemas de almacenamiento, deberemos proporcionar el mismo tratamiento al hardware de red, incluidos concentradores, enrutadores, pasarelas y todos los dispositivos que sean necesarios para el funcionamiento normal de la empresa. Estas medidas pueden incluir también otro tipo de hardware como impresoras láser o fotocopiadoras.

Para evitar puntos de fallo es conveniente el no depender únicamente de un sistema UPS para todo el hardware a proteger, siendo más conveniente la instalación de varios UPS que puedan suministrar energía aparte del sistema en el caso de que uno de los UPS fallara. Se debe estudiar la autonomía de los UPS y las protecciones que proporcionan al hardware y se recomendará en su caso la instalación de más sistemas UPS o la redundancia de alguno de ellos.

Debe estudiarse también las protecciones como fusibles, automáticos y diferenciales que tengamos en cada una de las concentraciones de hardware, como centros de computación, racks o armarios con varios sistemas montados

COMUNICACIONES: INTERCONEXIÓN DE REDES Y SISTEMAS

En este momento del estudio de la seguridad física deberemos centrarnos sobre todo en la estructura física general de la red y no en los dispositivos en concreto. Deberemos comenzar estudiando el diseño de la red del edificio, observando las troncales de red que intercomunicarán las diferentes plantas y secciones del edificio. Intentaremos centrarnos en la estructura física y no lógica de la red, buscando los puntos de fallo que puedan afectar a toda la red.

Una red típica de un edificio consta de uno o varios grandes enrutadores que proporcionan la conectividad con el exterior, una red troncal (normalmente Gigabit Ethernet) que se extiende por la estructura del edificio, un gran concentrador por planta que distribuye el tráfico desde la red troncal y luego varios concentradores más pequeños que conformarán las diferentes redes departamentales.

15

El primer paso a estudiar es buscar los puntos de fallo que puedan provocar una caída total de la red, estudiando los grandes enrutadores que proporcionan conexión con el exterior, donde deberemos buscar dispositivos fiables y dotados de redundancia tanto en su estructura física interior como en la funcionalidad que proporcionan, incorporando varias conexiones preferiblemente con varios proveedores que nunca dejen a nuestra red troncal sin conexión al exterior.

Se estudiará el entorno donde están situados los dispositivos enrutadores, observando que cumplan con todas las normas y que dispongan de un suministro continuo y estable de energía.

El siguiente punto a estudiar es el cableado de la red, comenzando por la red troncal. La red troncal suele ser Ethernet Grueso en sistemas antiguos y Gigabit Ethernet en los sistemas más modernos. En ambos casos deberemos estudiar el cableado mediante dispositivos al efecto y observando mediante planos o esquemas como han sido entubados y distribuidos por el edificio.

En el caso de redes troncales de fibra óptica necesitaremos instrumental específico para el estudio de la red y de las interconexiones que esta pueda tener, y es posible que necesitemos contratar a personal especializado si queremos estudiar la fiabilidad del medio físico, lo que no suele ser necesario, pues realizando un estudio de la velocidad de conexión entre los diferentes concentradores en cada planta o departamento y con los enrutadores que dan conexión al exterior podremos comprobar la salud del medio físico. Debe estudiarse el tipo de fibra óptica instalada y la calidad del cableado, observando la documentación que hayan dejado los instaladores de la red troncal.

El tercer punto a estudiar es la posibilidad de fallo de los concentradores que conectan la red troncal con los concentradores de los distintos departamentos o secciones dentro del edificio. Lo más común es encontrar uno de estos dispositivos por planta, al cual se conectan todos los demás concentradores proporcionando conexión a las distintas redes departamentales del edificio. Para estos concentradores se deberán tomar las mismas precauciones que para los enrutadores principales, proporcionando siempre que sea posible redundancia en las conexiones entre la red troncal y los concentradores de las redes departamentales.

El cuarto punto son los concentradores que interconectan las redes locales departamentales con los concentradores conectados a la red troncal. Estos dispositivos son menos críticos que los anteriores, puesto que un fallo en ellos sólo afectaría a la red local departamental a la que proveen conexión. Para estos concentradores no suele ser necesario proporcionar redundancia, simplemente cuidaremos de que se encuentran en un entorno no hostil y correctamente alimentados. Más adelante veremos las medidas que deben tomarse con el dispositivo en concreto en materia de seguridad física.

16

Para todos los dispositivos indicados se debe estudiar su ubicación y el acceso que un intruso pueda tener a ellos, sobre todo deberemos tener control de acceso a los enrutadores principales y también a los concentradores de cada planta, que son críticos en la seguridad física de todo el sistema.

Se debe estudiar también la posibilidad de que un intruso malintencionado provoque algún tipo de fallo en la red cortando el cableado de red o manipulando alguno de los dispositivos de red.

Contra la contingencia de un corte en el cableado de red es interesante la posibilidad en edificios nuevos de que el cableado de red sea integrado en la estructura del edificio, aunque esto siempre supondrá una merma en las posibilidades de ampliación de la red. En otro caso deberemos procurar que los cables de red estén lo más agrupados posibles para facilitar su vigilancia. Se entubarán siempre que sean posibles los cables de red utilizando medios rígidos que no sean fáciles de seccionar. Los dispositivos de red estarán también agrupados y preferiblemente protegidos en armarios ignífugos o racks con ventilación suficiente que permita una fácil vigilancia.

CABLEADO ELÉCTRICO

Debemos tener en cuenta como consultores en seguridad física el cableado eléctrico en dos vertientes principales, las dos relacionadas pero independientes.

La primera de ellas es el cableado que proporciona energía a nuestros sistemas computacionales y dispositivos de red (e incluso otro tipo de dispositivos como impresoras láser o faxes) y que deben de cumplir como mínimo las normas aplicables a este tipo de cableado según el país donde nos encontremos, normalmente el reglamento de baja tensión. Esto implica que los cables no se encuentren cerca de conducciones de agua o gas y otra serie de apartados que se pueden consultar en los reglamentos de baja tensión de cada país. Esto por supuesto es el mínimo admisible. A partir de aquí debemos buscar los posibles fallos que hipotéticamente pudieran producirse dentro del cableado. Por ejemplo hay que estudiar que los enchufes y clavijas donde se conectan los dispositivos cumplen con las normativas aplicables y que no existe peligro de que pueda saltar una chispa entre terminales. Otro punto a estudiar es el diámetro y la calidad del cableado, para lo cual nos puede asesorar un electricista, calculando la potencia máxima que va a consumir un determinado sistema alimentado por un cableado y calculando a partir de ahí la sección y calidad del cable que debe instalarse. Debe sobredimensionarse siempre este factor por las posibles sobretensiones de la red y para prevenir sobrecargas en el cableado si añadimos más dispositivos al sistema. En cualquier caso hay que hacer notar que el cableado no suele ser problemático y suele estar bien calculado y muy sobredimensionado para la potencia que ha de transportar.

La segunda de las vertientes son las conducciones ajenas a nuestros sistemas computacionales y que puedan afectar negativamente al funcionamiento de estos. Todo el cableado eléctrico, sobre

17

todo el que transporta una gran cantidad de energía eléctrica (soporta mucha potencia) produce trastornos electromagnéticos en su entorno. Los ordenadores y dispositivos de red, e incluso el cableado de red son bastante sensibles a este tipo de alteraciones electromagnéticas, por lo que intentaremos que el cableado ajeno a nuestros sistemas que deba transportar una gran potencia esté lejos de nuestro cableado eléctrico, de red y de los ordenadores y dispositivos de red. Un correcto aislamiento de este cableado puede mitigar este problema en gran medida. En caso de duda siempre podemos consultar a personal especializado que puede realizar mediciones de campo sobre los cables e indicarnos si pueden producir algún tipo de alteración sobre nuestros sistemas.

CABLEADO DE TELEFONÍA

Poco más que añadir sobre el cableado de telefonía. Deberemos observar que el cableado tiene la calidad y está homologado según la normativa del país donde nos encontremos. Deberemos tener también en cuenta lo dicho en el apartado anterior y mantenerlo lejos del cableado eléctrico que transporte mucha potencia. Por lo demás el cableado de telefonía no suele dar ningún tipo de problemas, más que los puramente físicos como seccionamientos del cable, conectores mal montados o defectuosos y cosas así.

Como con el cableado de red deberemos proteger de alguna forma el cableado de telefonía, para prever la posible actuación de un intruso malintencionado que pueda seccionar el cable y dejarnos sin comunicaciones. Es fundamental poder comprobar el cableado mediante aparatos fabricados a tal efecto de forma sencilla, para detectar roturas o seccionamientos del cable si tenemos el cable protegido por algún tipo de entubado o integrado en la estructura del edificio.

CABLEADO DE REDES

El cableado de redes es más sensible a las perturbaciones electromagnéticas que el cableado de telefonía, por transportar datos a una mayor frecuencia. Asumimos que estamos hablando de cable tipo Ethernet del comúnmente instalado hoy en día.

Un caso diferente sería el antiguo cableado coaxial, que se recomienda sustituir por el nuevo cableado Ethernet o el cableado de fibra óptica, que no sufre perturbaciones electromagnéticas y que tiene como único punto débil a estudiar su fragilidad, que no permite determinadas instalaciones, así como la mayor complejidad de sus conectores.

En el caso del cableado Ethernet normal a 10M o 100M que se suele instalar en las redes departamentales o locales deberemos estudiar el cableado, observando que esté protegido mediante entubado o integrado en la estructura del edificio, además de observar que no se encuentre cercano a conducciones de electricidad de alta potencia que puedan crear interferencias electromagnéticas sobre el cableado de red. Se deberán tomar las medidas precisas para evitar el

18

supuesto seccionamiento del cable por parte de un intruso malintencionado y un método de comprobación mediante dispositivos de comprobación de redes que nos permita encontrar posibles fallos en el cableado.

2.2.1.4. PLANIFICACIÓN DEL ESPACIO PARA HARDWARE, DISP. Y MONTAJE EN RACKS Una mala planificación del espacio destinado a contener nuestro hardware o nuestros dispositivos de red puede llevarnos a prácticas contrarias a la consecución de una buena seguridad física. Por ejemplo si no hemos planificado suficiente espacio en uno de nuestros armarios o racks para montar un dispositivo de red podemos vernos obligados a montar este dispositivo fuera del armario con lo que cualquiera podrá acceder a las conexiones y puertos del dispositivo.

Es aconsejable sobredimensionar los armarios y racks de montaje de equipos en el momento de su compra previendo futuras ampliaciones que impliquen la instalación de nuevos equipos o dispositivos de red, esto solo puede hacerse normalmente en el momento de la compra, obligándonos en otro caso a adquirir otro armario o rack si nos quedamos sin espacio. Es un punto a tener en cuenta cuando se planifica una nueva red o cuando se va a ampliar una red existente.

Si observamos que existen dispositivos de red, servidores NAS o servidores de aplicaciones fuera de los racks protegidos con llave o de los armarios ignífugos se aconsejará siempre la compra de nuevos armarios para contener estos dispositivos.

Uno de los aspectos que se suelen descuidar cuando se adquieren o montan racks o armarios ignífugos es la ubicación de los UPS. Los UPS deberán ir dentro de los armarios, por ser un punto de fallo de todo el sistema y por tanto un sistema a proteger con especial cuidado.

LOCALIZACIÓN FÍSICA DEL HARDWARE

La localización física del hardware puede afectar enormemente a la seguridad física del sistema, pues un sistema donde las máquinas estén expuestas a la manipulación del usuario final o de supuestos intrusos será un sistema poco seguro. Es aconsejable mantener los dispositivos de red y los servidores en un lugar centralizado, idealmente un centro de datos donde podamos tener las medidas de seguridad física indicadas anteriormente y donde el control de acceso permita saber quien, cuando y porqué ha accedido físicamente a alguno de los dispositivos.

Se aconseja el uso de armarios ignífugos correctamente ventilados con racks donde se instalarán los dispositivos de red y los servidores, correctamente cableados y teniendo en cuenta la seguridad física de este cableado.

Estos armarios deben tener cerraduras lo suficientemente seguras para impedir el acceso a un supuesto intruso malintencionado y con la capacidad de realizar Lock Picking (Manipulación de

19

cerraduras). El acceso a los armarios deberá estar controlado y se deberá crear una política de acceso a los armarios, donde se apuntará de alguna de las formas anteriormente indicadas cada acceso a los dispositivos de red y servidores alojados en el armario, la persona que ha accedido y las manipulaciones que en su caso pueda haber realizado.

Siempre que se realice algún tipo de ampliación de equipos o modificación del hardware en los armarios por personal externo a la empresa o al departamento encargado de la administración del hardware deberá dejarse muy claro mediante una serie de políticas de acceso lo que puede o no puede hacerse.

Siempre que sea posible se preverá la posibilidad de atacantes o intrusos malintencionados que tengan acceso físico al hardware, pues aunque tomemos todas las medidas posibles contra el acceso físico al hardware siempre deberemos asegurar también el mismo hardware en previsión de accesos no deseados.

2.2.1.5. CONTROLES DE ACCESO

Otro de los componentes que existen para un CPD son los mecanismos de Control de Acceso, los cuales “…están diseñados para proteger a la entidad contra los accesos no autorizados. Estos controles deben limitar el acceso solo a las personas que estén autorizadas por la Gerencia. Esta autorización puede ser explicita, como la cerradura de puerta para la cual la gerencia le haya autorizado tener una llave; o implícita, como en la descripción de un puesto de trabajo que implica una necesidad de tener acceso a reportes y a documentos sensitivos”¹³.

De los tipos de controles de acceso se encuentran los siguientes:

¾ Bitácoras Manuales

¾ Dispositivos Biométricos

¾ Dispositivos de Proximidad LOS ACCESOS FÍSICOS AL EDIFICIO

Debemos tener en cuenta que el edificio tiene una serie de accesos obvios y otros no tan obvios que un intruso puede usar para entrar en nuestras instalaciones. Los obvios son las puertas principales de acceso y las ventanas que se encuentran cercanas a la calle. Los no tan obvios son las puertas de servicio, las ventanas superiores, las claraboyas, los accesos de mantenimiento o los sistemas de ventilación o calefacción.

13Manual de Preparación al Examen CISA 2008, Edición CRM-8S, pag. 572

20

Debemos realizar un estudio de la estructura del edificio, incluyendo si es necesario el estudio de los planos arquitectónicos de este si es necesario. Es imprescindible ser paranoicos en este aspecto de la seguridad física del edificio, puesto que un intruso dentro del edificio es la mayor amenaza que podemos tener, incluso con todos nuestros sistemas de seguridad física desplegados. Nuestros sistemas de seguridad física pueden ser difíciles de sobrepasar, pero un intruso con el suficiente tiempo y que pueda usar la fuerza bruta sobre nuestros armarios o racks sin ser detectado tendrá siempre todas las de ganar. Debemos por todos los medios impedir el acceso a los potenciales intrusos, ya sea mediante la utilización de rejillas resistentes en las zonas de acceso y cerraduras de seguridad en las puertas y ventanas de acceso, o ya sea mediante la contratación de una vigilancia suficiente para asegurar que ningún intruso pueda acceder al edificio sin que sea detectado. El nivel de paranoia que debemos emplear para aconsejar estas medidas de seguridad es directamente proporcional a lo crítico que sean los datos que debemos proteger.

No es lo mismo un simple edificio de oficinas que la central de un banco, por ejemplo. En el primero aconsejaremos cerraduras de seguridad, rejillas y vigilancia general del edificio, en el segundo aconsejaremos todo tipo de medidas de seguridad físicas como puertas blindadas, rejas de acero o rejillas soldadas, y además vigilancia mediante personas y cámaras en cada una de las plantas del edificio y sobre todo en las salas de máquinas que puedan contener datos críticos o sistemas que puedan dejar el sistema de computación del edificio inutilizado.

Podemos realizar una distinción entre la vigilancia en horas de oficina y cuando el edificio está cerrado. En las primeras centraremos nuestra atención en la vigilancia de los accesos al edificio, utilizando tarjetas de identificación para nuestros empleados y para el personal que deba acceder a zonas con seguridad y controlando a todas las personas que entren y salgan del edificio. Cuando el edificio está cerrado centraremos nuestra atención en la vigilancia por medio de cámaras, en los accesos menos obvios al edificio y en las posibilidades de que un intruso pueda forzar algún medio de entrada al edificio.

Es posible contratar a un especialista en puertas y cerraduras para comprobar la seguridad de los accesos al edificio y dentro del edificio. También es posible aplicar alguna de las Lock Licking Guides que se encuentran en Internet si somos los suficientemente hábiles como para comprobar una cerradura por nosotros mismos, aunque es muy posible que sea más sencillo y eficaz la contratación de un especialista.

EL ACCESO AL CENTRO DE COMPUTACIÓN

Si contamos en el edificio con un centro de computación o data center deberemos comprobar la seguridad física específica de esa habitación en concreto, por ser esta crítica para nuestros sistemas. Un centro de computación debe tener unas características especiales en cuanto a

21

seguridad que no son necesarias en otros puntos del edificio. Debe tener un sistema de acceso suficientemente seguro, preferiblemente con una puerta blindada y siempre que sea posible con personal de vigilancia que compruebe el acceso por medio de tarjetas de identificación o medios similares. También es posible el uso de sistemas de identificación biométrica, por medio de claves temporales tipo Opie o similares. El acceso físico debe ser todo lo seguro que sea posible, vigilando que la puerta sea lo suficientemente sólida y la cerradura los suficientemente segura. No es difícil el estudio de seguridad física del acceso a un data center, pero es complicado el crear un sistema seguro de control de acceso, siendo aconsejable el tener personal de vigilancia que compruebe las identificaciones de forma inequívoca y que apunte en un sistema todos los accesos que se produzcan al data center.

En cuanto a la estructura física deberemos tener un suministro eléctrico asegurado, para lo que tomaremos las medidas que hemos indicado más arriba para el edificio, incluido un panel de protecciones para el datacenter que pueda protegerlo y aislarlo de otras secciones del edificio.

Deberemos tener también un sistema de conexión a la red corporativa asegurado, mediante varias conexiones redundantes que permitan que una falle y que el edificio pueda seguir accediendo al centro de computación. Si el sistema debe tener conexión a redes públicas se proporcionará una conexión redundante que permita el fallo de al menos una de las vías de acceso.

Es imprescindible un sistema de aire acondicionado si tenemos suficiente hardware en el centro de computación. Es aconsejable tener algún método de monitorización de la temperatura y la humedad de la sala para mantener unas condiciones óptimas para los equipos que mantengamos en la sala de computación.

También es imprescindible un sistema de detección de incendios, que pueda avisar rápidamente al personal encargado si se produce algún incendio en la sala. Siempre que sea posible se tendrá alimentación redundante para todo el sistema de computación y luego para cada equipo en particular.

ACCESO FÍSICO AL HARDWARE

El acceso físico al hardware sea este computadoras o dispositivos de red deberá ser restringido, teniendo en cuenta las necesidades de cada departamento o usuario. Se debe hacer aquí una distinción entre los equipos de red y servidores departamentales o corporativos y las máquinas de usuario final.

Los equipos de red importantes como routers, pasarelas y concentradores deberán estar en un lugar donde exista un control de acceso, ya sea mediante vigilancia por medio de personas o mediante el aislamiento de las salas o armarios donde estos se encuentren por medio de cerraduras o sistemas de control de acceso mediante tarjetas, claves o control biométrico. Para