viernes, 4 de febrero de 2011

RESPALDO DE INFORMACION

RESPALDO DE INFORMACION

El respaldo de información es un proceso muy importante que debe de tener cada empresa este debe de realizarse en sus computadoras, sea un equipo portátil o un equipo de escritorio. El contar con respaldos permite al usuario en algún momento dado recuperar información que haya sido dañada por virus, fallas en el equipo o por accidentes.
El respaldo se realiza cada mes para que la información se encuentre lo más actualizado posible, estos serán almacenados dependiendo de las necesidades de la empresa,  ya que pueden realizarse en diferentes dispositivos de almacenaje como los siguientes:
  • CD-RW
  • DVD-RW
  • HD HARD DISC
Para realizar esta actividad se realiza haciendo perfiles de cada una de las  computadoras que se hacen de manera manual la primera vez y las siguientes en forma automática, esto facilita la operación y ofrece la ventaja que se puede trabajar de manera eficiente.
 Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Muchos medios magnéticos como las cintas de respaldo, los disquetes, o discos duros tienen probabilidades de error o son particularmente sensibles a campos magnéticos, elementos todos que atentan contra la información que hemos respaldado allí.
Otras veces la falta de confiabilidad se genera al rehusar los medios magnéticos. Las cintas en particular tienen una vida útil concreta. Es común que se subestime este factor y se reutilicen más allá de su vida útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el peor momento: cuando necesitamos RECUPERAR la información.
2. Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo de información, el soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un lugar seguro tanto desde el punto de vista de sus requerimientos técnicos como humedad, temperatura, campos magnéticos, como de su seguridad física y lógica. No es de gran utilidad respaldar la información y dejar el respaldo conectado a la computadora donde
potencialmente puede haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan completamente al recuperar estos datos al sistema informático. Esto depende de la efectividad y calidad del sistema que realiza el respaldo y la recuperación. 
Esto nos lleva a que un sistema de respaldo y recuperación de información tiene que ser probado y eficiente.

Seguridad física y lógica:
Puede llegar a ser necesario eliminar los medios de entrada/salida innecesarios en algunos sistemas informáticos, tales como disqueteras y cdroms para evitar posible infecciones con virus traídos desde el exterior de la empresa por el personal, o la extracción de información de la empresa. 
Las copias de seguridad son uno de los elementos más importantes y que requieren mayor atención a la hora de definir las medidas de seguridad del sistema de información, la misión de las mismas es la recuperación de los ficheros al estado inmediatamente anterior al momento de realización de la copia

Volumen de información a copiar
Condicionará las decisiones que se tomen sobre la política de copias de seguridad, en una primera consideración está compuesto por el conjunto de datos que deben estar incluidos en la copia de seguridad, sin embargo, se pueden adoptar diferentes estrategias respecto a la forma de la copia, que condicionan el volumen de información a copiar, para ello la copia puede ser:

Copiar sólo los datos, poco recomendable, ya que en caso de incidencia, será preciso recuperar el entorno que proporcionan los programas para acceder a los mismos, influye negativamente en el plazo de recuperación del sistema.

Copia completa, recomendable, si el soporte, tiempo de copia y frecuencia lo permiten, incluye una copia de datos y programas, restaurando el sistema al momento anterior a la copia.

Copia incremental, solamente se almacenan las modificaciones realizadas desde la última copia de seguridad, con lo que es necesario mantener la copia original sobre la que restaurar el resto de copias. Utilizan un mínimo espacio de almacenamiento y minimizan el tipo de desarrollo, a costa de una recuperación más complicada.

Copia diferencial, como la incremental, pero en vez de solamente modificaciones, se almacenan los ficheros completos que han sido modificados. También necesita la copia original.

Tiempo disponible para efectuar la copia
El tiempo disponible para efectuar la copia de seguridad es importante, ya que el soporte utilizado, unidad de grabación y volumen de datos a almacenar, puede hacer que el proceso de grabación de los datos dure horas, y teniendo en cuenta que mientras se efectúa el proceso es conveniente no realizar accesos o modificaciones sobre los datos objeto de la copia, este proceso ha de planificarse para que suponga un contratiempo en el funcionamiento habitual del sistema de información. 

Soporte utilizado
Es la primera decisión a tomar cuando se planea una estrategia de copia de seguridad, sin embargo esta decisión estará condicionada por un conjunto de variables, tales como la frecuencia de realización, el volumen de datos a copiar, la disponibilidad de la copia, el tiempo de recuperación del sistema, etc.
Entre los soportes más habituales, podemos destacar las cintas magnéticas, discos compactos (como las unidades de Iomega Zip y Jazz), grabadoras de CD-ROM o cualquier dispositivo capaz de almacenar los datos que se pretenden salvaguardar

Frecuencia de realización de copias de seguridad
La realización de copias de seguridad ha de realizarse diariamente, éste es el principio que debe regir la planificación de las copias, sin embargo, existen condicionantes, tales como la frecuencia de actualización de los datos, el volumen de datos modificados, etc, que pueden hacer que las copias se realicen cada más tiempo.

Planificación de la copia
Las copias de seguridad se pueden realizar en diferentes momentos día, incluso en diferentes días, pero siempre se han de realizar de acuerdo a un criterio, y este nunca puede ser "cuando el responsable lo recuerda", si es posible, la copia se debe realizar de forma automática por un programa de copia, y según la configuración de éste, se podrá realizar un día concreto, diariamente, semanalmente, mensualmente, a una hora concreta, cuando el sistema esté inactivo, ..., etc, todos estos y muchos más parámetros pueden estar presentes en los programas que realizan las copias de seguridad y deben permitirnos la realización únicamente de las tareas de supervisión.

Mecanismos de comprobación
Se deben definir mecanismos de comprobación de las copias de seguridad, aunque los propios programas que las efectúan suelen disponer de ellos para verificar el estado de la copia, es conveniente planificar dentro de las tareas de seguridad la restauración de una parte de la copia o de la copia completa periódicamente, como mecanismo de prueba y garantía.

Responsable del proceso
La mejor forma de controlar los procesos que se desarrollan en el sistema de información, aunque estos estén desarrollados en una parte importante por el propio sistema, es que exista un responsable de la supervisión de que " lo seguro es seguro", para ello se debe designar a una persona que incluya entre sus funciones la supervisión del proceso de copias de seguridad, el almacenamiento de los soportes empleados en un lugar designado a tal fin e incluso de la verificación de que las copias se han realizado correctamente.

Medidas de Seguridad
Respecto a las copias de seguridad, se deben tener en cuenta los siguientes puntos:
Deberá existir un usuario del sistema, entre cuyas funciones esté la de verificar la correcta aplicación de los procedimientos de realización de las copias de respaldo y recuperación de los datos.
Los procedimientos establecidos para la realización de las copias de seguridad deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
Deberán realizarse copias de respaldo al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos

CLASIFICACIÓN DE RESPALDOS
  
Copias de Información (Backups).
 Estos respaldos son sólo duplicados de archivos que se guardan en "Tape Drives" de alta capacidad. Los archivos que son respaldados pueden variar desde archivos del sistema operativo, bases de datos , hasta archivos de un usuario común. Existen varios tipos de Software que automatizan la ejecución de estos respaldos, pero el funcionamiento básico de estos paquetes depende del denominado archive bit. Este archive bit indica un punto de respaldo y puede existir por archivo o al nivel de "Bloque de Información" (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado para los respaldos así como el archivo que sea respaldado. Este mismo archive bit es activado en los archivos (o bloques) cada vez que estos sean modificados y es mediante este bit que se llevan a cabo los tres tipos de respaldos comúnmente utilizados:

Respaldo Completo ("Full"): Guarda todos los archivos que sean especificados al tiempo de ejecutarse el respaldo. El archive bit es eliminado de todos los archivos (o bloques), indicando que todos los archivos ya han sido respaldados.

Respaldo de Incremento ("Incremental"): Cuando se lleva a cabo un Respaldo de Incremento, sólo aquellos archivos que tengan el archive bit serán respaldados; estos archivos (o bloques) son los que han sido modificados después de un Respaldo Completo. Además cada Respaldo de Incremento que se lleve a cabo también eliminará el archive bit de estos archivos (o bloques) respaldados.

Respaldo Diferencial ("Differential"): Este respaldo es muy similar al "Respaldo de Incremento", la diferencia estriba en que el archive bit permanece intacto

Secuencia de Respaldo GFS (Grandfather-Father-Son)
Esta secuencia de respaldo es una de las más utilizadas y consiste en Respaldos Completos cada semana y Respaldos de Incremento o Diferenciales cada día de la semana

Duplicado de Información en Línea (RAID)

RAID ("Redundant Array of Inexpensive Disks") en palabras simples es: un conjunto de 2 o más "Discos Duros" que operan como grupo y logran ofrecer una forma más avanzada de respaldo ya que:
Es posible mantener copias en línea ("Redundancy").
Agiliza las operaciones del Sistema (sobre todo en bases de datos.)
El sistema es capaz de recuperar información sin intervención de un Administrador.
Existen varias configuraciones de Tipo RAID, sin embargo, existen 4 tipos que prevalecen en muchas Arquitecturas:

RAID-0: En esta configuración cada archivo es dividido ("Striped") y sus fracciones son colocadas en diferentes discos. Este tipo de implementación sólo agiliza el proceso de lectura de archivos, pero en ningún momento proporciona algún tipo de respaldo ("redundancy").

RAID-1: En orden ascendente, este es el primer tipo de RAID que otorga cierto nivel de respaldo; cada vez que se vaya a guardar un archivo en el sistema éste se copiara integro a DOS discos (en línea), es por esto que RAID-1 también es llamado "Mirroring".
Además de proporcionar un respaldo en caliente ("hot") en dado caso de fallar algún disco del grupo, RAID-1 también agiliza la lectura de archivos (si se encuentran ocupadas las cabezas de un disco "I/O") ya que otro archivo puede ser leído del otro disco y no requiere esperar a finalizar el "I/O" del primer disco. 

RAID-3: Esta configuración al igual que RAID-0 divide la información de todos los archivos ("Striping") en varios discos, pero ofrece un nivel de respaldo que RAID-0 no ofrece. En RAID-0 si falla un disco del grupo, la Información no puede ser recuperada fácilmente, ya que cada disco del grupo contiene una fracción del archivo, sin embargo RAID-3 opera con un disco llamado "de paridad" ("parity disk"). Este "disco de paridad" guarda fracciones de los archivos necesarias para recuperar toda su Información, con esto, es posible reproducir el archivo que se perdió a partir de esta información de paridad.

RAID-5: El problema que presenta RAID-3 es que el "disco de paridad" es un punto crítico en el sistema; ¿qué ocurre si falla el disco de paridad ? Para resolver este problema RAID-5, no solo distribuye todos los archivos en un grupo de discos ("Striping"), sino también la información de paridad es guardada en todos los discos del sistema ("Striping"). Este configuración RAID suele ser usada en sistemas que requieren un "alto nivel" de disponibilidad, inclusive con el uso de "Hot-Swappable Drives" es posible substituir y recuperar la Información de un disco dañado, con mínima intervención del Administrador y sin la necesidad de configurar o dar "reboot" al sistema. 

DISPOSITIVOS DE ALMACENAMIENTO

 Existen diferentes tipos de dispositivos de almacenamiento, los cuales se pueden utilizar en función de las necesidades de cada empresa y persona y será de acuerdo al volumen de información que se maneje, solamente mencionaremos de cada dispositivo las principales características, ventajas y desventajas.
Pero antes vamos a explicar un poco las tecnologías que usan estos dispositivos.

Tecnologías: óptica y magnética
 Para grabar datos en un soporte físico más o menos perdurable se usan casi en exclusiva estas dos tecnologías. La magnética se basa en la histéresis magnética de algunos materiales y otros fenómenos magnéticos, mientras que la óptica utiliza las propiedades del láser y su alta precisión para leer o escribir los datos. Vamos a explicar las características prácticas de cada una de ellas.
La tecnología magnética para almacenamiento de datos se lleva usando desde hace decenas de años, tanto en el campo digital como en el analógico. Consiste en la aplicación de campos magnéticos a ciertos materiales cuyas partículas reaccionan a esa influencia, generalmente orientándose en unas determinadas posiciones que conservan tras dejar de aplicarse el campo magnético.
Dispositivos magnéticos existen infinidad; desde las casetes o las antiguas cintas de música hasta los modernos Zip y Jaz, pasando por disqueteras, discos duros y otros similares. Todos se parecen en ser dispositivos grabadores a la vez que lectores, en su precio relativamente bajo por MB (lo que se deriva de ser tecnologías muy experimentadas) y en que son bastante delicados.
 Les afectan las altas y bajas temperaturas, la humedad, los golpes y sobre todo los campos magnéticos.

DISPOSITIVOS DE ALMACENAMIENTO

Unidades de disquete
Por muy antiguo que sea un computador, siempre dispone de al menos uno de estos aparatos. Su capacidad es insuficiente para las necesidades actuales, pero cuentan con la ventaja que les dan los muchos años que llevan como estándar absoluto para almacenamiento portátil. Los precios son variados
 Los disquetes tienen fama de ser unos dispositivos muy poco fiables en cuanto al almacenaje a largo plazo de la información; y en efecto, lo son. Les afecta todo lo imaginable: campos magnéticos, calor, frío, humedad, golpes, polvo.


Discos duros
Son otro de los elementos habituales en los computadores, al menos desde los tiempos del 286. Un disco duro está compuesto de numerosos discos de material sensible a los campos magnéticos, apilados unos sobre otros; en realidad se parece mucho a una pila de disquetes sin sus fundas y con el mecanismo de giro y el brazo lector incluido en la carcasa. Los precios son muy variados, dependiendo de la tecnología. 

Dispositivos removibles 
Estos dispositivos no aparecen actualmente de manera estándar en la configuración de un PC. Se denominan removibles porque graban la información en soportes (discos o cartuchos) que se pueden remover, extraer.
 La clasificación hace referencia a su capacidad de almacenamiento, por ser ésta una de las principales características que influyen en la compra o no de uno de estos periféricos, pero para hacer una compra inteligente se deben tener en cuenta otros parámetros que se comentan en la explicación como velocidad, durabilidad, portabilidad y el más importante de todos: su precio.

Dispositivos hasta 250 MB de capacidad
 Son dispositivos que buscan ofrecer un sustituto de la disquetera, pero sin llegar a ser una opción clara como backup (copia de seguridad) de todo un disco duro. Hoy en día muchos archivos alcanzan fácilmente el megabyte de tamaño, y eso sin entrar en campos como el CAD o el tratamiento de imagen digital, donde un archivo de 10 MB es muy común.
 Por ello, con estos dispositivos podemos almacenar fácil y rápidamente cada proyecto en un disco o dos, además de poder realizar copias de seguridad selectivas de los datos del disco duro, guardando sólo los archivos generados por las aplicaciones y no los programas en sí.

Zip (Iomega) - 100 MB
Ventajas: portabilidad, reducido formato, precio global, muy extendido
Desventajas: capacidad reducida, incompatible con disquetes de 3,5"
 Estos discos son dispositivos magnéticos un poco mayores que los clásicos disquetes de 3,5 pulgadas, aunque mucho más robustos y fiables, con una capacidad sin compresión de 100 MB una vez formateados.
Este tamaño les hace inapropiados para hacer copias de seguridad del disco duro completo, aunque idóneos para archivar todos los archivos referentes a un mismo tema o proyecto en un único disco. Su velocidad de transferencia de datos no resulta comparable a la de un disco duro actual, aunque son decenas de veces más rápidos que una disquetera tradicional (alrededor de 1 MB/s para la versión SCSI).
 En todo caso, los discos son bastante resistentes, pero evidentemente no llegan a durar lo que un CD-ROM o un magneto-óptico. 

SuperDisk LS-120 - 120 MB (Imation/Panasonic)
Ventajas: reducido formato, precio global, compatibilidad con disquetes 3,5"
Desventajas: capacidad algo reducida, menor aceptación que el Zip
Estos discos son la respuesta a la cada vez más común desesperación del usuario que va a grabar su trabajo en un disquete y se encuentra con que supera los 1,44 MB. El SuperDisk, que aparenta ser un disquete de 3,5" algo más grueso, tiene 120 MB de capacidad. Sin embargo existen rumores sobre la descontinuación de estos dispositivos.

Dispositivos hasta 2 GB de capacidad
A estos dispositivos se les podría denominar multifuncionales; sirven tanto para guardar grandes archivos o proyectos de forma organizada, como para realizar copias de seguridad del disco duro de forma cómoda e incluso como sustitutos de un segundo disco duro, o incluso del primero.

Grabadores de CD-ROM
No hace falta enumerar las ventajas que tiene el poseer uno de estos aparatos, sobre todo en casa. Las velocidades de lectura y escritura han aumentado mucho, y su precio los hace asequibles.

Jaz (Iomega) - 1 GB ó 2 GB
Ventajas: capacidad muy elevada, velocidad, portabilidad
Desventajas: inversión inicial, no tan resistente como un magneto-óptico, cartuchos relativamente caros.
Las cifras de velocidad son: poco más de 5 MB/s y menos de 15 ms. Esto es porque es prácticamente un disco duro al que sólo le falta el elemento lector-grabador, que se encuentra en la unidad.
Por ello, posee las ventajas de los discos duros: gran capacidad a bajo precio y velocidad, junto con sus inconvenientes: información sensible a campos magnéticos, durabilidad limitada en el tiempo, relativa fragilidad. 

Dispositivos de más de 2 GB de capacidad
 En general podemos decir que en el mundo PC sólo se utilizan de manera común dos tipos de dispositivos de almacenamiento que alcancen esta capacidad: las cintas de datos y los magneto-ópticos de 5,25". Las cintas son dispositivos orientados específicamente a realizar copias de seguridad masivas a bajo coste, mientras que los magneto-ópticos de 5,25" son mucho más versátiles, y muchísimo más caros.

Cintas magnéticas de datos - hasta más de 4 GB
  
Ventajas: Precios asequibles, muy extendidas, enormes capacidades
Desventajas: extrema lentitud, útiles sólo para backups
Las cintas de datos no tienen un tamaño mayor a las de música o las cintas de vídeo de 8 mm.
Los datos se almacenan secuencialmente, por lo que si quiere recuperar un archivo que se encuentra a la mitad de la cinta se deberá esperar varias decenas de segundos hasta que la cinta llegue a esa zona; y además, los datos no están en exceso seguros, ya que como dispositivos magnéticos les afectan los campos magnéticos, el calor, etc, además del propio desgaste de las cintas. A continuación veremos algunos modelos.

Las cintas DAT (Digital Audio Tape)
El acceso sigue siendo secuencial, pero la transferencia de datos continua (lectura o escritura) puede llegar a superar 1 MB/s. Sin embargo, el precio resulta prohibitivo para un uso no profesional, ya que su costo es alto.

Dispositivos magneto-ópticos
Ventajas: versatilidad, velocidad, fiabilidad, enormes capacidades
Desventajas: precios elevados
Los magneto-ópticos de 5,25" se basan en la misma tecnología que sus hermanos pequeños de 3,5", por lo que atesoran sus mismas ventajas: gran fiabilidad y durabilidad de los datos a la vez que una velocidad razonablemente elevada.
Hp surestore optical 5200ex
Disco óptico 5,25" (5,2GB),

Software de respaldo y respaldo "On Line"
Algunos software y servicios que nos ayudan a mantener un orden en nuestros respaldos, los cuales podemos clasificarlos en:

Software de respaldo tradicional: Con estos productos, podemos elegir los archivos o carpetas a guardar, seleccionar un dispositivo de almacenamiento, y ejecutar el respaldo sin ayuda.

Software de respaldo de fondo: Ideal para los usuarios que no tienen una "disciplina" en respaldar su información. Estos programas hacen una copia de los archivos en forma automática, "sin molestar".
Los servicios de respaldo en Internet tienen muchas ventajas: guardan la información fuera del lugar de trabajo y evitan tener que intercambiar medios.

Servicios de respaldo en Internet.  Hay algunos servicios que dan capacidad de almacenamiento en Internet. Para esto, se contrata un plan y la compañía asigna cierta capacidad, (estos son los costos aproximados):


Publicado por en 3 comentarios:

miércoles, 12 de enero de 2011

AUDITORIA INFORMATICA

Auditoría
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la auditoría externa de estados financieros que es una auditoría realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino “Audire”, que significa “oír”. Esta denominación proviene de su origen histórico, ya que los primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a su verificación principalmente oyendo
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas
De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.


Auditoria informática

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa 
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.
Los objetivos de la auditoría Informática son:
   * El control de la función informática
   * El análisis de la eficiencia de los Sistemas Informáticos
   * La verificación del cumplimiento de la Normativa en este ámbito
   * La revisión de la eficaz gestión de los recursos informáticos.

Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes. La auditoría informática sirve para mejorar ciertas características en la empresa como:
   - Eficiencia
   - Eficacia
   - Rentabilidad
   - Seguridad

Auditoría Interna y Auditoría Externa:
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:
  • Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
  • Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
  • Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
  • Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente
Alcance de la Auditoría Informática:
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente
.

Auditoría Informática de Explotación:
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.
Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.


Planificación y Recepción de Aplicaciones:
Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. En muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.
Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.
Operación salas de Ordenadores:
Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo. Se verificará la existencia de un responsable de Sala en cada turno de trabajo. Se analizará el grado de automatización de comandos, se verificara la existencia y grado de uso de los Manuales de Operación. Se analizará no solo la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el último Curso recibido. Se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real. Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan.
Centro de Control de Red y Centro de Diagnosis:
El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas. Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos. Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todas las líneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que más contribuyen a configurar la imagen de la Informática de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito de Usuario.



Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:
  • Prerrequisitos del Usuario (único o plural) y del entorno
  • Análisis funcional
  • Diseño
  • Análisis orgánico (Pre programación y Programación)
  • Pruebas
  • Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.
Como este sistema para auditar y dar el alta a una nueva Aplicación es bastante ardua y compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicación use la Aplicación como si la estuviera usando en Producción para que detecte o se denoten por sí solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto está bien"). Todo este testeo, auditoría lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo, que esté involucrado tanto el cliente como el desarrollador y que estos defectos se corrijan. Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo.




Auditoría Informática de Sistemas:
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Software Básico:
Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas.

Software de Teleproceso (Tiempo Real):
No se incluye en Software Básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también.
Tunning:
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar:
  • Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
  • De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.
El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.
Optimización de los Sistemas y Subsistemas:
Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará que las acciones de optimización* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria de Explotación.
Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicación.
Administración de Base de Datos:
El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su administración. Los auditores de Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general de los usuarios de Bases de Datos.
La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.
Investigación y Desarrollo:
Como empresas que utilizan y necesitan de informáticas desarrolladas, saben que sus propios efectivos están desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo competencia a las Compañías del ramo. La auditoría informática deberá cuidar de que la actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.
La propia existencia de aplicativos para la obtención de estadísticas desarrollados por los técnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visión bastante exacta de la eficiencia y estado de desarrollo de los Sistemas
Auditoría Informática de Comunicaciones y Redes:
Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).
El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización. 
Auditoría de la Seguridad informática
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.
La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.
El sistema integral de seguridad debe comprender:
  • Elementos administrativos
  • Definición de una política de seguridad
  • Organización y división de responsabilidades
  • Seguridad física y contra catástrofes (incendio, terremotos, etc.)
  • Prácticas de seguridad del personal
  • Elementos técnicos y procedimientos
  • Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
  • Aplicación de los sistemas de seguridad, incluyendo datos y archivos
  • El papel de los auditores, tanto internos como externos
  • Planeación de programas de desastre y su prueba.



Herramientas y Técnicas para la Auditoría Informática
 
Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.


Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
  1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
  2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
  3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios



Checklists:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus cuestionarios, de sus Checklists

Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo
Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente <paquetes de auditoría>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.













Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)