Contenido de la unidad

Presentacion

MATERIA: AUDITORIA EN INFORMATICA

CATEDRATICO: RODRIGUEZ RODRIGUEZ NORMA

AlUMNOS: PEREZ PEREZ MARGARITA GPE.

               VERGARA PEREZ MIRELLE GPE.

UNIDAD: 3 "AUDITORIA DE HARDWARE"

CONTENIDO


3.1 Finalidad de la evaluacion del hardware

 Objetivo:

Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).

HARDWARE: Si la empresa tiene aspectos predefinidos para la evaluación del hardware, se tomarán en cuenta esos lineamientos.

¿Qué se evalúa?

·     Distribución del hardware (ubicación física)

·     Registro del hardware instalado, dado de baja, proceso de adquisición, etc.

·     Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de                  decisiones.

·     Acceso al hardware (llaves de seguridad)

·     Bitácoras de uso (quién, cuando, para qué, entre otros puntos)

¿Qué se evalúa?

·    Donde está el No-Break

·    El aire acondicionado

·    Equipos contra incendios

·    Algo que es muy importante es que se tomen en cuenta si el edificio no es vulnerable     o bien, esta preparado para cualquier tipo de desastre, inundación, huracán, temblor      etc…

·    Salidas de emergencia

·    Que la información que sale de la empresa, sea:

·    Revisado (contenido, cantidad, destino)

·    Aprobado por el responsable del área

·    El personal este comprometido formalmente a no hacer mal uso del mismo (dañarlo,      modificarlo, distribuirlo).

3.2 Requerimientos para la evaluacion del hardware

Organización de este documento

La primer sección establece los requerimientos de Hardware para la instalación de O3 BI en un equipo, detallando los recursos necesarios.

La segunda sección provee medidas de ejemplo para los requerimientos de dos datamarts específicos. Tales mediciones incluyen espacio de almacenamiento en disco utilizado, así como parámetros de memoria. Esta sección debe ser considerada como un ejemplo únicamente y no debe tomarse como la definición general de los recursos necesarios para cada modelo de O3 BI sin atender características particulares de cada caso.

Requerimientos de Hardware

Clasificación de los entornos de Producción con O3 BI

Ideasoft O3 BI es un producto extremadamente flexible que puede ser aplicado en escenarios diversos que presentan modalidades de uso y contextos sumamente variados. El producto se adapta a estos distintos escenarios con excelentes características, gracias a un conjunto de características técnicas avanzadas, que comienzan en su plataforma tecnológica, se sustentan en una arquitectura de vanguardia y en algoritmos multidimensionales potentes y en el diseño de un conjunto de mecanismos orientados a brindar alta escalabilidad.

Para brindar recomendaciones de hardware, es necesario considerar esa amplitud de escenarios para identificar en cada caso para cuál de esos entornos deber ser dimensionada una instalación. También es necesario considerar el propósito que se dará a la instalación, ya que una instalación puede estar dirigida a la producción en escenarios de alta demanda o en el otro extremo, al uso individual en un laptop, a la evaluación con casos simples o el desarrollo por una única persona.

El otro elemento a tomar en cuenta es la escalabilidad de la propia infraestructura. La infraestrcutura de hardware sigue avazando en la dirección de brindar equipos con gran capacidad de escalabilidad, que debe ser considerada al momento de hacer una recomendación para un propósito concreto. La mejor inversión en software y hardware es aquella que acompaña con elasticidad las necesidades concretas que se van planteando con el tiempo. El sobre-dimensionamiento de un equipo en etapas iniciales va a afectar el retorno de la inversión sin brindar un resultado concreto. La continua baja de precios de hardware hace conveniente, en casos donde se prevén crecimientos, optar por arquitecturas o esquemas de virtualización con capacidad de escalar en forma económica. Por ello, no sólo vamos a recomendar o proponer equipos posibles, sino también las características de escalabilidad que deberían tenerse en cuenta en algunos escenarios. O3 BI está preparado para aprovechar extensivamente la capacidad de escalamiento de las arquitecturas de hardware modernas tanto en lo que respecta a múltiples cores, memoria interna, redes de alta velocidad, clusters, esquemas de virtualización y cloud computing.

También debe ser tenida en cuenta la cantidad de componentes de O3 BI que se llevarán a producción. Por ejemplo, el uso de O3 Enterprise Portal o de Clientes Web van a poner mayor demanda de recursos sobre el equipo Servidor, pero menor en los equipos clientes. En cambio, una instalación que utilice únicamente el servidor multidimensional y clientes Desktop va a requerir significativamente menos recursos a nivel del servidor (por ejemplo, menor consumo de memoria en el servidor).

Otro factor que debe ser analizado es la modalidad de uso por parte de los usuarios, como por ejemplo la frecuencia de uso, la distribución del uso a lo largo de períodos de tiempo y el dimensionamiento de las cargas máximos o picos de utilización.

Finalmente, la cantidad de información efectivamente almacenada en los datamarts, la complejidad de los modelos multidimensionales y otros factores directamente dependientes de los datos de cada instalación también influyen en la determinación de los requerimientos de hardware.

Es muy dificil hacer remomendaciones generales que consideren todas esta variables, por eso hemos resumido en tres casos los requerimientos de O3 en lo que respecta a hardware y software.

3.3 La administracion

¿Qué es la Auditoria Administrativa?

Es el revisar y evaluar si los métodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con políticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operación de los reportes y asegurar que la organización los este cumpliendo y respetando.La Auditoria Administrativa examen metódico y ordenado de los objetivos de una empresa de su estructura orgánica y de la utilización del elemento humano a fin de informar los hechos investigados.

Su importancia: proporciona a los directivos de una organización un panorama sobre la forma como esta siendo administrada por los diferentes niveles jerárquicos y operativos, señalando aciertos y desviaciones de aquellas áreas cuyos problemas administrativos revelados exigen una mayor o pronta atención.

3.4 Instalacion

Se evaluara la forma de adquisición de nuevos equipos hardware o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estándares de la empresa y los requerimientos mínimos para ejecutar los programas base.


Cuando hablamos de auditoría lo primero que nos viene a la cabeza es una pregunta: ¿por qué necesito auditar un ordenador? Son varios los motivos por los que no sólo es importante sino necesario, hacer un seguimiento de los equipos informáticos con los que trabajamos.


La primera razón es para saber qué hardware tenemos instalado. Cuando compramos un equipo sabemos perfectamente lo que tiene, pero en las empresas es habitual que con el uso diario falle algo y se cambie un componente. También es frecuente que para mejorar el rendimiento se añada memoria o un disco duro por ejemplo. Todos estos cambios hacen que con el tiempo, el ordenador inicial que compramos no se parezca en mucho al que actualmente tenemos. Con un buen programa de auditoría se puede conocer el hardware que hay instalado lo que nos facilita la tarea a la hora de planear futuras ampliaciones o mejoras.


Otra razón es conocer los programas que tenemos instalados. A lo largo de la vida de un equipo es frecuente que instalemos y desinstalemos programas. Esto no sólo repercute en el rendimiento del equipo sino que en muchas ocasiones es frecuente que las instalaciones dejen ficheros residentes que no se borran por completo (ocupan espacio y ya no son necesarios).

3.5 Operacion y Seguridad

Dentro de los riesgos posibles, también se contemplaran huecos de seguridad del propio software y hardware además de la correcta configuración y/o actualización de los equipos críticos como el cortafuegos entre otros.


Los riesgos potenciales se pueden presentar de la más diversa variedad de formas. Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad, emergencia y disaster recovery de la empresa.


Se hará una revisión de los manuales de política de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.


Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.


Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware. 
El hardware debe estar correctamente identificado y documentado. 
Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes. 
El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto. 
Objetivo N 2: Política de acceso a equipos. 
Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos. 
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas). 
Los usuarios se desloguearan después de 5 minutos sin actividad. 
Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral. 
Uso restringido de medios removibles (USB, CD-ROM, discos externos etc). 

3.6 Personal responsable del area.

A menudo la función de auditoria en informática se encuentra ubicada dentro del área de auditoria y en un número menor de empresas o negocios en la función de informática. Es importante señalar lo anterior, ya que el auditor en informática tendrá diferentes alcances y enfoques en el momento de ejecutar su trabajo. Las mismas áreas del trabajo tienen una visión distinta de la función, de acuerdo a la dirección o gerencia donde se encuentran.

Una semana antes del comienzo de la auditoria se envía un cuestionario a los gerentes o responsables de las distintas áreas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que también lo completen. De esta manera, se obtendrá una visión más global del sistema.

Es importante también reconocer y entrevistarse con los responsables del área de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.


En las entrevistas incluirán: 
Director / Gerente de Informática 
Subgerentes de informática 
Asistentes de informática 

Técnicos de soporte externo