Seguridad fsica del hardware

Resumen
El motivo del presente es generar un proyecto
donde se mencione el estado actual y posible
futuro de la seguridad informtica, de la cual en
realidad se conoce muy poco. Tambin se
pretende brindar estrategias metodolgicas para
la realizacin de una auditoria de sistemas y
establecer soluciones basadas en expertos en el
rea. Por ltimo sealar ciertas conclusiones
sobre una auditoria fsica que pueden servir de
recomendacin para futuros auditores.
Palabras clave
Auditoria sistemas hardware seguridad
Abstract
The reason of this is to create a project where the
current state and possible future of computer
security, which actually very little is known is
indicated. It also aims to provide methodological
strategies for conducting an audit of systems and
set-based solutions experts in the field. Finally
point out certain findings on a physical audit that
can serve as recommendation for future auditors.
Key words
Audit security hardware systems
Introduccin
En el mundo globalizado y cambiante en el que se
vive, las empresas requieren ser cada vez ms
giles y se deben adaptar con mayor facilidad a
estos cambios. De acuerdo a un estudio publicado
en 2000 por el FBI y el Instituto de seguridad
computacional (CSI), ms del setenta por ciento
de todos los ataques en datos confidenciales y
recursos reportados
por organizaciones,
ocurrieron dentro de la organizacin misma. Por
esto, la implementacin de una poltica de
seguridad interna es tan importante como una
estrategia externa. Esta seccin explica algunos
de los pasos comunes que los administradores y
usuarios deben tomar para salvaguardar sus
sistemas de malas prcticas internas.
Las estaciones de trabajo de los empleados, no
son los blancos ms comunes de ataques
remotos, especialmente aquellos detrs de un

cortafuego bien configurado. Las versiones

modernas y los computadores del hogar tienen
BIOS que controlan los recursos del sistema a
nivel del hardware permitiendo establecer
contraseas que impiden que usuarios maliciosos
arranquen el sistema, disuadiendo al usuario de
robar o acceder informacin almacenada en el
disco duro.
En relacin a lo anterior tambin se presenta el
caso en donde el usuario malicioso roba la PC (el
caso ms comn de robo entre los viajeros
frecuentes que llevan porttiles y otros
dispositivos mviles) y la lleva a una ubicacin
donde ellos pueden desmontar la PC, la
contrasea del BIOS no previene al atacante de
remover el disco duro, instalarlo en otra PC sin la
restriccin del BIOS y montar el disco duro para
leer los contenidos en l. En estos casos, se
recomienda que las estaciones de trabajo tengan
seguros para restringir el acceso al hardware
interno. Las medidas de seguridad especializada,
tales como cables de acero asegurable, se
pueden anexar a la PC y porttiles para prevenir
robos, as como tambin seguros en el chasis
mismo para prevenir acceso interno.
El hardware de servidores, especialmente
servidores de produccin, son tpicamente
montados en estantes en habitaciones de
servidores. Los armarios de servidores
usualmente tienen puertas con seguros y tambin
estn disponibles chasis de servidores
individuales con rejillas que se pueden asegurar
para
prevenir
que
alguien
apague
intencionalmente o por accidente la consola.
Las empresas tambin pueden utilizar
proveedores de co-location para hospedar sus
servidores, ya que los proveedores de co-location
ofrecen un mayor ancho de banda, soporte
tcnico 24x7 y la experiencia en seguridad de
sistemas y servidores. Esto puede ser una forma
efectiva de hacer outsourcing de las necesidades
de seguridad y conectividad para las
transacciones HTTP o servicios de flujo de
contenidos de multimedia (streaming media). Sin
embargo, co-location puede ser un poco
prohibitivo en trminos de costos, especialmente
para negocios pequeos a medianos. Las
facilidades de co-location son conocidas por ser

muy bien protegidas por personal entrenado y

muy bien monitoreado en todo momento.
Hoy en da, las organizaciones dependen en gran
parte de tener la informacin exacta y de
integridad en los datos en el momento preciso.
Aquellas que no sean capases de alcanzarlo,
estarn en peligro de extincin, ya que sta se ha
convertido en el arma ms potente para la toma
de decisiones, debido a esto es de vital
importancia tomar medidas preventivas a para
asegurar los sistemas de informacin como los
datos almacenados en ellos.
La seguridad fsica del hardware
Los sistemas informticos suelen estar cercanos
al usuario final o al mismo administrador, por lo
que estn expuestos a un mayor peligro de mal
uso o uso malintencionado.
Pesto que aqu no podemos confiar plenamente
en el cumplimiento de polticas o normativas de
uso de las mquinas y como estas mquinas
estn ms expuestas a intrusos ajenos al personal
de la empresa que hayan superado los controles
de acceso de niveles superiores debemos
configurar estas mquinas y dispositivos de red de
forma que sea lo ms complicado posible el
realizar manipulaciones sobre ellos, tanto a nivel
fsico como a nivel informtico siempre que sea
posible.
Acceso fsico a las mquinas y dispositivos de
red
Es inevitable que el personal tenga acceso fsico a
las mquinas sobre las que deben trabajar, y en
algunos casos incluso a los dispositivos de red.
Cuando el usuario debe usar el hardware
directamente, como usando Memorias USB,
CDROMs o similares la mquina y de igual
manera pasa con los servidores y dispositivos de
red y los administradores de sistemas, para poder
realizar su trabajo tienen que tener normalmente
acceso fsico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar
mediante el estudio de la red y de las aplicaciones
que han de correr los usuarios finales el mantener
al menos los servidores y los dispositivos de red
lejos del usuario final, en racks, armarios o centros
de datos. Los usuarios podrn acceder a sus

datos a travs de la red local y mantener los datos

importantes a salvo, aunque el hardware donde
van a trabajar este desprotegido por estar en su
puesto de trabajo.
Los sistemas NAS y otros sistemas de
almacenamiento de datos o servidores de
aplicaciones pueden ayudar en esto.
Por tanto la idea es mantener al menos los datos y
el trabajo del usuario fuera de la mquina donde el
usuario va a trabajar
Racks y armarios
Debemos tener en cuenta que estos armarios y
racks deben contener mquinas y dispositivos de
red, y que esto implica otro nivel de seguridad
fsica que debemos estudiar.
En concreto deberemos estudiar que mquinas se
incluyen en que racks y lo mismo para los
dispositivos de red. Esto evitar que un supuesto
intruso o usuario malintencionado que intente
reconectar las mquinas o dispositivos del rack
para realizar acciones no permitidas lo tenga ms
difcil.
Si mantenemos en un rack los servidores de
ficheros, en otro los de aplicaciones y en otro los
dispositivos de red tendremos la seguridad de que
un supuesto intruso no podr trucar nuestra red
para acceder con los permisos de unas mquinas
a otras.
Es muy importante tambin el proteger en los
concentradores los puertos donde se pueden
conectar sniffers de red, pues proveen a un
supuesto intruso de un arma imbatible para
obtener datos de nuestra red. Lo mismo es
aplicable a las conexiones serie que puedan tener
estos dispositivos y que nos permitan la
administracin remota de los dispositivos, pues la
seguridad del control de acceso en estos puertos
no suele ser tan fuerte como cuando se accede
mediante telnet o interface web.
Las cajas de las computadoras (CASE)
La caja normal de una computadora no provee
ningn tipo de seguridad contra un supuesto
acceso a su interior por un intruso, todo lo
contrario, cada vez se hacen ms fciles de abrir...
Hay varias soluciones que se pueden aplicar para

mejorar la seguridad de estos sistemas. La

primera y ms simple sera el sellado de la caja,
que al menos nos alertar si algn intruso ha
accedido a su interior. Deber instruirse al
personal de mantenimiento para que ponga y
quite los sellos cuando tengan que realizar algn
tipo de manipulacin dentro de la caja.
Otra opcin es la adquisicin de cajas ms
seguras. Varias compaas venden cajas que
tienen cerraduras y sistemas de anclaje de la tapa
con el armazn que proporcionan una seguridad
considerable contra intrusos.
Todas estas opciones son parches para el
problema principal, que es el mantener datos
importantes en una mquina expuesta al usuario
final y a posibles intrusos. La opcin correcta es
mantener estos datos en lugar seguro (un servidor
de archivos dentro de un armario o rack) y que el
usuario trabaje de forma remota sobre estos
datos, con lo que la seguridad fsica del ordenador
del usuario final ser poco importante.
Seguridad del bios. Password de bios
La seguridad que proporcionan las passwords de
bios es una seguridad absolutamente ficticia.
Muchos administradores confan ciegamente en la
seguridad de los sistemas asegurados mediante
passwords de bios, sobre todo cuando se intenta
impedir el arranque desde disquetera o desde
CDROM. Esto es un grave error.
La seguridad que proporciona el password de bios
es mnima si no tenemos una seguridad fsica
suficiente sobre el sistema en cuestin.
Si un intruso consigue abrir la caja del ordenador
puede simplemente activar el puente de borrado
de la bios y nuestro password se borrar, o puede
simplemente llevar un bios igual al del ordenador
en cuestin y montarlo en el zcalo.
No nos cansamos de decirlo. Si tiene datos
importantes mantngalos alejados de las
mquinas de usuario o de cualquier mquina a la
que pueda tener acceso un intruso
malintencionado. Es la nica forma de mantener
sus datos a salvo.
Equipamiento hardware de las mquinas

No vale que no instalemos disquetera ni CDROM

ni grabadora de CDs, y que deshabilitemos en el
bios la deteccin de estos. Si alguien tiene acceso
fsico al interior de la caja del ordenador siempre
podr cambiar el bios y luego instalar su propia
disquetera, CDROM o grabadora de CDs, por no
hablar del acceso directo al disco duro, que puede
sacar, clonar con herramientas como Norton
Ghost y luego volver a dejar en su sitio sin que
nadie se d cuenta de que se ha replicado la
informacin de la mquina.
Por lo tanto la ausencia de hardware en las
mquinas no proporciona una seguridad mayor a
las mquinas.
Acceso al interior de los equipos
Hemos tratado ya el acceso al interior de las cajas
de los ordenadores, que es un tema complicado.
Ms complicado an es el acceso a los equipos
de red, sistemas servidores de archivos, sistemas
NAS, sistemas servidores de aplicaciones y
similares.
Estos equipos normalmente no son modificables,
y suelen venir con cajas muy poco resistentes y
poco preparadas para aguantar el maltrato al que
un supuesto intruso podra someterlas. En la
mayora de los casos estos sistemas son de fcil
apertura, pues suelen ser ampliables y se busca
siempre una fcil ampliacin, lo que es bueno
para el personal de mantenimiento y
administracin, pero malo para nosotros como
consultores de seguridad fsica.
La repercusin sobre la seguridad de la apertura
de un NAS (Servidor de Almacenamiento) puede
ser desastrosa. Todos los datos de trabajo de la
empresa pueden quedar a disposicin de un
intruso. Muchos de estos sistemas tienen discos
duros estndar, que pueden ser replicados con un
porttil mediante Norton Ghost o similares y
devueltos al sistema NAS sin que nadie detecte lo
que ha ocurrido. Esta es la pesadilla de un
administrador de seguridad, todos sus datos
replicados sin haber dejado ninguna pista. Lo
mismo es aplicable para otro tipo de servidores, y
algo similar ocurre con los dispositivos de red, que
pueden ser alterados una vez abiertos para
cambiar la configuracin, borrar las claves de
acceso y muchas manipulaciones similares.

Sistemas de backup
Los sistemas de backup son una necesidad
inexcusable hoy en da en cualquier empresa que
maneje una cantidad de datos medianamente
grande. Teniendo esto en cuenta y suponiendo
que disponemos de un sistema de backup fiable
debemos tener en cuenta otra serie de
consideraciones.
La primera es la seguridad fsica de los backups,
de la que ya hemos hablado, y para la que
optbamos como mejor solucin la que
aconsejaba mantener los backups lejos de los
sistemas que contienen los datos de los que
hemos hecho backup.
La segunda es la seguridad fsica de las mquinas
de backup, para las que deberemos tener las
mismas medidas que para los servidores de
archivos: Mantener ms de una mquina de
backups, sistema centralizado de backups alojado
en un rack o armario seguro, monitorizacin de las
mquinas de backup, etc.
Debern tomarse las medidas necesarias para
proteger fsicamente los medios donde se realizan
los backups, teniendo en cuenta las
consideraciones propias para cada medio.
Debemos comprobar que los backups que hemos
realizado pueden ser restaurados correctamente,
o estaremos confiando en un sistema que no
podemos asegurar que funciona correctamente.
Sistemas UPS
Los sistemas UPS son imprescindibles en la
seguridad fsica de un sistema informtico. La
mayora de los sistemas operativos responden
mal a las cadas repentinas y puede producirse
prdida de datos importantes.
Es complicado decir que es ms conveniente, si
mantener un gran UPS que alimente un grupo de
mquinas, por ejemplo un rack o un armario con
muchos dispositivos o si tener varios UPS que
proporcionen alimentacin a menos mquinas.
Los grandes UPS suelen ser ms seguros,
proporcionan mayor autonoma y proteccin, pero
en el hipottico caso de que fallen nos dejan con
todo el sistema cado. Los UPS ms pequeos no
tienen tantas caractersticas pero cumplen bien su

cometido. El presupuesto tambin ser un punto a

tener en cuenta para la eleccin de una u otra
opcin, pues un gran UPS es bastante ms caro
que varios UPS pequeos.
Redundancia a nivel de hardware
Hoy existen ordenadores que incorporan dos
fuentes de alimentacin, varios discos duros
montados en RAID, e incluso dos placas base.
Los dispositivos de red tambin incorporan
redundancia en una forma similar. Todo este tipo
de funcionalidad es muy beneficiosa para la
seguridad fsica del sistema en general, pues
permite que parte del hardware falle sin que el
sistema caiga. Debemos tener en cuenta que este
tipo de sistemas son caros.
Hoy por hoy cualquier servidor corporativo debera
incorporar algn tipo de RAID, ya sea RAID 0,
RAID 1 o RAID 5, sobre hardware o sobre
software. Con el precio continuamente decreciente
de los discos duros podemos permitirnos un
sistema de RAID basado en software sobre un
sistema IDE por un precio realmente bajo, y esto
nos proporcionar redundancia en el hardware sin
aumentar excesivamente el presupuesto.
Redundancia a nivel de red y conectividad
La mayora de los tiempos muertos que se
producen en el trabajo diario en la mayora de las
empresas se deben a fallos en la red o en la
conectividad a Internet. Esto es especialmente
crtico cuando hablamos de terminales de usuario
final que permiten el trabajo remoto sobre
servidores empresariales, como es el caso de los
nuevos terminales implantados en bancos,
sistemas de pago o facturacin e incluso
aplicaciones remotas.
Para garantizar la conexin a Internet o una
conexin privada sobre redes pblicas no hay
mejor consejo que la utilizacin de diferentes
medios de conexin a la red mediante diferentes
proveedores.
En casos muy crticos puede ser incluso necesario
la contratacin de lneas privadas o enlaces
propios de la empresa, como conexiones entre
edificios mediante microondas. Los enlaces de
microondas son una forma segura de
comunicacin entre edificios corporativos y son

cada vez ms usadas por las empresas, aunque

debemos tener en cuenta que son caras, que
necesitamos tener visibilidad entre las sedes que
queremos comunicar y que necesitaremos gran
cantidad de permisos para obtener la licencia de
emisin
Alojamiento fsico de las mquinas
Cuanto menos acceso tenga el usuario final a las
mquinas sobre las que tiene que trabajar y que
contienen los datos sobre los que trabaja y su
propio trabajo, as como los dispositivos de red
local como concentradores y similares, mejor para
la seguridad fsica. Idealmente se alojarn todas
las mquinas a las que no deba acceder
fsicamente el usuario final en racks y armarios, o
se implantarn sistemas de trabajo remoto sobre
servidores de aplicaciones como Citrix y similares.
Esta ltima opcin es la ideal, porque permite al
usuario trabajar en su estacin de trabajo que no
debe tener una seguridad fsica estricta y
mantener los datos sobre los que trabaja y su
propio trabajo en los servidores principales de la
empresa, que estarn correctamente protegidos
en el apartado de seguridad fsica.
Es muy comn hoy en da el uso de aplicaciones
que corren sobre navegadores web y que usan
servidores de aplicaciones y bases de datos para
acceder a los datos necesarios para realizar el
trabajo. Cualquiera de estas soluciones es buena
y debe ser aconsejada siempre que sea
econmicamente y administrativamente posible.
Para los dispositivos de red lo mejor es alojar
estos dispositivos como ya hemos comentado en
armarios o racks. Deberemos estudiar el cableado
de forma que no exista la posibilidad de que este
sea seccionado o desconectado. Por lo dems no
tendremos mayores consideraciones con los
dispositivos de red, nicamente si estos deben
obligatoriamente estar alojados cerca del usuario
final (personal que debe realizar pruebas con la
red o realizar cambios en el cableado)
protegeremos
los
dispositivos
contra
manipulaciones remotas limitando el acceso por
medio de claves suficientemente seguras.
Tambin es posible en algunos dispositivos el
activar o desactivar parte de su funcionalidad para
limitar el acceso que el usuario final tiene a estos
dispositivos.

Control de calidad de las mquinas y

dispositivos de red
El control de calidad de las mquinas y los
dispositivos de red debe estar basado en dos
premisas. La primera es la adquisicin de equipos
certificados y donde el fabricante nos asegure que
se han realizado las pruebas suficientes sobre
ellos para garantizar su calidad. La segunda es la
monitorizacin de estos equipos y la estimacin
de la vida til y el tiempo medio de fallos en los
mismos.
La adquisicin de los servidores, los equipos de
usuario final y los dispositivos de red dentro de
una empresa debe estar regida en primer lugar
por la calidad de estos. A medio y largo plazo lo
barato sale caro cuando estamos hablando de
hardware.
Las mquinas servidoras que se han de montar en
rack suelen venir con certificacin de su
funcionamiento, as que slo deberemos
preocuparnos de las caractersticas de estas y de
elegir un fabricante que distribuya los equipos
preconfigurados y probados en la cadena de
montaje.
Un servidor que se viene abajo puede dejar a un
grupo de usuarios sin posibilidad de trabajar, lo
que supone una cantidad considerable de dinero
perdido para la empresa, as que lo que invirtamos
en el hardware de los servidores lo recuperaremos
a medio y largo plazo en forma de menores
tiempos de paro del sistema y en una menor
inversin en mantenimiento.
Otro aspecto donde el consultor debe ser inflexible
es en la monitorizacin del hardware, sobre todo
de los servidores y de los dispositivos de red. Se
recomendar la adquisicin de software de
monitorizacin de redes y de hardware que
permita esta monitorizacin. Para el hardware el
sistema ms comn de monitorizacin es el
SNMP, que permite mediante software como
Netview de HP la monitorizacin del estado del
hardware, de como est funcionando y de los
parmetros que puedan afectar al tiempo medio
entre fallos de este hardware. La monitorizacin
del hardware es un punto que se suele olvidar en
la seguridad fsica y que es fundamental, porque
nos permite predecir fallos antes de que estos se
produzcan o detectarlos inmediatamente cuando

estos se producen, porque no podemos

engaarnos, tarde o temprano cualquier hardware
fallar, y es fundamental que estemos preparados
para este fallo.
Control y seguridad de porttiles
Comenzamos con la seguridad fsica. Debemos
tener en cuenta la portabilidad de estos
dispositivos, lo que los hace susceptibles de ser
robados con facilidad, sobre todo cuando se
encuentran fuera de la empresa.
Lo ms importante, aparte del valor econmico de
los porttiles, son los datos que pueden contener,
datos que en muchos casos pueden ser
importantes e incluso vitales para la empresa. Por
eso debe responsabilizarse seriamente a los
usuarios de los porttiles que sacan de la
empresa, manteniendo un control de entrada
salida de estos dispositivos y de la integridad
fsica de los mismos.
La nica solucin es la responsabilizacin de
forma seria del usuario de la integridad fsica de la
mquina, teniendo una poltica muy clara de lo
que el usuario puede hacer o no hacer con el
ordenador.
Sistemas de alta disponibilidad
En todo el manual hemos explicado que para
asegurar el hardware no hay nada ms eficaz que
la redundancia de sistemas. Una de las formas
ms comunes hoy en da de redundancia de
sistemas son los clusters de mquinas de alta
disponibilidad. Estos sistemas se componen de
dos o ms mquinas que cumplen exactamente la
misma funcin y que comparten los datos sobre
los que trabajan por medio de un bus compartido
SCSI o un canal de fibra conectados a un sistema
de almacenamiento que permite el acceso
compartido por varias mquinas. La idea es que
uno de los sistemas cumple la funcin
encomendada al sistema, sea como servidor de
aplicaciones, de bases de datos, servidor web o
cualquier otro cometido. Si este sistema falla el
otro detecta el fallo por medio de un enlace
mantenido por medio de una red y/o un enlace
nullmodem por puerto serie denominado
heartbeat, al detectar el fallo el segundo sistema
toma la direccin IP del primero y lo sustituye en
la tarea que este estuviera realizando. Es un

sistema ideal para asegurar la disponibilidad de un

servicio determinado, y suele ser ms barato
mantener un cluster de dos mquinas que tener
una mquina con todos sus subsistemas
redundantes.
Seguridad fsica del cableado
La principal preocupacin para un consultor de
seguridad fsica es que el cableado pueda fallar o
que pueda ser seccionado por un intruso
malintencionado.
. Tambin deberemos comprobar que el cableado
cumple las normativas necesarias y que tiene la
calidad necesaria, normalmente CAT5 o CAT7.
Sistemas de radiofrecuencia. Tecnologa Wireless
y Bluetooth
Si realmente necesita usarlo entonces mi consejo
es que utilice las ltimas tarjetas y puntos de
acceso con la ltima tecnologa disponible, tanto
en Wireless como en Bluetooth, pues en ambos
sistemas se han encontrado errores que permiten
al menos el hacer sniffing de las redes desde el
exterior de las empresas.
Son sistemas demasiado golosos para los hackers
como para que estos no estudien mil y una formas
de romperlos.
Es muy cmodo ponerse con un coche y un
porttil al lado de una empresa y conectarse a la
red de esta y realizar cualquier cosa como usar su
ancho de banda para realizar ataques de
denegacin de servicio o Dios sabe qu.
Control del acceso del personal externo
contratado al hardware
El caso es el siguiente: Contratamos a un
consultor externo o a personal de mantenimiento
para realizar una serie de acciones sobre nuestro
hardware. Cmo nos aseguramos que
nicamente va a realizar las manipulaciones para
las que le hemos contratado y no otras? Es
sencillo, lo nico que debemos hacer es tener un
formulario que el personal externo deber firmar y
donde se especificar la fecha de la manipulacin,
la manipulacin exacta que se le permite hacer y
si es necesario tambin lo que no se le permite
hacer. De esta forma aseguramos que la persona

que trabaje sobre nuestros sistemas no va a

realizar ms manipulacin que la contratada.
Siempre es conveniente que una persona del
personal de administracin est presente cuando
se realice cualquier mantenimiento o consultora
sobre sistemas crticos de la empresa, pues as
podr vigilar que las acciones realizadas son las
correctas e incluso podr asesorar al consultor o
personal de mantenimiento si este tiene algn tipo
de duda sobre el sistema.

mencionado esto los propsitos de este proyecto

serian:

Metodologa
El primer paso que debe realzar un auditor al
comenzar un proyecto en una organizacin
consiste en realizar un diagnstico de la situacin
actual de la empresa, permitiendo as la
recopilacin, organizacin y anlisis de
informacin para conocer el proceso, sus
actividades y sus indicadores internos. Realizar
entrevistas con el
personal clave del
departamento, con el fin de analizar diversos
puntos de vista de la situacin actual. La
aplicacin de tormenta de ideas para la
identificacin de los problemas existentes en el
departamento y por ultimo la seleccin de un
problema latente mediante una matriz de
seleccin.
Segn lo anterior mencionado el segundo paso
consiste en analizar los aspectos crticos que
permita hallar una solucin factible. Posterior al
anlisis se generar posibles soluciones al
problema planteado mediante una tormenta de
ideas, realizada conjuntamente con el personal del
departamento de Informacin. Cerrando con la
seleccin de la solucin factible mediante una
matriz de seleccin.

Establecer pautas y consideraciones a

segur sobre seguridad fsica en los
sistemas de informacin.
Demostrar
la
importancia
del
cumplimiento de las normas y polticas de
seguridad.
Contribuir la mejora de la organizacin.
Informar sobre TICS y la manera de
hacerlas ms segura en una
organizacin.

Mtodo, Instrumentos y Herramientas

El trabajo de auditor est relacionado a regirse por
estadales, reglas y lineamentos que permitan
brindar una mayor eficiencia a la organizacin
junto con la seguridad de todos sistemas.
A continuacin se mencionan las herramientas
utilizadas por el auditor para evaluar el estado de
la organizacin:
Tcnicas:

Para finalizar el tercer paso a realizar es disear

de la solucin factible que posteriormente ser
implantada en el departamento, a partir de esta
solucin se debe capacitar a los futuros usuarios
de la aplicacin del uso correcto de la misma.
Propsitos

El proyecto se basa en el rea de seguridad

informtica pero a su vez menciona temas
relacionados a seguridad fisca, controles de
acceso y redes de comunicacin, una vez

Observacin de las instalaciones,

sistemas, cumplimiento de normas y
procedimientos, etc. (tanto de espectador
como actor)
Revisin analtica de:
o Documentacin
sobre
construccin y preinstalaciones
o Documentacin sobre seguridad
fsica
o Polticas y normas de actividad
de sala
o Normas y procedimientos sobre
seguridad fsica de los datos
o Contratos de seguros y de
mantenimiento
Entrevistas con directivos y personal fijo
o temporal ( no es interrogatorio)
Consultas a tcnicos y peritos que
formen parte de la plantilla o
independientes

Glosario
Journaling
El journaling es un mecanismo por el cual un
sistema
informtico
puede
implementar
transacciones. Tambin se le conoce como
registro por diario.
Se basa en llevar un journal o registro de diario en
el que se almacena la informacin necesaria para
restablecer los datos afectados por la transaccin
en caso de que sta falle.
Nas
Este es el caso de los nas o network-attached
storage, llamados as por sus siglas en ingls, el
cual es un sistema de almacenamiento de datos
que funciona a travs de nuestra red. En este
artculo podremos conocer como un sistema de
este tipo puede ayudarnos a compartir y gestionar
contenidos.
Raid
En su concepto ms simple, raid utiliza mltiples
discos como si se tratara de una unidad lgica
sola. El sistema operativo y el usuario ven un solo
disco, pero en realidad la informacin es
almacenada en todos los discos.
Tipos de raid
Nivel 0 - Striped Disk Array: este nivel provee data
striping pero sin redundancia de datos. Mejora el
rendimiento general, pero no provee tolerancia a
fallas.
Nivel 1 - Mirroring and Duplexing. Este nivel
provee el doble de velocidad de lectura, pero igual
velocidad de escritura con respecto a un disco
simple. Provee espejado de datos.
Nivel 5 - Block Interleaved Distributed Parity. Este
nivel segmenta los datos a nivel de byte, y
tambin permite informacin para correccin de
errores de segmentacin. Provee buena tolerancia
a fallo y muy buen rendimiento.
Conclusiones
El en presente proyecto se generaron las
siguientes conclusiones:

Es un de gran importancia para el auditor disear

una propuesta para ejecutar la revisin de los
sistemas de informacin dentro de la organizacin
con sus respectivas auditorias, ya que muchas
veces no se presta el tiempo necesario, lo cual
perjudica notablemente el proceso de los sistemas
de informacin.
Realizar lo necesario para asegurar y garantiza la
integridad de los activos humanos, lgicos y
material de un centro de proceso de datos.
Se deben tener medidas para atender los riesgos
de fallos local o general, antes durante y despus
de algn fallo.
Estar lo ms actualizados posibles en cuanto a
leyes, normas o estadales sobre la seguridad
fsica en una organizacin y realizar
capacitaciones o cursos peridicamente.