II MARCO CONCEPTUAL. 2.1 Auditorías Proceso de Auditorías

Transcripción

1 II MARCO CONCEPTUAL 2.1 Auditorías En general podemos considerar una auditoría como un proceso sistemático y formal en el que se determina hasta qué punto una organización está cumpliendo los objetivos establecidos por la gerencia, así como para identificar los que requieren mejorarse Proceso de Auditorías El proceso de Auditoría es basado en una serie de procedimientos generales ampliamente aceptados. El trabajo del auditor es asegurar que se logren los objetivos de la auditoría basado en estándares, normas y mejores prácticas. Durante una auditoría es importante recordar que las decisiones y opiniones serán respaldadas por evidencia y documentación. Es responsabilidad del auditor asegurar la consistencia en el proceso de auditoría. Un plan de control de calidad de la auditoría debe ser adoptado para garantizar los objetivos básicos. Diez etapas pueden considerarse en la ejecución de la auditoría: 1. Aprobación de la auditoría por parte de la entidad solicitante, que identifica los detalles a considerar en la auditoría, destaca la independencia del auditor (responsabilidad), acuerdo sobre términos y condiciones (autoridad) acuerdo de las fechas de entregas parciales de finalización. 2. Planificación de la auditoría y determinación el impacto de la auditoría en la operación del negocio. Es necesario obtener un completo entendimiento del negocio, su propósito y los potenciales contratiempos durante la auditoría. 3. Realización de una evaluación de riesgos para asegurar que se recolectará la suficiente evidencia durante la auditoría. Los resultados finales y opiniones Página 14 de 73

2 serán basadas en esta evidencia obtenida. Los riesgos pueden ser de diferente índole, se deben delimitar los riesgos acorde a los objetivos de la auditoría. 4. Determinar la posibilidad de una auditoría una vez obtenida la evidencia antes mencionada. Si la evidencia no esta disponible en su totalidad o no es suficiente, revelar la situación y establecer un nuevo acuerdo para la obtención de material y otros detalles útiles para la realización de la auditoría. De ser necesario debe incluirse a proveedores externos dentro del proceso. 5. Ejecución de la auditoría es el siguiente paso, aquí debe asegurarse que se cuenta con el personal adecuado, asegurar la calidad de la auditoría, definir el proceso de comunicación durante el proceso, recolección de los datos y revisión de controles. 6. Recolección de evidencia. Esta evidencia servirá para aprobar o no una situación, estado, proceso, control o disponibilidad de recursos. No teniendo la evidencia no es posible tener una prueba objetiva. Una vez se tenga la evidencia es momento para proceder a la documentación. Esta incluirá copias de la aprobación de la auditoría, objetivos, planes de auditoría, políticas y procedimientos específicos durante la auditoría. Es preciso dejar constancia de cada prueba realizada. 7. Resultado de pruebas. El resultado de las pruebas lleva a deducir si se cuenta o no con algo, verifica que las políticas y procedimientos son adecuados y verifica todo el conjunto de controles son aplicados correctamente. En este punto es importante verificar el contenido y la integridad de la evidencia. 8. Análisis de los resultados. Obtenidos los diferentes resultado después de realizada la auditoría es tiempo de analizar la evidencia. La meta es determinar si las muestras obtenidas por el auditor indican conformidad (reúne los requerimientos) o no conformidad (no reúne los requerimientos). La evidencia debe ser clasificada acorde a una adecuada escala y en relación a los niveles de riesgo establecidos. 9. Reporte de los resultados. Después de la ejecución de la auditoría es conveniente preparar una presentación para reportar lo encontrado y entregar Página 15 de 73

3 un documento escrito con los detalles del alcance de la auditoría, objetivos, métodos y criterios utilizados, naturaleza de lo encontrado, excepciones y tiempo que tomó la realización del trabajo. 10. Seguimiento a eventos. Estos eventos podrían darse durante la auditoría o después. Los cuales podrían no estar contemplados dentro del alcance inicial, pero que afectan de una manera u otro el plan de ejecución de la auditoría. Tales eventos deben ser incluidos y documentados, aun después de la finalización del reporte indicando su adición particular y la importancia de su inclusión en el documento final Auditorías de Data Center Aun cuando se tienen diferentes aspectos a considerar para la auditoría de centro de datos, se han delimitados dos áreas para el desarrollo del presente trabajo: 1. Infraestructura Física, que incluye todo el aspecto físico donde está ubicado el centro de datos y los sistemas de información. 2. Infraestructura de Red y Telecomunicaciones, Que es lo que permite a otros sistemas y usuarios, comunicarse e intercambiar información sin tener acceso físico al centro de datos. Este nivel incluye equipos y su interconexión local y remota. El objetivo final de la auditoría en estas áreas es obtener resultados que indiquen el grado de disponibilidad que presenta el centro de datos y determinar los riesgos a los que esta expuesto respecto a estándares, normas y mejores prácticas realizadas por entidades que han logrado un porcentaje de disponibilidad cercano a 99.99%. Sin ser basado en un estándar o norma en particular la meta es revelar los detalles que ponen en riesgo la disponibilidad de los servicios que el centro de datos provee y potenciar todos los puntos que elevan el porcentaje de disponibilidad de los servicios. Página 16 de 73

4 2.1.3 Universo de auditoría Una de las tareas más importantes en el proceso de auditoría de centro de datos es determinar que se ha de auditar. Es importante que la auditoría de centro de datos se enfoque de manera particular en las áreas que tienen mayor riesgo y en aquellas a las que se les puede agregar un valor extra. Es posible que se tengan limitados recursos y deban usarse de manera eficiente y efectiva. Dada esta situación el tiempo debe ser invertido en las áreas de mayor importancia. Esto no debe ser de manera arbitraria sino más bien debe ser un proceso lógico y metódico que asegure los resultados esperados. Uno de los primero pasos es definir el universo de la auditoría, el cual conviene dividir en partes para hacer un mejor análisis de los posibles elementos de riesgo y su relación e impacto con el universo definido. Definido el universo y realizada la subdivisión es preciso establecer una escala de riesgo para encontrar los elementos y su grado de impacto en la disponibilidad del centro de datos. La sistematización como un apoyo a la auditoría realizada permitirá tener una visión más rápida e imparcial de los resultados obtenidos. El universo definido es el centro de datos centralizado proveyendo servicios a usuarios locales y remotos con una disponibilidad del 99.97%.Las subdivisiones de este universo se ha dividido en: 1. Infraestructura 2. Cableado 3. Red de Área Local 4. Red de Área Amplia 5. Telefonía 6. Servicios 7. Seguridad Página 17 de 73

5 Cada una de las siete áreas establece en diferente medida una influencia directa en la disponibilidad de los servicios. La disponibilidad del centro de datos y los respectivos servicios no contempla situaciones de catástrofe o incidentes naturales fuera del alcance de una prevención establecidas en condiciones normales de funcionamiento y disponibilidad. 2.2 Evaluaciones para Data Center Infraestructura Esta sección hace referencia a los diferentes sistemas de control con los que el centro de datos cuenta para su acceso y los diferentes sistemas adicionales no relacionados directamente con los sistemas de información. Estos incluyen sistema de control de acceso, sistemas de alarmas, sistemas de control de fuego. Estos sistemas se han diseñado para prevenir un acceso no autorizado, detectar condiciones antes que puedan causar un problema y prevenir la generación y o expansión del fuego. Por otro lado se requiere la disponibilidad continua del centro de datos y en esta sección se incluyen los sistemas de provisión de energía eléctrica de forma continua no interrumpida, temperatura, ventilación, aire acondicionado y elementos de soporte para la conectividad del centro de datos que no transportan información propiamente pero son vitales para la que los elementos de transporte no se vean interrumpidos. La evaluación de esta área proveerá resultados sobre control de acceso, sistemas de monitoreo, construcción, equipo eléctrico y su mantenimiento, instalaciones eléctricas, sistemas de respuesta en condiciones de emergencia o suspensión de energía eléctrica u otro servicio necesario. Página 18 de 73

6 2.2.2 Cableado Por fortuna se tiene una guía estándar para la industria de cable dado por la IEEE y EIA/TIA. Varios métodos han sido desarrollados, para usar una variedad de cables usado en redes y su interconexión. Cada tipo de cable tiene sus propias características de construcción y capacidad de transmisión. Se seleccionan acorde a la información que transportan. Así, algunos serán recomendados para transportar voz, otros serán recomendados para el transporte de datos a altas velocidades. El auditor no esta en la obligación del diseño del sistema de cableado, sino más bien es tarea de un diseñador experto certificado. La industria reporta que el 97% de los problemas de red son relacionados con el diseño del cableado, calidad del cable, o fallas de conectividad. Los servicios de diseño de un RCDD (Registered Communications Distribution Designer) son justificados cuando el porcentaje acumulado de tiempo debido a fallas de esta índole, afecta la disponibilidad esperada del centro de datos LAN Conviene explorar brevemente el Modelo de referencia OSI (Open System Interconnection) para comprender los diferentes elementos a considerar en el área de redes de área local. Conociendo sobre el modelo OSI de siete capas ayudara al desarrollo de la auditoría a este nivel. El modelo describe como los datos se mueven desde un sistema a otro que están conectados a través de algún medio. El modelo describe la forma como desarrollar aplicaciones, protocolos y equipos que permiten mover datos desde las aplicaciones a través de los diferentes medios existentes, y entre equipos ubicados en localidades separadas por grandes distancias. Otro modelo a considerar es el modelo de cinco capas TCP/IP. Solo el modelo OSI será discutido. Página 19 de 73

7 En modelo OSI establece siete capas: Aplicación: representa las aplicaciones finales cercanas al usuario como http, ftp, Telnet Presentación: Maneja el formato, compresión y cifrado de datos. Ejemplo SSL, TSL Sesión: Este nivel inicia, mantiene y finaliza las comunicaciones entre sistemas o dispositivos Transporte: Provee servicios orientados a conexión y sus respectivos mecanismos de entrega, detección de errores y control de flujo de datos, así como también servicios no orientados a conexión. Ejemplo de protocolos podemos mencionar TCP/UDP Red: Este nivel selecciona la ruta a seguir por los paquetes entre las redes. Algunos ejemplos: IP, ICMP, IPSec. Enlace de Datos: Hace posible el enlace desde una dispositivo a otro en diferentes localidades, tanto a nivel de red de área local como a nivel de redes de área amplia. Físico: Este nivel define el enlace físico, cables, transmisión binaria codificada, modulación. Especificaciones eléctricas y físicas de conectores y cables se detallan en este nivel. Cada nivel provee un servicio en particular que debe ser evaluado y confirmar su correcta operación dentro del proceso de auditoría. Los equipos usados en redes de área local generalmente son ubicados en los primeros cuatro niveles del modelo OSI. Algunos componentes claves en esta área, aunque no limitados a estos solamente, están los hubs, switches, enrutadores y firewalls. Estos deberán ser evaluados acorde a su funcionamiento y el impacto real en la disponibilidad de los servicios en el centro de datos. Página 20 de 73

8 2.2.4 WAN Las redes de área amplia son las que hacen posible la interconexión de redes de área local en diferentes puntos geográficos, permitiendo una comunicación constante y continua a nivel local e internacional. La tecnología, equipos y conexión de redes de área amplia hacen posible el acceso al centro de datos desde lugares distantes, por lo que es un punto crítico de evaluación. La disponibilidad se ve afectada en gran medida cuando los componentes en las redes de área amplia no están funcionando como es requerido, siendo una situación extrema el provocar un aislamiento del centro de datos. Este aislamiento es un problema de magnitud considerable para los usuarios remotos, debido a que no tendrán acceso a los servicios prestados en el centro de datos. Por lo general las redes de área amplia son controladas por proveedores externos, a los que se debe contactar en caso de falla en las conexiones de redes de área amplia. En esta área, la auditoría en centro de datos, permitirá que los elementos mínimos estén cubiertos en esta área y pondrá en descubierto aquellos que hay que potenciar para evitar una falta de disponibilidad de los servicios. Esta área abarca los enlaces de datos externos, generalmente administrado por terceros proveedores, la conexión VPN (IPSec), los equipos utilizados para proveer conexión hacia la red Internet o hacia otra localidad donde se encuentra un segundo centro de datos parte de la misma compañía. El resultado obtenido de la revisión de cada uno de los puntos en esta sección nos dará la situación de riesgo que se tiene y hará que se consideren algunas medidas que mejoren o eviten con anticipación la falta de disponibilidad de los datos. Estas podrían incluir mecanismos de recuperación en caso de fallas utilizando conexiones y equipos redundantes para proveer con transparencia la continuidad de los servicios. Página 21 de 73

9 2.2.5 Telefonía Aun cuando la parte de telefonía no es un elemento de influencia directa, es mencionada aquí dada la importancia de la disponibilidad de comunicación constante que se debe tener entre los administradores de centro de datos, proveedores y usuarios finales. Visto desde otro punto vista, y dado el nacimiento e incremento de nuevas tecnologías, la telefonía actualmente esta siendo integrada dentro de la red, lo que en este ámbito lleva a considerarla un elemento más para la realización de una auditoría en este campo. Siendo así, y si el centro de datos brinda este servicio, la perspectiva en esta área cambia de manera particular, volviéndole un punto más de evaluación y consideración, dentro de los servicios del centro de datos. Aquí es necesario considerar los diferentes equipos como PBX IP, Aparatos telefónicos digitales y análogos, adaptadores, dispositivos de control administración y control del servicio Servicios Los servicios son elementos esenciales para el éxito de la compañía. Su adecuada preparación y planeación asegura la estabilidad y rentabilidad del centro de datos. Para todo servicio es necesario contar con los adecuados requerimientos, pruebas iniciales, y los controles asociados para su seguimiento y evaluación. Servicios importantes a considerar en el centro de datos son los servicios de DHCP y DNS. Servicios que deben estar configurados adecuadamente aplicando los diferentes mecanismos de seguridad. DHCP (Dynamic Host Configuration Protocol) puede configurar automáticamente la dirección IP, mascara de red, y direcciones de servidor de nombres. Página 22 de 73

10 DHCP es implementado en el nivel 2 del modelo OSI. Esto significa que DHCP es dependiente de los broadcast en la red. Un enrutador no pasara los broadcast de una red a otra por lo que el servicio de DCHP debe ser instalado en la misma subred donde los clientes harán sus peticiones sin embargo se presta a problemas de seguridad por la forma en como presta el servicio. La evaluación de este punto y detalles adicionales deberán incluirse en el reporte final de una auditoría del centro de datos. El servicio de DNS es un mecanismo para acceder al host en la red a través de nombres sin necesidad de conocer su dirección IP. DNS es software ubicado en el nivel 7 de modelo de referencia OSI y contiene una lista de nombres con sus direcciones IP asociadas, así los sitios web pueden ser utilizados con un nombre. Un problema con el servicio tradicional de DNS es la falta de seguridad. El atacante puede modificar la configuración del DNS, haciendo que los sitios web no se dirijan a su dilección ip original sino a una configurada por el atacante. Establecidos los mecanismos de seguridad para evitar modificaciones en el servidor de nombres, deben evaluarse y auditarse con rigurosidad y de forma presente Seguridad Un centro de datos seguro garantizara su disponibilidad y ofrecerá confianza permanente a los usuarios internos y externos. Con el creciente número de amenazas que se descubren cada día, la seguridad del centro de datos es un factor considerado importante dado la vulnerabilidad de ciertos equipos y sistemas operativos. La revisión constante y la evaluación específica de cada componente de red permitirán contar siempre con una red saludable y por lo tanto con un centro de datos que esta siempre disponible para los usuarios. La seguridad no se limita a los componentes de red y sistemas operativos, sino que se extiende al acceso físico, al espacio donde se encuentran los elementos críticos Página 23 de 73

11 del centro de datos y al acceso a la red no permitida a través de conexiones físicas o inalámbricas. Los adecuados procedimientos y controles para mantener un centro de datos seguros deben estar en sintonía con la meta final de disponibilidad de los diferentes servicios que se ofrecen por lo que la auditoría en este ámbito es necesaria de manera permanente. 2.3 Necesidad por la Disponibilidad Se entenderá por disponibilidad al porcentaje de tiempo que un data center se encuentre prestando sus servicios en línea como se suele decir, si por ejemplo por una falla en el suministro eléctrico su data center deja de operar o deja de prestar algún servicio ese tiempo disminuye la disponibilidad, empresas que prestan servicios de hosting les garantizan a sus clientes una disponibilidad del 99.99%, esto implica que ellos han configurado su data center para reducir al máximo las fallas. Típicamente la disponibilidad usa una fórmula que involucra dos factores, el primero cada cuanto tiempo se presentan las fallas (mean time between failure - MTBF) y cual es el tiempo que se tarda en reparación (mean time to repair - MTTR), ahora la formula usada para la disponibilidad es: Disponibilidad = MTBF (MTBF + MTTR) Por ejemplo, si el data center falla cada 3,000 horas, y se demoran 2 horas en reparación, la disponibilidad sería: 3,000 / 3,002 = 99.93% Otra forma de evaluar la disponibilidad es llevando un registro de las horas que el data center estuvo fuera de servicio en el año, si por ejemplo un data center estuvo Página 24 de 73

12 fuera de servicio seis horas en el año, podríamos aplicar una regla de tres con las horas que tiene el año: 8,760 (8760 HORAS) Disponibilidad = x Para el ejemplo el ( / 8760) * 100 = 99.93% Entonces las empresas que ofrecen un 99.99% de disponibilidad garantizan que su data center estará fuera de servicio por horas en el año, y existen otras entidades que ofrecen el % ellos están garantizando que su data center estará fuera de servicio sólo 5.25 minutos en el año. Ahora la importancia de la disponibilidad radica en que tan importante es tener nuestros servicios de red operando, por ejemplo instituciones bancarias, sitios de compras en línea como Ebay o Amazon, perderían millones de dólares si sus servidores Web ubicados en sus data center dejaran de operar por una hora. De manera que la disponibilidad se ha vuelto un punto fundamental en los centros de datos hoy en día y lograr el 99.99% no sólo implica tener redundancia de equipos, sino de una serie de factores que podemos encontrar en normas, estándares, y documentos de buenas prácticas. Página 25 de 73