Auditoria de Sistemas

Auditoria
Proceso Backup

Daniel Gonzlez del Rio Mario Navarro

Enlaseguros ltda Programa de autora para la revisin del respaldo de informacin Fecha 19/03/2013 Elaborado Por: Mario navarro Daniel Gonzlez Revisado por: Nro 1 Procedimiento Responsable Proceso de backup Coordinador de sistemas y seguridad Fecha 19/03/2013

Proceso o dependencia Auditada: Departamento de sistemas

Objeto de la auditoria Conocer el proceso de respaldo de informacin en la entidad Alcance de la auditoria Mejorar los diversos procesos de almacenamiento y respaldo de informacin de la empresa

Proceso de backup Este proceso se basa en el backup realizado en los equipos de cmputo y servidores de la empresa. Donde se alojan los aplicativos y por ende las bases de datos de los mismo. HALLAZGOS ENCONTRADOS Hallazgo 1-El personal de sistemas no poseen conocimientos de los servicios de backup en el mercado Recomendacin Capacitar al personal para que pueda aplicar mejoras en la infraestructura y manejar mejores prcticas en el rea Plan de accin Dar capacitacin certificada por medio de otras entidades o personas competentes que puedan dar fe de los conocimientos adquiridos Hallazgo 2-El personal de sistemas no poseen la infraestructura tecnolgica suficiente para realizar backup que no sean por medios extrables Recomendacin Invertir en arreglos de disco y sistemas de bakups como san (Storage Area Network) y discos raid Plan de accin Propuesta de infraestructura a los altos mandos especificando la importancia de la informacin en una empresa y sus posibles consecuencias si llegaran a sufrir algn dao inesperado Hallazgo 3- utilizan solo backup fsicos en la misma empresa Recomendacin Contratar backup en la nube Plan de accin Utilizar backup gratuitos o de pago como lo son dropbox y skydrive demostrando la efectividad de estos para posteriormente obtener uno de pago

Hallazgo 4- no se realizan backup diarios de la informacin con consentimiento del usuario Recomendacin Realizar backup en frio diariamente Plan de accin Previo acuerdo con el usuario funcional, se define da y hora de ejecucin de este respaldo en medios extrables o el servidor

Hallazgo 5- no se realizan backup diarios de la informacin de manera automatizada Recomendacin Realizar backup lgicos Plan de accin Se construye un script que especifica los datos a respaldar, nombre del archivo a generar, el nombre del archivo log, el tipo de respaldo y las fechas del respaldo. Hallazgo 6- No se realizan backup o imgenes del sistema operativo para su pronta recuperacin tardando todo el proceso de mi migracin Recomendacin Realizar imgenes del disco con iso del sistema operativo y sus aplicativos Plan de accin Se realizaran imgenes de cada pc identificando por nmero de serie a cada sistema evitando as posibles confusiones

Hallazgo 7- No se realizan backup de los correos de cada cuenta en ningn servidor Recomendacin Realizar backup de los archivos pst de cada cuenta regularmente y almacenarlos en la nube o en el dispositivo de backup de la empresa (san, servidor etc..) Plan de accin Se realizara respaldo con herramientas de respaldo pst diariamente (GFI BACKUP 2009 ) y posteriormente se almacenaran en el gestor de backup

Hallazgo 8- Servidor sin arreglos de disco raid lo que conlleva a problemas de perdida de informacin si ocurriera falencias fsicas en los mismos Recomendacin Implementar arreglos de discos para tener un soporte por posibles complicaciones fsicas Plan de accin Se realizara arreglos raid y se conseguir una tarjeta controladora para implementar esta estructura en el servidor evitando posibles falencias fsicas en los discos

Hallazgo 9- Una vez almacenada la informacin en backup, no se establece una revisin peridica para garantizar la integridad de la informacin Recomendacin llevar un registro de todas las copias de seguridad en el cual se confirme la fecha en la que se revis y el estado de estas mismas Plan de accin el plan de accin seria capacitar personal para que realice esa tarea de acuerdo a un cronograma establecido dependiendo de la importancia de la copia de seguridad entre ms importante sea esta mayor ser la prioridad

Hallazgo 10- no se realiza respaldo de las bases de datos de los aplicativos Recomendacin Realizar un backup de las bases de datos de los aplicativos de la empresa Plan de accin el plan de accin seria capacitar personal para realizar peridicamente backup de las bases de datos de los aplicativos usados en la empresa indicando las rutas y que archivos guardar

Hallazgo 11- No se clasifica la informacin, esto se hace para que realizar la copia de seguridad sea un proceso largo y tedioso por la cantidad de informacin que se est copiando. Recomendacin Realizar un backup diario o semanal de la informacin liviana o la que trabajamos a diario y poder estipular de manera semestral o anual un backup de toda la informacin histrica junto con la actual y as tener un repositorio de informacin organizado y efectivo. Plan de accin hacer una clasificacin de la informacin en donde por un lado tenemos la informacin que manejamos seguido, esta informacin debe ser liviana a fin de poder realizar copia de manera rpida; y por otro lado tenemos la informacin histrica en donde es mucho ms robusta y pesada, pero esta informacin no se modifica peridicamente sino de manera espordica