Auditorias, Protocolos de Terminación. Sayonara Baby!.

Todo lo que comienza, termina. Así que para toda acción, tarea, proceso, etc. iniciado dentro de un sistema se deben de aplicar los procesos análogos de terminación, finalización, conclusión, etc. Destacando, que toda la documentación relacionada con ellos es y será requerida en cualquier trabajo de auditoria serio.

Aunque el planteamiento es sencillo, el trabajo y complejidad asociados al mismo no es nada despreciable. En muchos sistemas se trata la terminación de cualquier tarea, como un “apagado” o finalización de la misma sin más procesos asociados, no exisitiendo protolos de terminacion que puedan ser auditados.

Y una de las respuestas más comunes al preguntar sobre el tema a los administradores en un auditoria es un lánguido silencio.

El ámbito de aplicación de los protocolos de terminación dentro de las IT es global y si se analiza detenidamente, el resultado, indica que su aplicación es un elemento imprescindible para la correcta gestión de cualquier proceso emprendió.

Una de las características mas destacables de estos procesos es su globalidad ya que para su aplicación, se debe de proceder a una extensa recopilación de información asi como de la modificación y actualización de cualquier proceso asociado, produciéndose en ocasiones nodos, i-nodos, n-nodos de relación y árboles de trabajo bastante complejos.

Todo esto, es la “teoría”, y si queremos añadir complejidad al asunto, podríamos aplicar reglas de “coste” a los nodos y las reducciones asociadas, pero normalmente estos procesos, acortan el “papeleo” y flujos de trabajos, pero en contra, aporta ilegibilidad a las tareas y procesos a realizar.

Y como toda “teoría” nos aporta una primera aproximación a los requerimientos que necesitaremos para aplicar.

Veamos varios ejemplos prácticos.

-BBDD

Uno de las situaciones mas típicas, dar de baja una base de datos de un entorno de explotación (contabilidad, personal, marketing, etc.). Partiríamos de la creación de una plantilla tipo asociada a la tarea, en la cual recopilaríamos toda la información relacionado con la identificación de la BBDD, luego pasaríamos a la recopilación de los datos asociados a su explotación, aplicaciones asociadas, capas de ejecución, listado de usuarios o grupos de acceso, áreas de almacenamiento (soportes ) y ejecución (unidades de computo, servidores) tipos y sensibilidad de los datos contenidos en la misma (LOPD), servicios y procesos asociados a la ejecución de la misma, aplicaciones de monitorización, seguridad y Backups! Y terminaríamos con las referencias relativas a los soportes de copia y su proceso de extinción de datos (que cintas Backup se utilizan y su proceso de extinción, borrado, destrucción o sobré escritura) y dejamos para el final lo mas importante, la firma de al menos dos responsables en la ejecución de la tarea, uno que seria el técnico, técnicos asignados y otro el responsable del Dep. Asociado.

-Hardware

Seguiríamos el mismo proceso, generación de documentos tipo, identificación del elemento, recopilación de la información operativa, servicios y procesos asociados al elemento, consideraciones relativas a la seguridad del mismo, impacto en el entorno de explotación, documentos y modificaciones operativas a actualizar o modificar , tratamiento y destino final del equipamiento destino y la constancia de los responsables involucrados en el proceso, así como la certificación de la finalización de todas las tareas iniciadas.

-Aplicaciones

Los mismos pasos y protocolos que en el ejemplo de la BBDD.

Para las Cuentas de Red, Correo Electrónico, Puesto de Trabajo lo trataremos en el proximo post, ya que en el tratamiento de estos procesos intervienen una serie de consideraciones jurididas, que deben de ser tomadas en cuenta.