• Author / Uploaded
• Jose Luis A

Citation preview

Asignatura

Datos del alumno

Fecha

Apellidos: Abraham Charur

Auditoría de la Seguridad

15/dic/2019 Nombre: Jose Luis

Actividades Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas. Realiza los siguientes puntos: ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático. Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso

de

Datos

(área

Explotación/Producción).?

TEMA 2 – Actividades

de

desarrollo/mantenimiento

y

área

de

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? Se considerarán ejercicios válidos si contestas a todos los apartados razonando debidamente cada decisión tomada. Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

Table of Contents Introducción ................................................................................................................... 4 Organigrama de la Organización ................................................................................5 Descripción de Funciones ............................................................................................ 6 Controles Generales ..........................................................................................................7 Conclusiones..................................................................................................................... 8 Localización del CPD..................................................................................................... 9 Biografía ......................................................................................................................... 11

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

Introducción Que es un CPD, Centro de procesamiento de Datos “Se pueden definir como la ubicación donde se encuentran los equipos informáticos necesarios para el procesamiento de la información de una empresa. Su tamaño puede variar de pequeñas salas a conjuntos de edificios. Los más habituales suelen ocupar grandes salas o un edificio entero.” (Unitel, 2016) “En ellos se ubican grandes cantidades de componentes electrónicos que hacen posible el almacenamiento y proceso de la información. Es por esto que hay que tener un especial cuidado con estas instalaciones. Se construyen con el objetivo de garantizar la continuidad de servicio, o para gestionar informaciones críticas. Por ejemplo, todos los bancos cuentan con Centros de Proceso de Datos, manejan informaciones confidenciales y la seguridad es una prioridad.” (Unitel, 2016)

TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Abraham Charur

Auditoría de la Seguridad

15/dic/2019 Nombre: Jose Luis

Organigrama de la Organización

Director de Tecnología e Infraestructur

Asistente

Director de

Fábrica de

Director

Director de

Seguridad de

Director de

Voz y Datos

Software

Sistemas

Sistemas

la Información

Centro de

Wintel

Subdirector

Subdirector

Voz

Datos

TEMA 2 – Actividades

IMB

Unisys

Tandem

Wintel

Datos

CPD

CPD

MEXICO

MONTERREY

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

Descripción de Funciones Director de Tecnología e Infraestructura: Es la persona responsable de tomar decisiones finales sobre el rumbo de la empresa. Director de Voz y Datos: Es el responsable de diseñar, soportar el área de Red y Voz de la organización Subdirector de Voz: Responsable de Operar y soportar la infraestructura de Voz Subdirector

de

Red:

Responsable

de

Diseñar,

e

Implementar

la

infraestructura de Red Fábrica de Software. Es el área responsable del Diseño de las diferentes aplicaciones provistas a los clientes, también se encarga del soporte de éstas Director de Sistemas: Es el responsable de la infraestructura de los sistemas de Infraestructura, Unisys, IBM, Tándem, los cuáles manejan el Core de las aplicaciones del banco, cada una hace unas funciones específicas de las mismas aplicaciones. La comunicación entre ellas se hacen llamar MACRO TCP SERVERS. Director de Wintel : Responsable de los Sistemas Distribuidos de la organización, los cuáles son los responsables de administrar los equipos WINDOWS, como son Exchange Servers, SCM (Software Control Manager), que se encargan de administrar las aplicaciones y actualizaciones de los equipos de la organización de Windows para que operen de acuerdo a las políticas y estándares, Seguridad de la Información:

Es el responsable de realizar las diferentes

auditorias internas a la organización, como el punto de contacto hacia las entidades regulatorias como CNBV, Banxico. Director del Centro de Datos: Es el responsable de la administración y operación del Centro de Datos, tiene a su cargo los 2 importantes centros de Datos del País. Tiene

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

la responsabilidad de llevar el inventario de energía consumida dentro del CPD para evitar poder tener algún tipo de problema en el futuro. Controles Generales

Establecer controles generales que hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos

Debido a que los activos más importantes de la empresa son la información de sus clientes se debe de asegurar la misma, para ello se tomará como referencia la Norma ISO 27002:2013 

Establecer Política de Seguridad, donde garantizará las diferentes directrices para garantizar la información.



Clasificación de la Información, es importante contar con una clasificación de la información para conocer el tipo de riesgo y poder tomar decisiones sobre esa misma información. (Confidencial, Publica, Interna).



Recursos Humanos, cada uno de los usuarios deberá contar con un perfil de usuario dependiendo de su actividad. Estos perfiles deberán estar siendo evaluados periódicamente para en su caso continuar o remover algún privilegio



Cifrado, establecer una política de cifrado de las aplicaciones, así como los enlaces de la infraestructura de Red con un cifrado AES 256, para evitar que la información pueda ser corrompida o vista por personas a las cuáles no están dirigidas.



Seguridad Física y del entorno, delimitar el acceso a las instalaciones dependiendo del perfil establecido, adicionalmente en las oficinas mantener el CLEAN DESK para evitar cualquier tipo de perdida de información, ya que son lugares abiertos, por lo tanto, contar con un archivero para guardar la información, en ningún momento se deberán guardar información confidencial o Computadoras personales de la organización. Todos los usuarios cuentan con un Disco Virtual en la cuál tiene la capacidad de 50G para almacenar la información de usuario, esto con el fin de evitar guardar la información en la

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

maquina física y evitar perdida de información en alguna falla propia de la máquina. 

Seguridad de Redes: Toda la infraestructura de telecomunicaciones deberá tener mantenimiento, así como también, cualquier equipo que esté Fin de Vida deberá ser cambiado a la brevedad para evitar cualquier tipo de contingencia.



Continuidad del Negocio: Se deberá establecer un proceso de pruebas de las aplicaciones e infraestructura en su Edificio Alterno periódicamente para garantizar que se tiene una continuidad en caso de algún incidente grave.



Cumplimiento: Se deberá de definir las normas de cumplimiento de la política de seguridad y las sanciones que podrían efectuarse al no cumplirlas.

Conclusiones

Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo numero de personas que deben de realizar las funciones en el CPD, sin perder eficiencia y eficacia El CPD de la empresa es un activo importante de la organización, puesto que ahí es donde reside toda la información de los clientes, también es donde reside toda la infraestructura central que le da servicio a las diferentes sucursales. Es importante establecer los diferentes controles de seguridad para poder garantizar la información de los clientes que es la Confidencialidad, Integridad y Disponibilidad. Para este caso, debido a la cantidad de infraestructura, la cantidad mínima de personas son: 

4 servidores de Exchange Servers por CPD, la cantidad mínima de personas para soporte son 2 en turnos de 24 horas por CPD, es decir 1 turnos matutinos de 8AM a 8PM, 1 turnos nocturnos de 8PM a 8AM. Debido a que el correo no es prioritario para la organización, se puede quedar sin soporte por un periodo de tiempo razonable.

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad



Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

24 servidores Unisys, Tándem, IBM por CPD, con un personal mínimo de 12 personas, la cual se distribuirían de la siguiente manera, 4 Personas para soporte a Unisys, 4 para soporte a Tándem, y 4 para soporte a IBM, en turnos de 24 horas, ya que esto son los equipos CORE de las aplicaciones, y cada que este sin servicio alguna aplicación, es perdida de atención al cliente, y perdida de reputación. Lo cuál manejan 6000 Cajeros Automáticos y 2500 sucursales.



Administrador de CPD, cada administrador de CPD, deberá contar con un responsable para las diferentes áreas, o Physycal Provisioning, Provisión Física, se encarga de recibir equipo, instalarlo físicamente en los racks. Para este caso la cantidad de personal mínimo, deberá de ser 4 en 2 turnos, 2 por la mañana y 2 por la noche. o Service Delivery: Entrega de servicios, es el responsable de proveer el soporte para la entrega de servicios tanto de redes como de Servidores. Apoyo en la instalación de cableado, conexiones físicas a las diferentes infraestructuras, así como también el apoyo en caso de falla. Para este caso se deberá contar con 6 personas, 3 por la mañana y 3 por la noche en ambos CPDS.

Localización del CPD ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso de Datos (área de desarrollo/mantenimiento y área de Explotación/Producción). “La ubicación física e instalación de un CPD en una empresa depende de muchos factores, entre los que podemos citar, el tamaño de la empresa, el servicio que pretende obtener, las disponibilidades de espacio físico existente o proyectado, etc.”(M. Castañares, n.d.)

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

El soporte de datos se ubicará dentro del CPD en un área diseñada que deberá cumplir con las normas establecidas para su diseño y administración, el resto de las áreas de soporte deberán de estar en el mismo edificio para poder proporcionar los diferentes soportes a fallas. “Un CPD es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ejemplo, un banco puede tener un data center con el propósito de almacenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. Prácticamente todas las compañías que son medianas o grandes tienen algún tipo de CPD, mientras que las más grandes llegan a tener varios.”

(“Centro de

Procesamiento de Datos,” 2013) “Entre los factores más importantes que motivan la creación de un CPD se puede destacar el garantizar la continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos ámbitos es muy importante la protección física de los equipos informáticos o de comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica.” (“Centro de Procesamiento de Datos,” 2013) En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? “La segregación de funciones no implica más controles, sino controles efectivos” “La segregación de funciones está orientada a evitar que una misma persona tenga accesos a dos o más responsabilidades dentro del sistema, de tal forma que pueda realizar acciones o transacciones que lleven a la consumación de un fraude.”(Bonilla Martinez, 2016)

Como se puede ver en el organigrama y descripción cada departamento tiene una función específica, la cual está distribuida en cada una de las áreas que la conforman TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis

dentro del mismo CPD, cada uno de los responsables tiene su propia área de responsabilidad, cada responsable puede interactuar para llegar a una solución que beneficie a la organización, pero en ningún momento ingieren en otra área, es decir, no son Juez y Parte

Biografía Archivos. (n.d.). Retrieved December 15, 2019, from

https://micampus.unir.net/courses/7289/files/folder/Material%2 0Extra%20clase?preview=1320289 Bonilla Martinez, M. H. (2016, May 25). La segregación de funciones. Aspecto clave de control en los procesos de la organización. Retrieved December 29, 2019, from Www.auditool.org website: https://www.auditool.org/blog/control-interno/4228la-segregacion-de-funciones-aspecto-clave-de-control-en-los-procesos-de-laorganizacion Castañares, M. (n.d.). Centro de Procesamiento de Datos—Monografias.com. Retrieved December 23, 2019, from https://www.monografias.com/trabajos7/ceproc/ceproc.shtml Centro de Procesamiento de Datos. (2013, Enero). Retrieved December 29, 2019, from http://cesarcpd.blogspot.com/

http://www.iso27000.es/download/ControlesISO270022013.pdf

TEMA 2 – Actividades