Loading documents preview...
Asignatura
Datos del alumno
Fecha
Apellidos: Abraham Charur
Auditoría de la Seguridad
15/dic/2019 Nombre: Jose Luis
Actividades Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas. Realiza los siguientes puntos: ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático. Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso
de
Datos
(área
Explotación/Producción).?
TEMA 2 – Actividades
de
desarrollo/mantenimiento
y
área
de
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? Se considerarán ejercicios válidos si contestas a todos los apartados razonando debidamente cada decisión tomada. Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
Table of Contents Introducción ................................................................................................................... 4 Organigrama de la Organización ................................................................................5 Descripción de Funciones ............................................................................................ 6 Controles Generales ..........................................................................................................7 Conclusiones..................................................................................................................... 8 Localización del CPD..................................................................................................... 9 Biografía ......................................................................................................................... 11
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
Introducción Que es un CPD, Centro de procesamiento de Datos “Se pueden definir como la ubicación donde se encuentran los equipos informáticos necesarios para el procesamiento de la información de una empresa. Su tamaño puede variar de pequeñas salas a conjuntos de edificios. Los más habituales suelen ocupar grandes salas o un edificio entero.” (Unitel, 2016) “En ellos se ubican grandes cantidades de componentes electrónicos que hacen posible el almacenamiento y proceso de la información. Es por esto que hay que tener un especial cuidado con estas instalaciones. Se construyen con el objetivo de garantizar la continuidad de servicio, o para gestionar informaciones críticas. Por ejemplo, todos los bancos cuentan con Centros de Proceso de Datos, manejan informaciones confidenciales y la seguridad es una prioridad.” (Unitel, 2016)
TEMA 2 – Actividades
Asignatura
Datos del alumno
Fecha
Apellidos: Abraham Charur
Auditoría de la Seguridad
15/dic/2019 Nombre: Jose Luis
Organigrama de la Organización
Director de Tecnología e Infraestructur
Asistente
Director de
Fábrica de
Director
Director de
Seguridad de
Director de
Voz y Datos
Software
Sistemas
Sistemas
la Información
Centro de
Wintel
Subdirector
Subdirector
Voz
Datos
TEMA 2 – Actividades
IMB
Unisys
Tandem
Wintel
Datos
CPD
CPD
MEXICO
MONTERREY
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
Descripción de Funciones Director de Tecnología e Infraestructura: Es la persona responsable de tomar decisiones finales sobre el rumbo de la empresa. Director de Voz y Datos: Es el responsable de diseñar, soportar el área de Red y Voz de la organización Subdirector de Voz: Responsable de Operar y soportar la infraestructura de Voz Subdirector
de
Red:
Responsable
de
Diseñar,
e
Implementar
la
infraestructura de Red Fábrica de Software. Es el área responsable del Diseño de las diferentes aplicaciones provistas a los clientes, también se encarga del soporte de éstas Director de Sistemas: Es el responsable de la infraestructura de los sistemas de Infraestructura, Unisys, IBM, Tándem, los cuáles manejan el Core de las aplicaciones del banco, cada una hace unas funciones específicas de las mismas aplicaciones. La comunicación entre ellas se hacen llamar MACRO TCP SERVERS. Director de Wintel : Responsable de los Sistemas Distribuidos de la organización, los cuáles son los responsables de administrar los equipos WINDOWS, como son Exchange Servers, SCM (Software Control Manager), que se encargan de administrar las aplicaciones y actualizaciones de los equipos de la organización de Windows para que operen de acuerdo a las políticas y estándares, Seguridad de la Información:
Es el responsable de realizar las diferentes
auditorias internas a la organización, como el punto de contacto hacia las entidades regulatorias como CNBV, Banxico. Director del Centro de Datos: Es el responsable de la administración y operación del Centro de Datos, tiene a su cargo los 2 importantes centros de Datos del País. Tiene
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
la responsabilidad de llevar el inventario de energía consumida dentro del CPD para evitar poder tener algún tipo de problema en el futuro. Controles Generales
Establecer controles generales que hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos
Debido a que los activos más importantes de la empresa son la información de sus clientes se debe de asegurar la misma, para ello se tomará como referencia la Norma ISO 27002:2013
Establecer Política de Seguridad, donde garantizará las diferentes directrices para garantizar la información.
Clasificación de la Información, es importante contar con una clasificación de la información para conocer el tipo de riesgo y poder tomar decisiones sobre esa misma información. (Confidencial, Publica, Interna).
Recursos Humanos, cada uno de los usuarios deberá contar con un perfil de usuario dependiendo de su actividad. Estos perfiles deberán estar siendo evaluados periódicamente para en su caso continuar o remover algún privilegio
Cifrado, establecer una política de cifrado de las aplicaciones, así como los enlaces de la infraestructura de Red con un cifrado AES 256, para evitar que la información pueda ser corrompida o vista por personas a las cuáles no están dirigidas.
Seguridad Física y del entorno, delimitar el acceso a las instalaciones dependiendo del perfil establecido, adicionalmente en las oficinas mantener el CLEAN DESK para evitar cualquier tipo de perdida de información, ya que son lugares abiertos, por lo tanto, contar con un archivero para guardar la información, en ningún momento se deberán guardar información confidencial o Computadoras personales de la organización. Todos los usuarios cuentan con un Disco Virtual en la cuál tiene la capacidad de 50G para almacenar la información de usuario, esto con el fin de evitar guardar la información en la
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
maquina física y evitar perdida de información en alguna falla propia de la máquina.
Seguridad de Redes: Toda la infraestructura de telecomunicaciones deberá tener mantenimiento, así como también, cualquier equipo que esté Fin de Vida deberá ser cambiado a la brevedad para evitar cualquier tipo de contingencia.
Continuidad del Negocio: Se deberá establecer un proceso de pruebas de las aplicaciones e infraestructura en su Edificio Alterno periódicamente para garantizar que se tiene una continuidad en caso de algún incidente grave.
Cumplimiento: Se deberá de definir las normas de cumplimiento de la política de seguridad y las sanciones que podrían efectuarse al no cumplirlas.
Conclusiones
Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo numero de personas que deben de realizar las funciones en el CPD, sin perder eficiencia y eficacia El CPD de la empresa es un activo importante de la organización, puesto que ahí es donde reside toda la información de los clientes, también es donde reside toda la infraestructura central que le da servicio a las diferentes sucursales. Es importante establecer los diferentes controles de seguridad para poder garantizar la información de los clientes que es la Confidencialidad, Integridad y Disponibilidad. Para este caso, debido a la cantidad de infraestructura, la cantidad mínima de personas son:
4 servidores de Exchange Servers por CPD, la cantidad mínima de personas para soporte son 2 en turnos de 24 horas por CPD, es decir 1 turnos matutinos de 8AM a 8PM, 1 turnos nocturnos de 8PM a 8AM. Debido a que el correo no es prioritario para la organización, se puede quedar sin soporte por un periodo de tiempo razonable.
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
24 servidores Unisys, Tándem, IBM por CPD, con un personal mínimo de 12 personas, la cual se distribuirían de la siguiente manera, 4 Personas para soporte a Unisys, 4 para soporte a Tándem, y 4 para soporte a IBM, en turnos de 24 horas, ya que esto son los equipos CORE de las aplicaciones, y cada que este sin servicio alguna aplicación, es perdida de atención al cliente, y perdida de reputación. Lo cuál manejan 6000 Cajeros Automáticos y 2500 sucursales.
Administrador de CPD, cada administrador de CPD, deberá contar con un responsable para las diferentes áreas, o Physycal Provisioning, Provisión Física, se encarga de recibir equipo, instalarlo físicamente en los racks. Para este caso la cantidad de personal mínimo, deberá de ser 4 en 2 turnos, 2 por la mañana y 2 por la noche. o Service Delivery: Entrega de servicios, es el responsable de proveer el soporte para la entrega de servicios tanto de redes como de Servidores. Apoyo en la instalación de cableado, conexiones físicas a las diferentes infraestructuras, así como también el apoyo en caso de falla. Para este caso se deberá contar con 6 personas, 3 por la mañana y 3 por la noche en ambos CPDS.
Localización del CPD ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso de Datos (área de desarrollo/mantenimiento y área de Explotación/Producción). “La ubicación física e instalación de un CPD en una empresa depende de muchos factores, entre los que podemos citar, el tamaño de la empresa, el servicio que pretende obtener, las disponibilidades de espacio físico existente o proyectado, etc.”(M. Castañares, n.d.)
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
El soporte de datos se ubicará dentro del CPD en un área diseñada que deberá cumplir con las normas establecidas para su diseño y administración, el resto de las áreas de soporte deberán de estar en el mismo edificio para poder proporcionar los diferentes soportes a fallas. “Un CPD es un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico. Suelen ser creados y mantenidos por grandes organizaciones con objeto de tener acceso a la información necesaria para sus operaciones. Por ejemplo, un banco puede tener un data center con el propósito de almacenar todos los datos de sus clientes y las operaciones que estos realizan sobre sus cuentas. Prácticamente todas las compañías que son medianas o grandes tienen algún tipo de CPD, mientras que las más grandes llegan a tener varios.”
(“Centro de
Procesamiento de Datos,” 2013) “Entre los factores más importantes que motivan la creación de un CPD se puede destacar el garantizar la continuidad del servicio a clientes, empleados, ciudadanos, proveedores y empresas colaboradoras, pues en estos ámbitos es muy importante la protección física de los equipos informáticos o de comunicaciones implicados, así como servidores de bases de datos que puedan contener información crítica.” (“Centro de Procesamiento de Datos,” 2013) En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? “La segregación de funciones no implica más controles, sino controles efectivos” “La segregación de funciones está orientada a evitar que una misma persona tenga accesos a dos o más responsabilidades dentro del sistema, de tal forma que pueda realizar acciones o transacciones que lleven a la consumación de un fraude.”(Bonilla Martinez, 2016)
Como se puede ver en el organigrama y descripción cada departamento tiene una función específica, la cual está distribuida en cada una de las áreas que la conforman TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Abraham Charur 15/dic/2019 Nombre: Jose Luis
dentro del mismo CPD, cada uno de los responsables tiene su propia área de responsabilidad, cada responsable puede interactuar para llegar a una solución que beneficie a la organización, pero en ningún momento ingieren en otra área, es decir, no son Juez y Parte
Biografía Archivos. (n.d.). Retrieved December 15, 2019, from
https://micampus.unir.net/courses/7289/files/folder/Material%2 0Extra%20clase?preview=1320289 Bonilla Martinez, M. H. (2016, May 25). La segregación de funciones. Aspecto clave de control en los procesos de la organización. Retrieved December 29, 2019, from Www.auditool.org website: https://www.auditool.org/blog/control-interno/4228la-segregacion-de-funciones-aspecto-clave-de-control-en-los-procesos-de-laorganizacion Castañares, M. (n.d.). Centro de Procesamiento de Datos—Monografias.com. Retrieved December 23, 2019, from https://www.monografias.com/trabajos7/ceproc/ceproc.shtml Centro de Procesamiento de Datos. (2013, Enero). Retrieved December 29, 2019, from http://cesarcpd.blogspot.com/
http://www.iso27000.es/download/ControlesISO270022013.pdf
TEMA 2 – Actividades