UNIVERSIDAD INTERNACIONAL SEK MAESTRÍA DE TECNOLOGÍA DE INFORMACIÓN AUDITORIA DE TI Por: Byron Aguinsaca Fecha: 25 de octubre del 2017 TEMA: CONTROLES CASO DE ESTUDIO Objetivo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales. PROBLEMÁTICA PLANTEADA: La empresa Banco del Estado quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas. Responder los siguientes puntos: 1. ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático o seguridad de la información. El organigrama nos permite representar de manera gráfica la jerarquía que existe entre los diferentes órganos o áreas que conforman la empresa [1], teniendo en cuenta la problemática planteada y buscando la mejora del centro de procesamiento de datos para lograr una adecuada gestión de los sistemas de información, se propone el siguiente organigrama (pagina 2), en el cual se enfatiza el reforzar el área técnica incrementando departamentos que serán importantes para un correcto desempeño de la empresa.
Auditoria de TI
1
ORGANIGRAMA DE LA EMPRESA BANCO DEL ESTADO
Gerencia Directiva
Auditoria
Gerencia Técnica
Seguridad Informática
Auditor Interno
Infraestructura
Ingeniería de software /desarrollo
Gerencia Operativa
Telecomunicaciones
Monitoreo y control
Soporte a usuarios
Gerencia Administrativa
Operadores
Contador General
Servicios externos
Departamento de Finanzas
RRHH
2 Auditoria de TI
Gerencia directiva: La gerencia directiva será quienes toman las decisiones finales sobre el rumbo de la empresa. Gerencia administrativa: se encargara de la parte financiera y contratación del nuevo personal considerando las políticas de seguridad establecidas en la empresa. Gerencia operativa: Se encargara de la parte operante, verificar que las instalaciones cumplan con los requisitos para que el personal pueda desarrollar sus actividades de la mejor manera. Gerencia técnica: Se encargara de mantener siempre en óptimo estado todo lo inherente a los sistemas informáticos y tecnología, deberá precautelar la información que circula en la empresa y se relacionara con las demás áreas para hacer cumplir las normas y controles establecidos. 2. Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Tomando como referencia la Norma ISO 27002 [2], los controles que deben establecerse para precautelar la información en la empresa son:
Establecer una política de seguridad, la cual establecerá las directrices que garantizaran la seguridad de la información.
La Seguridad ligada a los recursos humanos, en relación a la actividad comercial que la empresa efectúa es muy importante para salvaguardar la información crítica que maneja; se debe conocer al personal a contratar y hacer un seguimiento durante el tiempo contratado.
Identificación de activos, definir el tipo de información que circula en la organización, cada área debe elaborar y mantener un inventario de los activos de información, de manera adicional debe existir una clasificación de dicha información, es decir, información crítica, información de conocimiento público e información interna.
Seguridad de la información en el Recurso Humano, todo el personal de la organización debe tener asignado un perfil, cualquiera que sea su situación contractual o la tarea que desempeñe, perfiles que deben ser almacenados y actualizados contantemente. La asignación de perfiles permite clasificar de
Auditoria de TI
3
mejor manera las responsabilidades que tiene cada uno. Los perfiles podrían ser: Personal de la organización, estudiantes, personal externo (proveedores) e invitados.
Cifrado, establecer una política de uso de controles criptográficos que disminuyan el riesgo de que la información sea corrompida o vista por personas a las cuales no está dirigida. Tanto las comunicaciones como la información deben estar encriptadas.
Control de acceso, establecer mecanismos para el acceso a las instalaciones de la organización en función de los perfiles y roles que cumpla las personas que estén inmersas en los distintos procesos de la organización.
Seguridad física y del entorno, delimitar el acceso a las instalaciones dependiendo del perfil establecido, adicional se establece los mecanismos que permitirán mantener un esquema de seguridad de los equipos que mantienen la información institucional.
Seguridad de operaciones, establecer mecanismos de hardware en los cuales se pueda archivar información, es decir, copias de seguridad informática que permitan mantener la continuidad del negocio en caso de existir alguna eventualidad que altere el correcto funcionamiento.
Seguridad de las Telecomunicaciones, definir la seguridad de los equipos de comunicación, mantenimientos y prevención. Asegurar que los equipos que permiten las comunicaciones en la organización siempre estén operativos y que dispongan de softwares actualizados.
Continuidad del negocio y operaciones, establecer procesos que ayuden a la operatividad del negocio, sin interrupciones de manera que al existir algún tipo de incidente, la organización sea capaz de operar de manera normal.
Cumplimiento, definir las normas de cumplimiento de la política de seguridad y las sanciones que podrían efectuarse al no cumplir con dichas normas.
3. Detallar conclusiones del estudio y determinar en el futuro, cuál puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. El centro de procesamiento de datos de la empresa banco del estado, permitirá mejorar la calidad del servicio que se ofrece a los diversos clientes con los que cuenta la empresa, agilitara los transacciones en línea, movimientos en sus cuentas, solicitudes de información, etc. En relación a la seguridad
Auditoria de TI
de la 4
información, el establecer los diversos controles permitirá garantizar que los datos que los clientes continuamente generan, se rijan al principio básico de seguridad de información; que es la confidencialidad, integridad y disponibilidad de los datos. El número de personas que se deben implementar en el centro de procesamiento de datos serian 15, y, de acuerdo al organigrama establecido serian asignados de la siguiente manera: 1 para gerencia técnica, 2 para seguridad informática y auditor interno, 2 para infraestructura, 2 desarrolladores y programadores, 2 para telecomunicaciones, 2 para soporte a usuarios y 2 para monitoreo y control. 4. ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso de Datos (área de desarrollo/mantenimiento y área de Explotación/Producción).? El centro de soporte de datos se debe ubicar en un lugar central y debe cumplir con las normas establecidas para su diseño y administración [3], las demás áreas que colaboran con el soporte y administración del CPD (áreas técnica de sistemas, administración de Base de Datos, y Telecomunicaciones), deben estar cercanas, es decir, a sus alrededores, para en caso de cualquier eventualidad puedan acudir de manera rápida y logren solventar los inconvenientes que puedan existir. Bibliografía: [1]
Patricia
Fernandez,
“Organigrama
de
una
empresa
-
Gestion.Org,”
GESTION.ORG, 2013. [Online]. Available: https://www.gestion.org/recursoshumanos/5936/organigrama-de-una-empresa/. [Accessed: 25-Oct-2017]. [2]
ISO, “Controles ISO 27002,” p. 3, 2013.
[3]
Camilo Santos, “Centros de Proceso de Datos,” Universidad de Cantabria, 2013. [Online].
Available:
https://sdei.unican.es/Paginas/informacion/infraestructura/CPDs.aspx. [Accessed: 25-Oct-2017].
Auditoria de TI
5
