Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
Acc t i v i d a d e s A Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas.
Realiza los siguientes puntos: ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático. Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase Cada día las empresas generan una ingente cantidad de datos que son clave para sus procesos internos y externos. La información, su correcta gestión y administración y la capacidad de analizar un gran número de datos se ha convertido en una prioridad para muchas empresas. De esta forma, los Centros de Procesamiento de Datos (CPD) se han convertido en el sistema nervioso central de cualquier compañía que apueste por los nuevos avances tecnológicos, la innovación y la flexibilidad para dar respuestas inmediatas a un mercado cada vez más volátil y cambiante. Un Centro de Procesamiento de Datos (CPD) es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa.
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos.
CONTROLES DE SEGURIDAD: Política de seguridad
Mecanismos para distinguir la información confidencial de la normal.
• Procedimientos de utilización de sistemas informáticos (uso del correo, de internet…) • Cláusulas de confidencialidad en caso de accesos externos a información. Alta, modificación y eliminación de usuarios en el sistema.
• Mecanismos de control de acceso lógico (quién puede acceder a qué). • Planificación de copias de respaldo en caso de que se pierda algún fichero. • Mecanismos de seguridad física (un torno en la entrada, extintores…) • Procedimientos de aceptación de nuevos empleados (revisión de credenciales antes de la contratación…) • Procedimientos de protección de los equipos informáticos (antivirus, protección de red…)
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
• Metodología de desarrollo de nuevas aplicaciones o modificaciones sobre las existentes.
Política de contraseñas
Evaluar si la organización dispone de una política de contraseñas definida y valorar su nivel de formalización, adjuntándola como evidencia en caso de que exista.
En segundo lugar se deberá evaluar la bondad de la política de contraseñas definida (formalizada o no).
Autorización de usuarios
Todos los accesos deben ser autorizados por el responsable de la información accedida. Es decir, el responsable del área de contabilidad (o sus jerárquicamente superiores) debería ser el que decidiera quién puede acceder y quién no a la información sobre contabilidad.
El usuario tendrá acceso únicamente a la información que necesita para el desempeño de sus funciones. Por ejemplo, un usuario de contabilidad no debería tener acceso a la aplicación de RRHH a menos que también realice funciones de formación o gestión de personal.
Se deben cumplir requisitos de segregación de funciones. Por ejemplo, siempre que sea posible evitar que el mismo usuario que realice un pedido sea el mismo que realice el pago de dicho pedido.
Controles del área de DESARROLLO Gestión de cambios Que exista una metodología de desarrollo o que se cubra la mayoría de fases. Una metodología de desarrollo es un procedimiento específico del área de sistemas que describe y detalla el proceso a seguir cuando se desea modificar o mejorar las aplicaciones de la organización. Este proceso suele contener las siguientes fases: • Toma de requerimientos de usuario. • Evaluación, priorización del proyecto, asignación de recursos y estudio de viabilidad. • Análisis funcional y técnico. • Pruebas a realizar (especialmente las pruebas de usuario) • Procedimiento para poner la aplicación o cambio al alcance de todos los usuarios. • Procedimiento de supervisión de que la aplicación o cambio funciona correctamente
Cambios autorizados
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
Los desarrolladores no deberían acceder al entorno real de los usuarios. Como mucho, podrían tener acceso en modo consulta.
Un desarrollador debe realizar modificaciones en un entorno de pruebas y luego actualizar el entorno real, pero no debe poder modificar datos directamente en real. No es su función y tampoco dispone de la formación adecuada.
La persona que desarrolla una aplicación o la modifica no debería ser la misma que la pone en el entorno real, debido a un conflicto de segregación de funciones.
La persona que pone en el entorno real (también llamado entorno de producción) el cambio debe tener experiencia con las aplicaciones de la organización. Este aspecto no puede deducirse a partir de únicamente una entrevista, pero sí pueden detectarse indicios, como por ejemplo la experiencia del responsable en el puesto o puestos similares, el número de incidencias aproximado de aplicaciones que deberían ser estables, etc.
Adquisición de aplicaciones y servidores
Se debe disponer de al menos tres opciones de adquisición, correspondientes a distintos proveedores o soluciones. Las soluciones deben ser comparables entre sí mediante una serie de parámetros estándar, como por ejemplo, precio, características del proveedor o características del producto.
Las adquisiciones deben ser aprobadas por la dirección de la organización y también por la dirección del área de sistemas.
Cada adquisición debe acompañarse de un plan de proyecto que tenga en cuenta un plan de pruebas adecuado y un análisis de factibilidad.
Controles del área de EXPLOTACIÓN Copias de seguridad. Que exista o se establezca una política o procedimientos de respaldo que describa los procesos asociados a las copias de seguridad de la organización, incluyendo los siguientes puntos: • Periodicidad de las copias (cada cuántos días, semanas, meses o años) • Tipo de las copias (puede haber copias completas o incrementales. Por ejemplo, cada Domingo puede hacerse una copia completa y el resto de días una copia sólo de lo que ha sido modificado desde el día anterior, es decir, el Lunes sólo se copiaría lo que se ha modificado el Lunes, etc…)
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
• Almacenamiento de las copias (por ejemplo en cintas, o en discos) • Retención de las copias (cuánto tiempo se mantienen las copias diarias, semanales, mensuales o anuales) • Procedimiento de generación de copias de respaldo. • Procedimiento de recuperación de información en caso necesario.
Pruebas periódicas de las copias de seguridad Disponer de un procedimiento de recuperación de la información. Este procedimiento debería describir los pasos a seguir para, dada una necesidad de recuperación, consultar las copias de seguridad y extraer la información requerida de forma adecuada.
Supervisión de los procesos de sistemas Es importante que desde sistemas se monitorice continuamente que las conexiones funcionan (especialmente las críticas) y que se dispone de la suficiente capacidad para dar soporte al negocio. Desde sistemas se vigilen los “parches” o actualizaciones de las aplicaciones y sistemas. Todas las aplicaciones y sistemas operativos tienen un mecanismo de actualización periódica (por ejemplo, en Windows se les denomina “service packs”), mediante el cual van incorporando mejoras y protecciones. Estos parches son gratuitos habitualmente y en algunos casos pueden actualizarse de forma automática Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia.
CIO (Director de información)
Es el responsable máximo, se encarga de la
selección,
elección,
estructura
y
dirección del personal y equipos del centro de proceso de datos, coordina todos los trabajos que se realizan y controla los presupuestos.
CEO ( Director Ejecutivo )
Suelen usarse indistintamente para hacer referencia a la persona encargada de máxima autoridad de la llamada gestión
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
y
dirección
administrativa
en
una
organización o institución.
Responsable de control interno 1 persona responsable de estas f unciones, o Responsable Seguridad lógica y física y por debajo de esta personas estarán:
de Control de Sistemas. (1 Persona) o Responsable de Control de calidad de software y datos. (1 Persona)
1 Persona responsable de desarrollo y mantenimiento. Por debajo de el:
1 Jefe de proyectos. Depende directamente del jefe del área de desarrollo. Su misión consiste en la dirección de un proyecto informático a partir de las especificaciones y necesidades de usuario hasta su explotación. Se encarga del control de su desarrollo y de asegurar el perfecto funcionamiento de la aplicación una vez terminada; asimismo, debe estimar los recursos y el tiempo necesario para su puesta en marcha.
1 Jefe del área de desarrollo. Es el responsable de la creación y desarrollo de nuevos sistemas y aplicaciones. Entre sus misiones se encuentran la de coordinar y distribuir el personal a su cargo entre los distintos proyectos .
Analistas. A partir de los requerimientos de los usuarios y bajo las órdenes del jefe de proyectos, deben confeccionar el análisis de las aplicaciones y ayudar a los programadores en la puesta a punto de las mismas. Pueden ser analistas funcionales u orgánicos, según el tipo de análisis que realicen, y analistas de sistemas o aplicaciones, según se ocupen del sistema o de las aplicaciones de usuario.
Programadores. Reciben el análisis de la aplicación de los analistas y, a partir de él, diseñan el diagrama o pseudocódigo, codificándolo en el lenguaje elegido. Además, se encargan de su puesta a punto y documentación dirigida al usuario. Pueden
ser
programadores
de
sistemas
o
de
aplicaciones,
dependiendo
funcionalmente de los analistas correspondientes.
rea De Explotación 1 Jefe del área de explotación. Es el responsable de la explotación de las aplicaciones y del funcionamiento del sistema; se encarga de planificar los trabajos que se deben llevar a cabo, estimar los costes y establecer medidas de seguridad en la instalación. Tiene a su cargo todo el grupo de operadores y grabadores de datos.
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
1 Técnico de sistemas. Su misión fundamental es el conocimiento profundo de los equipos y del sistema operativo, encargado de imponer restricciones de seguridad al personal informático y usuarios. El número de técnicos informáticos depende del número de equipos que existan en la empresa pudiendo establecer que se maneje un técnico por cada 100 empleados de la empresa.
1 Administrador de la base de datos. Es el gestor de la base de datos del sistema, encargándose de facilitar su uso al personal informático y asesorando sobre la misma a jefes de área, jefes de proyectos y analistas.
1 Administrador del sistema. Su misión consiste en controlar, en un determinado sistema operativo existente en el Centro de Proceso de Datos, los permisos, prioridades y privilegios del personal informático y los usuarios respecto a dicho sistema operativo.
¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso
de
Datos
(área
de
desarrollo/mantenimiento
y
área
de
Explotación/Producción).? En
mi opinión la parte de Telecomunicaciones debería ubicarse en el área de
desarrollo/mantenimiento y la de Base de Datos en Explotación/Producción existen datos Críticos los cuales están explotación/producción y son reales, y los nos críticos manejarían datos de pruebas y estaría en el área de desarrollo/mantenimiento, pero siempre hay que tener en cuenta que ambas áreas necesitan técnicos de base de datos, redes y sistemas. Deberían ser de ambas áreas ya que necesitan de ambas actividades pero para mantener la integridad de los datos reales estas dos áreas deben estar separadas (segregación) y los técnicos deben ser distintos, para ello el área de desarrollo/mantenimiento tendrá su propio grupo de técnicos que será menor que el grupo de técnicos destinados al área de explotación/producción. En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos?
TEMA 2 – Actividades
Asignatura Auditoría de la Seguridad
Datos del alumno
Fecha
Apellidos: Zúñiga Suárez 2018-04-03 Nombre: María José
Por la separación que existe entre las diferentes áreas tomando en cuenta las diferentes actividades que se desarrollan dentro de un CPD, no pueden hacer las funciones los técnicos/desarrolladores de un área en la otra. Además, hay que separar claramente el área de desarrollo en las siguientes subáreas cada una con sus desarrolladores independientes: • Entorno de desarrollo. • Entorno de testing • Entorno de preproducción. Serán los responsables de cada uno de estos entornos los que se comuniquen con su responsable superior, es decir al responsable de desarrollo/mantenimiento y Producción o explotación.
TEMA 2 – Actividades