1.+CPD+y+controles

Texto completo

(1)

Auditoria de Seguridad

Estructuración de un Centro de Proceso de

Datos e implantación de controles generales

Carlos Manuel Fernández. MBA, CISA, CISM

Boris Delgado. CISA, CISM

(2)

 Organigrama Funcional de un Centro de

Proceso de Datos

 Definición y clasificación de los Controles

internos de los Sistemas de Información

 Controles generales y de aplicación

 Controles por área

 Controles de productos informáticos

 Controles por motivos legales

 La regla de oro

(3)

Organigrama funcional de un

centro de proceso de datos

A

continuación

se

presenta

el

organigrama funcional de un CPD.

Es un modelo que nos servirá de apoyo

para

entender

más

fácilmente

las

explicaciones de la unidad.

(4)

COMITÉ DE INFORMÁTICA DIRECTOR DEL CPD DIRECCIÓN DE SISTEMAS DE INFORMACIÓN CONTROL INTERNO DE TECNOLOGIAS DE LA INFORMACION (CITI) DIRECTOR DEL CPD ADMON. SEG. LOG. Y FÍSICA CONTROL DE SISTEMA GARANTIA DE CALIDAD CONTROL DE CAL. DE DATOS. EXPLOTACIÓN DESARROLLO Y MANTENIMIENTO BigData / BI WEB MASTER / COMMUNITY MANAGER OFIMÁTICA JEFE DE PROYECTO ANALISTA PROGRAMADOR TÉCNICO DE SISTEMA (Mantienen) SISTEMA OPERATIVO SIST. DE GESTIÓN DE BDD TELECOMU- NICACIONES CENTRO DE ATENCIÓN AL USUARIO ( CAU ) HW SW CAPTURA DE DATOS DATA CENTER (Producción)

DISTRIBUCIÓN PREPARACION PLANIFICACIÓN OPERACIÓN CINTOTECA

FACTORIA

DSI o CIO

Cloud Computing

(5)

Organigrama funcional de un

centro de proceso de datos

• Comité directivo de la empresa

 Diseña el plan estratégico de la compañía. • Comité de informática

En el se sitúa el CIO (Chief Information Officer = Director de Informática), además de otros directores de otros departamentos. Se elabora el Plan Director de Informática, que se corresponde con el Plan Estratégico. Puede ser a un año o a dos.

• Director de sistemas de información y el del CPD.  Pueden ser el mismo.

• User Team

 Se encargan de hacer de interface entre los usuarios y los informáticos. Está compuesto por expertos en una materia, y conocen muy bien el negocio/modelo de datos que manejan.

• Control Interno Informático

 Es diario, controlando la información, su producción y determina si las tareas se están realizando bien o mal.

• Administrador de Seguridad Lógica y Física

 Se encargan de la seguridad a nivel de aplicaciones y sistemas, así como de la seguridad a nivel de acceso a instalaciones, medidas contra incendios, etc.

(6)

Organigrama funcional de un

centro de proceso de datos

• Control del Sistema

 Engloba al Técnico de Sistemas, que conoce a muy bajo nivel la configuración y estado de las diferentes máquinas del sistema informático. Habitualmente controla la seguridad informática del sistema informático.

• Garantía de Calidad del SW (Software Quality Assurance)

 Encargado de establecer puntos de control en el desarrollo de Software para realizar medidas y determinar si se cumplen unos mínimos de calidad en el Software desarrollado. Los requisitos de calidad se comprueban desde la primera toma de requerimientos con el User Team.

• Control de Calidad de datos

 Determinan si los datos proporcionados por la empresa son precisos, adecuados e íntegros.

• Desarrollo y Mantenimiento

 Son los encargados del desarrollo de aplicaciones. No hay datos reales y se realizan pruebas con información ficticia.

• Explotación/Producción

 Se encuentran los datos reales, que son utilizados por los diferentes departamentos a través de las aplicaciones.

• Centro de Atención al Usuario

 Cualquier incidencia o petición/modificación debe ser canalizada a través de esta área. Se encargarán de redirigir al área adecuada o bien buscar una solución.

(7)

Organigrama funcional de un

centro de proceso de datos

• Técnico de Sistemas:

 Especialistas en técnicas de sistemas y sistemas de seguridad lógica. Además dan soporte del Software de base (Sistema Operativo por ejemplo) a toda la compañía.

• Sistema de Gestión de Base de Datos

 Se encargan del diseño lógico y físico (modelos de datos) de la BBDD, para dar soporte al modelo de negocio y que las aplicaciones puedan hacer uso de ellas.

• Telecomunicaciones

 Encargados de la infraestructura y conexiones de red en la empresa.

• Captura de Datos

 Actualmente tienden a desaparecer, pues la potencia actual de las máquinas de usuario permite que se realice en cada departamento. • Data Center (producción)

 Donde se encuentran todas las máquinas servidoras (mainframes, servers, etc.).

(8)

Organigrama funcional de un

centro de proceso de datos

• BigData/BI

 Sistemas que manipulan grandes conjuntos de datos (o data sets). BigData hace referencia a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable.

• CloudComputing

 Sistemas de Información consumidos a través de Internet en un modelo de pago por uso.

• Webmaster

 Persona responsable del mantenimiento o la programación de un sitio web.

• Community Manager

 Responsable de sostener, acrecentar y defender las relaciones de la empresa con sus clientes en el ámbito digital. Gestor de la marca en los medios sociales.

(9)

Clasificación de los Controles internos

de los Sistemas de Información

Los controles son acciones y mecanismos definidos

para prevenir o reducir el impacto de los eventos no

deseados que ponen en riesgo a los activos de una

organización.

También protege a las organizaciones frente a

posibles pérdidas y corrige las desviaciones que se

presentan en el desarrollo normal de las actividades.

Algunos de los atributos de un control son:

 Objetivo del control.

 Descripción del control

 Frecuencia del control

 Ejecución

(10)

Clasificación de los Controles internos

de los Sistemas de Información

De forma general los controles pueden ser:

 Voluntarios, cuando la organización los

diseña a fin de mejorar los procesos.

 Obligatorios,

si

son

impuestos

por

autoridades externas o reguladoras.

 Manuales, cuando son ejecutados por

personas.

 Automáticos, si son llevados a cabo a través

de sistemas de información automatizados.

 Generales, cuando van dirigidos al entorno

donde operan otros controles.

 De aplicación, cuando operan integrados en

(11)

Clasificación de los Controles internos

de los Sistemas de Información

También se pueden clasificar, según su naturaleza, en controles preventivos, detectivos y correctivos.

Preventivos, actúan sobre la causa de los riesgos con el fin de

disminuir su probabilidad de ocurrencia.

También actúan para reducir la acción de los generadores de riesgos.

Detectivos se diseñan para descubrir un evento, irregularidad o

resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos.

Generalmente, sirven para supervisar la ejecución del proceso y se usan para verificar la eficacia de los controles preventivos.

Constituyen la segunda barrera de seguridad y pueden informar y registrar la ocurrencia de los hechos no deseados, accionar

alarmas,

bloquear la operación de un sistema, monitorizar o alertar a las autoridades.

(12)

Clasificación de los Controles internos

de los Sistemas de Información

Correctivos permiten el restablecimiento de la actividad después

de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.

Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias.

Son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.

Alternativos: basados en revisión y comparación de las salidas

(13)

Clasificación de los Controles internos

de los Sistemas de Información

Ejemplos de controles preventivos

Segregación de funciones (perfil de entrada de datos

y perfil de autorización de los datos. Por ejemplo en

contabilidad).

Sistemas de seguridad lógica (procedimiento de

set-up/monitorización/mantenimiento de antivirus).

Controles de validación y razonabilidad.(controles

(14)

Clasificación de los Controles internos

de los Sistemas de Información

Ejemplos de controles detectivos

Listados de excepciones (por ejemplo administradores

de base de datos con el máximo privilegio)

Pistas de auditoría (audit trail, log del sistema

operativo, log del sistema de base de datos, etc.)

Batch totales y Hash totales (por ejemplo, control de

totales en los programas)/Hash total (por ejemplo,

control de verificación que los programas

(15)

Clasificación de los Controles internos

de los Sistemas de Información

Ejemplos de controles correctivos

Técnicas de copia de respaldo (back-up) y recuperación.

Reproceso.

Recálculos.

(16)

Clasificación de los Controles internos

de los Sistemas de Información

Ejemplos

de

controles

alternativos

o

compensatorios

En un entorno informático hay:

Ausencia de una adecuada segregación de funciones

en el departamento de proceso de datos.

Control alternativo o compensatorio:

Revisión y comparación de las salidas del ordenador

contra los documentos originales

Restauración de ficheros.

Reproceso.

Re-cálculos.

(17)

Controles Generales y de Aplicación

Los controles generales contribuyen a asegurar el correcto Funcionamiento de los sistemas de información, creando un entorno adecuado para el correcto funcionamiento de los controles de aplicación.

Controles Generales.

Controles de Organización y Operación.

Controles de Desarrollo de Sistemas y Documentación Controles de Hardware y Software de Sistemas

Controles de Aplicación.

Controles de Entrada de datos. Controles de Tratamiento de datos. Controles de Salida de datos.

Controles por Área

Controles de productos informáticos Controles por motivos legales

(18)

Controles de Organización y Operación

Plan Estratégico de la Empresa y el Plan Estratégico Informático

 El plan estratégico informático (TI) es realizado por los órganos de la Alta Dirección de la empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información, así como las amenazas y oportunidades de su utilización o de su ausencia.

 Debe corresponderse con el plan estratégico de la empresa.

 El Departamento de Informática determinará los caminos precisos, a nivel técnico, para cubrir las necesidades del negocio, estructurándolo en proyectos informáticos.

(19)

Controles de Organización y Operación

Control de Presupuestos

 Apoyado en Auditoría Financiera, se debe asegurar

desde TI la integridad y/o precisión de la información

relativa a gastos, amortización, etc.

Organización Departamental Informática

 La organización del Departamento de Informática

debe tener el nivel necesario de estructura como

para asegurar independencia del User Team

(20)

 Controles

de

Organización

y

Operación

Separación de Entornos

 Tiene que existir una división entre los

entornos

de

desarrollo,

prueba

y

explotación

de

los

Sistemas

de

Información dentro del CPD.

 Esta división puede ser real o virtual.

(21)

 Controles de Organización y Operación

Separación de Entornos

 Habitualmente el esquema es el siguiente:

(22)

Controles de Organización y Operación

Separación de Entornos

 En el Entorno de Desarrollo, se encuentran

las aplicaciones que está desarrollando el

equipo de Analistas y Programadores.

Realizan primeras pruebas con datos ficticios.

Cuando se considera correcto el desarrollo

actual, este se libera y se carga en el entorno

de Pruebas o Testing.

(23)

Controles de Organización y Operación Separación de Entornos

En el Entorno de Testing, se van a realizar fundamentalmente 2 tipos de pruebas de acuerdo a un plan de casos de prueba previamente definido.

Caja Negra, donde se comprueba que dada una entrada al

módulo, debo obtener una salida, de forma que dada la misma entrada obtengo la misma salida, y dadas

diferentes entradas obtengo lo que se espera.

Caja Blanca, donde se comprueban por lo menos una vez todos

los caminos independientes del módulo, se comprueben todas las decisiones lógicas, se comprueben los valores límite e cada operación, etc.

 Se sigue una estrategia de prueba, bien de forma unitaria realizando pruebas caja negra/blanca sobre un único módulo, o de forma integrada en la que se realizan las pruebas de caja negra/blanca teniendo en cuenta el módulo desarrollado y su interactuación con el resto.

(24)

Controles de Organización y Operación

Separación de Entornos

 Si todos los casos de prueba planificados son

correctos se podrá cargar en el entorno de

Explotación.

 De no ser así, se considera que el

funcionamiento del módulo no es correcto y se

cargará en el entorno de Desarrollo.

 Las personas que trabajan en cada entorno

deben regirse por el principio de segregación

de funciones.

(25)

Controles de Organización y Operación

Segregación de funciones

 Una misma persona no puede realizar funciones determinadas en un mismo entorno.

Por ejemplo, el programador realiza tareas de desarrollo, el analista realiza tareas de diseño de los modelos de datos de acuerdo a los requisitos y el Jefe de Proyecto es quien autoriza el paso entre entornos.

 Una misma persona no puede realizar funciones determinadas en un entorno y en otro.

Por ejemplo, los programadores no deben realizar funciones de prueba en el entorno de Testing.

(26)

Controles de Organización y Operación

Segregación de funciones

 En

compañías

pequeñas

donde

la

segregación de funciones es difícil de llevar a

la práctica, deberán incluirse controles

compensatorios

para

mitigar

el

riesgo

resultante de una falta de segregación de

funciones.

Por ejemplo, controles compensatorios

pueden ser pistas de auditoría, registro de

transacciones, revisiones independientes.

(27)

Controles

de

Desarrollo,

de

Sistemas

y

Documentación

Metodologías de ciclo de vida de desarrollo de Software

 Se conoce como SDLC - Software Development Life Cycle.

 Cualquier metodología es un Control Interno sobre lo que se desarrolla y es independiente del paradigma en el que se base (Orientación a Objetos, Modular, Declarativa).

Por ejemplo METRICA3 es la metodología de la Administración Pública que permite trabajar con paradigmas Orientados a Objetos ó Modulares.

(28)

Controles de Desarrollo de Sistemas y

Documentación

Metodologías de ciclo de vida de desarrollo de

Software

 Toda metodología debe cubrir desde las

especificaciones del usuario, hasta que el

programa está instalado en el entorno de

Explotación, para así poder garantizar que el

producto obtenido está acorde con los

requisitos definidos y es de calidad.

 Su utilización podrá garantizar a la Dirección

de la compañía que alcanzará los objetivos

definidos para el sistema

(29)

Controles de Desarrollo de Sistemas y Documentación Estándares y nomenclatura

 Regulan la forma en la que se realiza el diseño, desarrollo, modificación, explotación y adquisición de los sistemas de información.

Procedimientos

 La tareas de las personas que integran un CPD deben estar reflejadas en un procedimiento. Debe contener los pasos para realizar una tarea por una persona.

 Todo procedimiento debe contener una descripción clara y concisa, una fecha de creación, de última modificación y fechas de revisión. Un flujograma que de forma clara establezca roles y actividades en el procedimiento.

(30)

Controles de Hardware y Software de Sistemas

Seguridad Lógica y Física

Se caracteriza por ser controles que preservan:

 Confidencialidad, asegurando que solo quien esté autorizado puede acceder a la información.  Integridad, asegurando que la información y sus

métodos de proceso son exactos y completos.  Disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la información y a sus activos asociados cuando lo requieren.

(31)

Controles de Hardware y Software de Sistemas

Seguridad Lógica y Física

 La seguridad lógica se refiere a la protección de la información, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a dicha información.

Por ejemplo, accesos de personas no

autorizadas a determinada información, pérdida de información por el cálculo inadecuado de una aplicación.

 La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones (CPD) que los albergan.

Por ejemplo Incendios e inundaciones, fallos eléctricos

(32)

Las aplicaciones deben incorporar

controles que garanticen la entrada,

actualización, validez y mantenimiento

completos y exactos de la información.

Controles de entrada de datos.

Procedimientos para la introducción de datos que

garantizan su validación, corrección y conversión de

los mismos.

Por ejemplo, autorización de entrada de datos a

través de la firma de un formulario por parte de

Dirección.

(33)

Controles de tratamiento de datos

Procedimientos para asegurar que los procesos no

insertan, modifican o borran datos de forma no

autorizados, garantizando su integridad.

Controles de edición y verificación

 Permiten identificar errores de datos, datos

incompletos e inconsistencias. Habitualmente

son controles preventivos.

Por ejemplo la verificación de secuencia (un

número de control en orden secuencial que

rechaza duplicados), verificación de rango

(un campo que solo acepte edades adultas,

rechazaría un 16), verificación de límites

(un cajero solo permite sacar 600 € diarios).

(34)

Controles de procesamiento

 Aseguran la exactitud de la información,

una vez se han actualizado o han sido

tratados.

Por ejemplo la verificación de límites

sobre valor calculado (un cajero solo

permite sacar 600

€ diarios, y vuelve a

permitirlo una vez hayan pasado las

23:59).

(35)

 Controles de salida de datos

Aseguran que los datos entregados a los

usuarios

serán

presentados,

formateados

entregados de forma consistente y segura.

Por ejemplo el manejo de errores de salida,

cuando no se obtiene lo que se espera, y la

reconciliación de datos son controles de salida

de datos.

(36)

Controles por Área

Son los controles que cubren las áreas definidas para un CPD.

Controles de Productos Informáticos

Son controles que debe tener un producto informático comercial, de forma que cumpla con la definición de Control Interno Informático de la organización.

Controles de Tipo Legal

Requieren de ayuda por parte de un auditor legal. En el sector tecnológico las leyes de propiedad intelectual (LPI), de protección de datos (LOPD), de servicios de sociedad e la información y comercio electrónico (LSSICE), etc. Deben existir controles para garantizar su cumplimiento

Otros controles generales

y de aplicación

(37)

Riesgo vs. Control vs. Coste

La aplicación de los controles hasta ahora descritos deben estudiarse

teniendo en cuenta que su coste no exceda el coste que

supondría asumir el propio riesgo.

(38)

Figure

Actualización...

Referencias

Actualización...

Related subjects :