1.+CPD+y+controles

September 26, 2017 | Author: angie charry | Category: Software Development Process, Information System, Software, Data Center, Quality (Business)
Share Embed Donate


Short Description

Descripción: CPD y controles...

Description

Auditoria de Seguridad Carlos Manuel Fernández. MBA, CISA, CISM Boris Delgado. CISA, CISM

Estructuración de un Centro de Proceso de Datos e implantación de controles generales

Contenido de la Unidad

 Organigrama Funcional de un Centro de Proceso de Datos  Definición y clasificación de los Controles internos de los Sistemas de Información  Controles generales y de aplicación  Controles por área  Controles de productos informáticos  Controles por motivos legales  La regla de oro

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un centro de proceso de datos

A continuación se presenta organigrama funcional de un CPD.

el

Es un modelo que nos servirá de apoyo para entender más fácilmente las explicaciones de la unidad.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

COMITÉ DE INFORMÁTICA

CONTROL INTERNO DE TECNOLOGIAS DE LA INFORMACION (CITI)

DIRECCIÓN DE SISTEMAS DE INFORMACIÓN

DIRECTOR DEL CPD

FACTORIA BigData / BI

DSI o CIO

DIRECTOR DEL CPD

DESARROLLO Y MANTENIMIENTO

ADMON. SEG. LOG. Y FÍSICA

CONTROL DE SISTEMA

WEB MASTER / COMMUNITY MANAGER

EXPLOTACIÓN

CENTRO DE ATENCIÓN AL USUARIO ( CAU )

Cloud Computing

GARANTIA DE CALIDAD

OFIMÁTICA

HW

CONTROL DE CAL. DE DATOS.

MOBILITY

SW

JEFE DE PROYECTO TÉCNICO DE SISTEMA (Mantienen)

ANALISTA PROGRAMADOR SISTEMA OPERATIVO

SIST. DE GESTIÓN DE BDD

CAPTURA DE DATOS

TELECOMUNICACIONES

DATA CENTER (Producción)

DISTRIBUCIÓN

PREPARACION

PLANIFICACIÓN

OPERACIÓN

JEFE DE SALA

AQUÍ ESTAN LOS DATOS REALES OPERADORES Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

CINTOTECA

Organigrama funcional de un centro de proceso de datos • •

• •





Comité directivo de la empresa  Diseña el plan estratégico de la compañía. Comité de informática  En el se sitúa el CIO (Chief Information Officer = Director de Informática), además de otros directores de otros departamentos. Se elabora el Plan Director de Informática, que se corresponde con el Plan Estratégico. Puede ser a un año o a dos. Director de sistemas de información y el del CPD.  Pueden ser el mismo. User Team  Se encargan de hacer de interface entre los usuarios y los informáticos. Está compuesto por expertos en una materia, y conocen muy bien el negocio/modelo de datos que manejan. Control Interno Informático  Es diario, controlando la información, su producción y determina si las tareas se están realizando bien o mal. Administrador de Seguridad Lógica y Física  Se encargan de la seguridad a nivel de aplicaciones y sistemas, así como de la seguridad a nivel de acceso a instalaciones, medidas contra incendios, etc.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un centro de proceso de datos •



• • • •

Control del Sistema  Engloba al Técnico de Sistemas, que conoce a muy bajo nivel la configuración y estado de las diferentes máquinas del sistema informático. Habitualmente controla la seguridad informática del sistema informático. Garantía de Calidad del SW (Software Quality Assurance)  Encargado de establecer puntos de control en el desarrollo de Software para realizar medidas y determinar si se cumplen unos mínimos de calidad en el Software desarrollado. Los requisitos de calidad se comprueban desde la primera toma de requerimientos con el User Team. Control de Calidad de datos  Determinan si los datos proporcionados por la empresa son precisos, adecuados e íntegros. Desarrollo y Mantenimiento  Son los encargados del desarrollo de aplicaciones. No hay datos reales y se realizan pruebas con información ficticia. Explotación/Producción  Se encuentran los datos reales, que son utilizados por los diferentes departamentos a través de las aplicaciones. Centro de Atención al Usuario  Cualquier incidencia o petición/modificación debe ser canalizada a través de esta área. Se encargarán de redirigir al área adecuada o bien buscar una solución.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un centro de proceso de datos •









Técnico de Sistemas:  Especialistas en técnicas de sistemas y sistemas de seguridad lógica. Además dan soporte del Software de base (Sistema Operativo por ejemplo) a toda la compañía. Sistema de Gestión de Base de Datos  Se encargan del diseño lógico y físico (modelos de datos) de la BBDD, para dar soporte al modelo de negocio y que las aplicaciones puedan hacer uso de ellas. Telecomunicaciones  Encargados de la infraestructura y conexiones de red en la empresa. Captura de Datos  Actualmente tienden a desaparecer, pues la potencia actual de las máquinas de usuario permite que se realice en cada departamento. Data Center (producción)  Donde se encuentran todas las máquinas servidoras (mainframes, servers, etc.).

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un centro de proceso de datos •

BigData/BI  Sistemas que manipulan grandes conjuntos de datos (o data sets). BigData hace referencia a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable.



CloudComputing  Sistemas de Información consumidos a través de Internet en un modelo de pago por uso.



Webmaster  Persona responsable del mantenimiento o la programación de un sitio web.



Community Manager  Responsable de sostener, acrecentar y defender las relaciones de la empresa con sus clientes en el ámbito digital. Gestor de la marca en los medios sociales.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los eventos no deseados que ponen en riesgo a los activos de una organización. También protege a las organizaciones frente a posibles pérdidas y corrige las desviaciones que se presentan en el desarrollo normal de las actividades. Algunos de los atributos de un control son:     

Objetivo del control. Descripción del control Frecuencia del control Ejecución Monitorización

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información De forma general los controles pueden ser: 

    

Voluntarios, cuando la organización los diseña a fin de mejorar los procesos. Obligatorios, si son impuestos por autoridades externas o reguladoras. Manuales, cuando son ejecutados por personas. Automáticos, si son llevados a cabo a través de sistemas de información automatizados. Generales, cuando van dirigidos al entorno donde operan otros controles. De aplicación, cuando operan integrados en el software.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información También se pueden clasificar, según su naturaleza, en controles preventivos, detectivos y correctivos. Preventivos, actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia.

También actúan para reducir la acción de los generadores de riesgos. Detectivos se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. Generalmente, sirven para supervisar la ejecución del proceso y se usan para verificar la eficacia de los controles preventivos. Constituyen la segunda barrera de seguridad y pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la operación de un sistema, monitorizar o alertar a las autoridades.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información Correctivos permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.

Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias. Son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.

Alternativos: basados en revisión y comparación de las salidas del ordenador contra los documentos originales

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información

Ejemplos de controles preventivos • • •

Segregación de funciones (perfil de entrada de datos y perfil de autorización de los datos. Por ejemplo en contabilidad). Sistemas de seguridad lógica (procedimiento de setup/monitorización/mantenimiento de antivirus). Controles de validación y razonabilidad.(controles dentro de los programas/aplicativos).

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información

Ejemplos de controles detectivos • • •

Listados de excepciones (por ejemplo administradores de base de datos con el máximo privilegio) Pistas de auditoría (audit trail, log del sistema operativo, log del sistema de base de datos, etc.) Batch totales y Hash totales (por ejemplo, control de totales en los programas)/Hash total (por ejemplo, control de verificación que los programas fuente/documento ha sido modificado)

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información

Ejemplos de controles correctivos • • • •

Técnicas de copia de respaldo (back-up) y recuperación. Reproceso. Recálculos. Modificación de sistemas o programas. Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Clasificación de los Controles internos de los Sistemas de Información Ejemplos de controles compensatorios

alternativos

o

En un entorno informático hay: Ausencia de una adecuada segregación de funciones en el departamento de proceso de datos. Control alternativo o compensatorio: •

• • • •

Revisión y comparación de las salidas del ordenador contra los documentos originales Restauración de ficheros. Reproceso. Re-cálculos. Modificación de sistemas o programas.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales y de Aplicación Los controles generales contribuyen a asegurar el correcto Funcionamiento de los sistemas de información, creando un entorno adecuado para el correcto funcionamiento de los controles de aplicación. Controles Generales.  Controles de Organización y Operación.  Controles de Desarrollo de Sistemas y Documentación  Controles de Hardware y Software de Sistemas Controles de Aplicación.  Controles de Entrada de datos.  Controles de Tratamiento de datos.  Controles de Salida de datos. Controles por Área Controles de productos informáticos Controles por motivos legales

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Organización y Operación Plan Estratégico de la Empresa y el Plan Estratégico Informático  El plan estratégico informático (TI) es realizado por los órganos de la Alta Dirección de la empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información, así como las amenazas y oportunidades de su utilización o de su ausencia.  Debe corresponderse con el plan estratégico de la empresa.  El Departamento de Informática determinará los caminos precisos, a nivel técnico, para cubrir las necesidades del negocio, estructurándolo en proyectos informáticos.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Organización y Operación Control de Presupuestos

 Apoyado en Auditoría Financiera, se debe asegurar desde TI la integridad y/o precisión de la información relativa a gastos, amortización, etc. Organización Departamental Informática  La organización del Departamento de Informática debe tener el nivel necesario de estructura como para asegurar independencia del User Team

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles Operación

de

Organización

y

Separación de Entornos  Tiene que existir una división entre los entornos de desarrollo, prueba y explotación de los Sistemas de Información dentro del CPD.  Esta división puede ser real o virtual.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Organización y Operación Separación de Entornos

 Habitualmente el esquema es el siguiente:

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Organización y Operación Separación de Entornos  En el Entorno de Desarrollo, se encuentran las aplicaciones que está desarrollando el equipo de Analistas y Programadores. Realizan primeras pruebas con datos ficticios. Cuando se considera correcto el desarrollo actual, este se libera y se carga en el entorno de Pruebas o Testing.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Organización y Operación Separación de Entornos 

En el Entorno de Testing, se van a realizar fundamentalmente 2 tipos de pruebas de acuerdo a un plan de casos de prueba previamente definido.

Caja Negra, donde se comprueba que dada una entrada al módulo, debo obtener una salida, de forma que dada la misma entrada obtengo la misma salida, y dadas diferentes entradas obtengo lo que se espera.

Caja Blanca, donde se comprueban por lo menos una vez todos los caminos independientes del módulo, se comprueben todas las decisiones lógicas, se comprueben los valores límite e cada operación, etc.  Se sigue una estrategia de prueba, bien de forma unitaria realizando pruebas caja negra/blanca sobre un único módulo, o de forma integrada en la que se realizan las pruebas de caja negra/blanca teniendo en cuenta el módulo desarrollado y su interactuación con el resto.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Organización y Operación Separación de Entornos  Si todos los casos de prueba planificados son correctos se podrá cargar en el entorno de Explotación.  De no ser así, se considera que el funcionamiento del módulo no es correcto y se cargará en el entorno de Desarrollo.  Las personas que trabajan en cada entorno deben regirse por el principio de segregación de funciones.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Organización y Operación Segregación de funciones

 Una misma persona no puede realizar funciones determinadas en un mismo entorno. Por ejemplo, el programador realiza tareas de desarrollo, el analista realiza tareas de diseño de los modelos de datos de acuerdo a los requisitos y el Jefe de Proyecto es quien autoriza el paso entre entornos.  Una misma persona no puede realizar funciones determinadas en un entorno y en otro. Por ejemplo, los programadores no deben realizar funciones de prueba en el entorno de Testing.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Organización y Operación Segregación de funciones  En compañías pequeñas donde la segregación de funciones es difícil de llevar a la práctica, deberán incluirse controles compensatorios para mitigar el riesgo resultante de una falta de segregación de funciones. Por ejemplo, controles compensatorios pueden ser pistas de auditoría, registro de transacciones, revisiones independientes.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Documentación

Desarrollo,

de

Sistemas

y

Metodologías de ciclo de vida de desarrollo de Software  Se conoce como SDLC - Software Development Life Cycle.  Cualquier metodología es un Control Interno sobre lo que se desarrolla y es independiente del paradigma en el que se base (Orientación a Objetos, Modular, Declarativa). Por ejemplo METRICA3 es la metodología de la Administración Pública que permite trabajar con paradigmas Orientados a Objetos ó Modulares.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales



Controles de Desarrollo Documentación

de

Sistemas

y

Metodologías de ciclo de vida de desarrollo de Software  Toda metodología debe cubrir desde las especificaciones del usuario, hasta que el programa está instalado en el entorno de Explotación, para así poder garantizar que el producto obtenido está acorde con los requisitos definidos y es de calidad.  Su utilización podrá garantizar a la Dirección de la compañía que alcanzará los objetivos definidos para el sistema Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Desarrollo de Sistemas y Documentación

Estándares y nomenclatura  Regulan la forma en la que se realiza el diseño, desarrollo, modificación, explotación y adquisición de los sistemas de información. Procedimientos  La tareas de las personas que integran un CPD deben estar reflejadas en un procedimiento. Debe contener los pasos para realizar una tarea por una persona.

 Todo procedimiento debe contener una descripción clara y concisa, una fecha de creación, de última modificación y fechas de revisión. Un flujograma que de forma clara establezca roles y actividades en el procedimiento.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Hardware y Software de Sistemas Seguridad Lógica y Física Se caracteriza por ser controles que preservan:

 Confidencialidad, asegurando que solo quien esté autorizado puede acceder a la información.  Integridad, asegurando que la información y sus métodos de proceso son exactos y completos.  Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieren.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles Generales 

Controles de Hardware y Software de Sistemas Seguridad Lógica y Física  La seguridad lógica se refiere a la protección de la información, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a dicha información. Por ejemplo, accesos de personas no autorizadas a determinada información, pérdida de información por el cálculo inadecuado de una aplicación.  La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones (CPD) que los albergan.

Por ejemplo Incendios e inundaciones, fallos eléctricos

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicación Las aplicaciones deben incorporar controles que garanticen la entrada, actualización, validez y mantenimiento completos y exactos de la información.



Controles de entrada de datos. Procedimientos para la introducción de datos que garantizan su validación, corrección y conversión de los mismos. Por ejemplo, autorización de entrada de datos a través de la firma de un formulario por parte de Dirección.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicación 

Controles de tratamiento de datos Procedimientos para asegurar que los procesos no insertan, modifican o borran datos de forma no autorizados, garantizando su integridad.

Controles de edición y verificación  Permiten identificar errores de datos, datos incompletos e inconsistencias. Habitualmente son controles preventivos. Por ejemplo la verificación de secuencia (un número de control en orden secuencial que rechaza duplicados), verificación de rango (un campo que solo acepte edades adultas, rechazaría un 16), verificación de límites (un cajero solo permite sacar 600 € diarios).

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicación

Controles de procesamiento  Aseguran la exactitud de la información, una vez se han actualizado o han sido tratados. Por ejemplo la verificación de límites sobre valor calculado (un cajero solo permite sacar 600 € diarios, y vuelve a permitirlo una vez hayan pasado las 23:59).

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicación



Controles de salida de datos Aseguran que los datos entregados a los usuarios serán presentados, formateados entregados de forma consistente y segura. Por ejemplo el manejo de errores de salida, cuando no se obtiene lo que se espera, y la reconciliación de datos son controles de salida de datos.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

Otros controles generales y de aplicación Controles por Área Son los controles que cubren las áreas definidas para un CPD.

Controles de Productos Informáticos Son controles que debe tener un producto informático comercial, de forma que cumpla con la definición de Control Interno Informático de la organización.

Controles de Tipo Legal Requieren de ayuda por parte de un auditor legal. En el sector tecnológico las leyes de propiedad intelectual (LPI), de protección de datos (LOPD), de servicios de sociedad e la información y comercio electrónico (LSSICE), etc. Deben existir controles para garantizar su cumplimiento

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

La regla de oro

Riesgo vs. Control vs. Coste La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su coste no exceda el coste que supondría asumir el propio riesgo.

Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado

www.unir.net

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF