1.+CPD+y+controles
Short Description
Descripción: CPD y controles...
Description
Auditoria de Seguridad Carlos Manuel Fernández. MBA, CISA, CISM Boris Delgado. CISA, CISM
Estructuración de un Centro de Proceso de Datos e implantación de controles generales
Contenido de la Unidad
Organigrama Funcional de un Centro de Proceso de Datos Definición y clasificación de los Controles internos de los Sistemas de Información Controles generales y de aplicación Controles por área Controles de productos informáticos Controles por motivos legales La regla de oro
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Organigrama funcional de un centro de proceso de datos
A continuación se presenta organigrama funcional de un CPD.
el
Es un modelo que nos servirá de apoyo para entender más fácilmente las explicaciones de la unidad.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
COMITÉ DE INFORMÁTICA
CONTROL INTERNO DE TECNOLOGIAS DE LA INFORMACION (CITI)
DIRECCIÓN DE SISTEMAS DE INFORMACIÓN
DIRECTOR DEL CPD
FACTORIA BigData / BI
DSI o CIO
DIRECTOR DEL CPD
DESARROLLO Y MANTENIMIENTO
ADMON. SEG. LOG. Y FÍSICA
CONTROL DE SISTEMA
WEB MASTER / COMMUNITY MANAGER
EXPLOTACIÓN
CENTRO DE ATENCIÓN AL USUARIO ( CAU )
Cloud Computing
GARANTIA DE CALIDAD
OFIMÁTICA
HW
CONTROL DE CAL. DE DATOS.
MOBILITY
SW
JEFE DE PROYECTO TÉCNICO DE SISTEMA (Mantienen)
ANALISTA PROGRAMADOR SISTEMA OPERATIVO
SIST. DE GESTIÓN DE BDD
CAPTURA DE DATOS
TELECOMUNICACIONES
DATA CENTER (Producción)
DISTRIBUCIÓN
PREPARACION
PLANIFICACIÓN
OPERACIÓN
JEFE DE SALA
AQUÍ ESTAN LOS DATOS REALES OPERADORES Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
CINTOTECA
Organigrama funcional de un centro de proceso de datos • •
• •
•
•
Comité directivo de la empresa Diseña el plan estratégico de la compañía. Comité de informática En el se sitúa el CIO (Chief Information Officer = Director de Informática), además de otros directores de otros departamentos. Se elabora el Plan Director de Informática, que se corresponde con el Plan Estratégico. Puede ser a un año o a dos. Director de sistemas de información y el del CPD. Pueden ser el mismo. User Team Se encargan de hacer de interface entre los usuarios y los informáticos. Está compuesto por expertos en una materia, y conocen muy bien el negocio/modelo de datos que manejan. Control Interno Informático Es diario, controlando la información, su producción y determina si las tareas se están realizando bien o mal. Administrador de Seguridad Lógica y Física Se encargan de la seguridad a nivel de aplicaciones y sistemas, así como de la seguridad a nivel de acceso a instalaciones, medidas contra incendios, etc.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Organigrama funcional de un centro de proceso de datos •
•
• • • •
Control del Sistema Engloba al Técnico de Sistemas, que conoce a muy bajo nivel la configuración y estado de las diferentes máquinas del sistema informático. Habitualmente controla la seguridad informática del sistema informático. Garantía de Calidad del SW (Software Quality Assurance) Encargado de establecer puntos de control en el desarrollo de Software para realizar medidas y determinar si se cumplen unos mínimos de calidad en el Software desarrollado. Los requisitos de calidad se comprueban desde la primera toma de requerimientos con el User Team. Control de Calidad de datos Determinan si los datos proporcionados por la empresa son precisos, adecuados e íntegros. Desarrollo y Mantenimiento Son los encargados del desarrollo de aplicaciones. No hay datos reales y se realizan pruebas con información ficticia. Explotación/Producción Se encuentran los datos reales, que son utilizados por los diferentes departamentos a través de las aplicaciones. Centro de Atención al Usuario Cualquier incidencia o petición/modificación debe ser canalizada a través de esta área. Se encargarán de redirigir al área adecuada o bien buscar una solución.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Organigrama funcional de un centro de proceso de datos •
•
•
•
•
Técnico de Sistemas: Especialistas en técnicas de sistemas y sistemas de seguridad lógica. Además dan soporte del Software de base (Sistema Operativo por ejemplo) a toda la compañía. Sistema de Gestión de Base de Datos Se encargan del diseño lógico y físico (modelos de datos) de la BBDD, para dar soporte al modelo de negocio y que las aplicaciones puedan hacer uso de ellas. Telecomunicaciones Encargados de la infraestructura y conexiones de red en la empresa. Captura de Datos Actualmente tienden a desaparecer, pues la potencia actual de las máquinas de usuario permite que se realice en cada departamento. Data Center (producción) Donde se encuentran todas las máquinas servidoras (mainframes, servers, etc.).
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Organigrama funcional de un centro de proceso de datos •
BigData/BI Sistemas que manipulan grandes conjuntos de datos (o data sets). BigData hace referencia a conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable.
•
CloudComputing Sistemas de Información consumidos a través de Internet en un modelo de pago por uso.
•
Webmaster Persona responsable del mantenimiento o la programación de un sitio web.
•
Community Manager Responsable de sostener, acrecentar y defender las relaciones de la empresa con sus clientes en el ámbito digital. Gestor de la marca en los medios sociales.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los eventos no deseados que ponen en riesgo a los activos de una organización. También protege a las organizaciones frente a posibles pérdidas y corrige las desviaciones que se presentan en el desarrollo normal de las actividades. Algunos de los atributos de un control son:
Objetivo del control. Descripción del control Frecuencia del control Ejecución Monitorización
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información De forma general los controles pueden ser:
Voluntarios, cuando la organización los diseña a fin de mejorar los procesos. Obligatorios, si son impuestos por autoridades externas o reguladoras. Manuales, cuando son ejecutados por personas. Automáticos, si son llevados a cabo a través de sistemas de información automatizados. Generales, cuando van dirigidos al entorno donde operan otros controles. De aplicación, cuando operan integrados en el software.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información También se pueden clasificar, según su naturaleza, en controles preventivos, detectivos y correctivos. Preventivos, actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia.
También actúan para reducir la acción de los generadores de riesgos. Detectivos se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. Generalmente, sirven para supervisar la ejecución del proceso y se usan para verificar la eficacia de los controles preventivos. Constituyen la segunda barrera de seguridad y pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la operación de un sistema, monitorizar o alertar a las autoridades.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información Correctivos permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.
Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias. Son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
Alternativos: basados en revisión y comparación de las salidas del ordenador contra los documentos originales
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información
Ejemplos de controles preventivos • • •
Segregación de funciones (perfil de entrada de datos y perfil de autorización de los datos. Por ejemplo en contabilidad). Sistemas de seguridad lógica (procedimiento de setup/monitorización/mantenimiento de antivirus). Controles de validación y razonabilidad.(controles dentro de los programas/aplicativos).
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información
Ejemplos de controles detectivos • • •
Listados de excepciones (por ejemplo administradores de base de datos con el máximo privilegio) Pistas de auditoría (audit trail, log del sistema operativo, log del sistema de base de datos, etc.) Batch totales y Hash totales (por ejemplo, control de totales en los programas)/Hash total (por ejemplo, control de verificación que los programas fuente/documento ha sido modificado)
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información
Ejemplos de controles correctivos • • • •
Técnicas de copia de respaldo (back-up) y recuperación. Reproceso. Recálculos. Modificación de sistemas o programas. Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Clasificación de los Controles internos de los Sistemas de Información Ejemplos de controles compensatorios
alternativos
o
En un entorno informático hay: Ausencia de una adecuada segregación de funciones en el departamento de proceso de datos. Control alternativo o compensatorio: •
• • • •
Revisión y comparación de las salidas del ordenador contra los documentos originales Restauración de ficheros. Reproceso. Re-cálculos. Modificación de sistemas o programas.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales y de Aplicación Los controles generales contribuyen a asegurar el correcto Funcionamiento de los sistemas de información, creando un entorno adecuado para el correcto funcionamiento de los controles de aplicación. Controles Generales. Controles de Organización y Operación. Controles de Desarrollo de Sistemas y Documentación Controles de Hardware y Software de Sistemas Controles de Aplicación. Controles de Entrada de datos. Controles de Tratamiento de datos. Controles de Salida de datos. Controles por Área Controles de productos informáticos Controles por motivos legales
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Plan Estratégico de la Empresa y el Plan Estratégico Informático El plan estratégico informático (TI) es realizado por los órganos de la Alta Dirección de la empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información, así como las amenazas y oportunidades de su utilización o de su ausencia. Debe corresponderse con el plan estratégico de la empresa. El Departamento de Informática determinará los caminos precisos, a nivel técnico, para cubrir las necesidades del negocio, estructurándolo en proyectos informáticos.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Control de Presupuestos
Apoyado en Auditoría Financiera, se debe asegurar desde TI la integridad y/o precisión de la información relativa a gastos, amortización, etc. Organización Departamental Informática La organización del Departamento de Informática debe tener el nivel necesario de estructura como para asegurar independencia del User Team
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles Operación
de
Organización
y
Separación de Entornos Tiene que existir una división entre los entornos de desarrollo, prueba y explotación de los Sistemas de Información dentro del CPD. Esta división puede ser real o virtual.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Separación de Entornos
Habitualmente el esquema es el siguiente:
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Separación de Entornos En el Entorno de Desarrollo, se encuentran las aplicaciones que está desarrollando el equipo de Analistas y Programadores. Realizan primeras pruebas con datos ficticios. Cuando se considera correcto el desarrollo actual, este se libera y se carga en el entorno de Pruebas o Testing.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Separación de Entornos
En el Entorno de Testing, se van a realizar fundamentalmente 2 tipos de pruebas de acuerdo a un plan de casos de prueba previamente definido.
Caja Negra, donde se comprueba que dada una entrada al módulo, debo obtener una salida, de forma que dada la misma entrada obtengo la misma salida, y dadas diferentes entradas obtengo lo que se espera.
Caja Blanca, donde se comprueban por lo menos una vez todos los caminos independientes del módulo, se comprueben todas las decisiones lógicas, se comprueben los valores límite e cada operación, etc. Se sigue una estrategia de prueba, bien de forma unitaria realizando pruebas caja negra/blanca sobre un único módulo, o de forma integrada en la que se realizan las pruebas de caja negra/blanca teniendo en cuenta el módulo desarrollado y su interactuación con el resto.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Separación de Entornos Si todos los casos de prueba planificados son correctos se podrá cargar en el entorno de Explotación. De no ser así, se considera que el funcionamiento del módulo no es correcto y se cargará en el entorno de Desarrollo. Las personas que trabajan en cada entorno deben regirse por el principio de segregación de funciones.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Segregación de funciones
Una misma persona no puede realizar funciones determinadas en un mismo entorno. Por ejemplo, el programador realiza tareas de desarrollo, el analista realiza tareas de diseño de los modelos de datos de acuerdo a los requisitos y el Jefe de Proyecto es quien autoriza el paso entre entornos. Una misma persona no puede realizar funciones determinadas en un entorno y en otro. Por ejemplo, los programadores no deben realizar funciones de prueba en el entorno de Testing.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Organización y Operación Segregación de funciones En compañías pequeñas donde la segregación de funciones es difícil de llevar a la práctica, deberán incluirse controles compensatorios para mitigar el riesgo resultante de una falta de segregación de funciones. Por ejemplo, controles compensatorios pueden ser pistas de auditoría, registro de transacciones, revisiones independientes.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Documentación
Desarrollo,
de
Sistemas
y
Metodologías de ciclo de vida de desarrollo de Software Se conoce como SDLC - Software Development Life Cycle. Cualquier metodología es un Control Interno sobre lo que se desarrolla y es independiente del paradigma en el que se base (Orientación a Objetos, Modular, Declarativa). Por ejemplo METRICA3 es la metodología de la Administración Pública que permite trabajar con paradigmas Orientados a Objetos ó Modulares.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Desarrollo Documentación
de
Sistemas
y
Metodologías de ciclo de vida de desarrollo de Software Toda metodología debe cubrir desde las especificaciones del usuario, hasta que el programa está instalado en el entorno de Explotación, para así poder garantizar que el producto obtenido está acorde con los requisitos definidos y es de calidad. Su utilización podrá garantizar a la Dirección de la compañía que alcanzará los objetivos definidos para el sistema Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Desarrollo de Sistemas y Documentación
Estándares y nomenclatura Regulan la forma en la que se realiza el diseño, desarrollo, modificación, explotación y adquisición de los sistemas de información. Procedimientos La tareas de las personas que integran un CPD deben estar reflejadas en un procedimiento. Debe contener los pasos para realizar una tarea por una persona.
Todo procedimiento debe contener una descripción clara y concisa, una fecha de creación, de última modificación y fechas de revisión. Un flujograma que de forma clara establezca roles y actividades en el procedimiento.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Hardware y Software de Sistemas Seguridad Lógica y Física Se caracteriza por ser controles que preservan:
Confidencialidad, asegurando que solo quien esté autorizado puede acceder a la información. Integridad, asegurando que la información y sus métodos de proceso son exactos y completos. Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieren.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles Generales
Controles de Hardware y Software de Sistemas Seguridad Lógica y Física La seguridad lógica se refiere a la protección de la información, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a dicha información. Por ejemplo, accesos de personas no autorizadas a determinada información, pérdida de información por el cálculo inadecuado de una aplicación. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones (CPD) que los albergan.
Por ejemplo Incendios e inundaciones, fallos eléctricos
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles de Aplicación Las aplicaciones deben incorporar controles que garanticen la entrada, actualización, validez y mantenimiento completos y exactos de la información.
Controles de entrada de datos. Procedimientos para la introducción de datos que garantizan su validación, corrección y conversión de los mismos. Por ejemplo, autorización de entrada de datos a través de la firma de un formulario por parte de Dirección.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles de Aplicación
Controles de tratamiento de datos Procedimientos para asegurar que los procesos no insertan, modifican o borran datos de forma no autorizados, garantizando su integridad.
Controles de edición y verificación Permiten identificar errores de datos, datos incompletos e inconsistencias. Habitualmente son controles preventivos. Por ejemplo la verificación de secuencia (un número de control en orden secuencial que rechaza duplicados), verificación de rango (un campo que solo acepte edades adultas, rechazaría un 16), verificación de límites (un cajero solo permite sacar 600 € diarios).
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles de Aplicación
Controles de procesamiento Aseguran la exactitud de la información, una vez se han actualizado o han sido tratados. Por ejemplo la verificación de límites sobre valor calculado (un cajero solo permite sacar 600 € diarios, y vuelve a permitirlo una vez hayan pasado las 23:59).
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Controles de Aplicación
Controles de salida de datos Aseguran que los datos entregados a los usuarios serán presentados, formateados entregados de forma consistente y segura. Por ejemplo el manejo de errores de salida, cuando no se obtiene lo que se espera, y la reconciliación de datos son controles de salida de datos.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
Otros controles generales y de aplicación Controles por Área Son los controles que cubren las áreas definidas para un CPD.
Controles de Productos Informáticos Son controles que debe tener un producto informático comercial, de forma que cumpla con la definición de Control Interno Informático de la organización.
Controles de Tipo Legal Requieren de ayuda por parte de un auditor legal. En el sector tecnológico las leyes de propiedad intelectual (LPI), de protección de datos (LOPD), de servicios de sociedad e la información y comercio electrónico (LSSICE), etc. Deben existir controles para garantizar su cumplimiento
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
La regla de oro
Riesgo vs. Control vs. Coste La aplicación de los controles hasta ahora descritos deben estudiarse teniendo en cuenta que su coste no exceda el coste que supondría asumir el propio riesgo.
Auditoría de Seguridad – Carlos Manuel Fdez. y Boris Delgado
www.unir.net
View more...
Comments