audsegt2tra

Asignatura

Datos del alumno

Fecha

Apellidos: Estrella Ponce

Auditoría de la Seguridad

24 de septiembre de 2017 Nombre: Audie Allister

Actividades Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas. Realiza los siguientes puntos: ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático. Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso

de

Datos

(área

Explotación/Producción).?

TEMA 2 – Actividades

de

desarrollo/mantenimiento

y

área

de

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Estrella Ponce 24 de septiembre de 2017 Nombre: Audie Allister

En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? Se considerarán ejercicios válidos si contestas a todos los apartados razonando debidamente cada decisión tomada. Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.

DESARROLLO Para realizar esta tarea vamos tomar como referencia el organigrama estructural del departamento de Sistemas de un pequeño banco de la ciudad de Guayaquil – Ecuador para analizar sus debilidades y la manera de mejorar su CDP.

Ilustración 1 - Organigramas Estructural Banco XXX

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Estrella Ponce 24 de septiembre de 2017 Nombre: Audie Allister

¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? Tienes que establecer un organigrama funcional contemplando, entre otros, el área de control interno informático. Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase

Se modifico el organigrama para que el Banco cumpla con los estándares internacionales y de esta esta manera tener una mejora estructura jerárquica de funciones para los respectivos niveles. Se suprimo las Gerencias de Sistemas y de Comunicaciones porque pienso que estas ya están embebidas en la Gerencia TI; así mismo, se creó un departamento de Desarrollo y Mantenimiento para que maneje la parte del desarrollo de los sistemas propietarios del banco donde se encuentra un jefe de proyecto (Analista Programador 2) y dos Programadores (Analista Programador 1). Otra de las modificaciones importantes fue la creación de un puesto de Mesa de Ayuda (CAU) el cual tiene tres subcategorías Bienes Informáticos, Atención al Usuario y Redes/Comunicaciones dentro de este se encuentran otras subcategorías las cuales son Analista de Telefonía y redes y Analista de Monitoreo. Otra de las implementaciones fue el área de Community Manager para las redes sociales y finalmente un área de Control Interno. A continuación, se detalla la figura del nuevo organigrama.

TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Estrella Ponce

Auditoría de la Seguridad

24 de septiembre de 2017 Nombre: Audie Allister

Gerencia General Control Interno de Tecnología de la Información Gerencia de Soporte TI

Desarrollo y Mantenimiento

Mesa de Ayuda o CAU

Community Manager

Técnicos de Sistema

Analista Programador 2

Analista de Telefonía y Red Bienes Informáticos

Analista Programador 1

Atención al Usuario

Redes y Telecomunicaciones

Analista de Monitoreo

Analista Programador 1

DATA CENTER

Ilustración 2 - Organigrama Banco XXX modificado TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: Estrella Ponce 24 de septiembre de 2017 Nombre: Audie Allister

Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. El Banco al tener toda la parte de sistemas desactualizada (Sistemas Operativos, Antivirus, Bases de Datos, etcétera), el primer control a efectuar sería Controles de Hardware y Software del Sistema para poder impulsar y solicitar a la Alta Gerencia inversión sobre estos dos ítems primordiales con esto se podría mitigar futuros ataques a los sistemas internos. Otros de los controles a aplicar sería el de Organización y Operación en el área de desarrollo y mantenimiento para poder aplicar la separación de entornos debido a que se maneja muchas aplicaciones propias del banco donde utilizaríamos el sistema esquema: ✓

Entorno de Desarrollo.

✓

Entorno de Testing.

✓

Entorno de Explotación o Producción.

✓ Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. Lo primero que se requiere es una persona capacitada en el estándar para que pueda capacitar a los jefes de cada área lo cual se puede ayudar con un cronograma para realizar esta actividad. En el área de control interno deberá aplicar las normas descritas en todas las áreas para de esta manera llevar un control más riguroso para que el Banco siga los lineamientos y que todo el personal se encaje en estos. Para el área de desarrollo se necesitarían 1 Jefe de Proyecto (Analista Programador 2) y 2 desarrolladores (Analista Programador 1), 1 experto en Infraestructura para que ocupe la plaza de Mesa de Ayuda y 11 Ingenieros en sistemas los cuales estarán divididos 2 en Bienes Informáticos, 3 en Atención al usuario, 2 Analistas de Teléfono y Redes y 5 Analistas en monitoreo para que roten las 24 horas. 2 expertos en Community Manager y 4 expertos en auditoria de sistemas para que realicen las funciones de control interno. En total se necesitarían 21 personas para un Centro de Proceso de Datos (CDP). TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Estrella Ponce

Auditoría de la Seguridad

24 de septiembre de 2017 Nombre: Audie Allister

¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso

de

Datos

(área

de

desarrollo/mantenimiento

y

área

de

Explotación/Producción).? ✓ Área técnica de sistemas la situaría por debajo de Mesa de Ayuda o CAU ya que es allí donde se podría detectar cuales son los principales problemas técnicos a nivel de hardware/software reportado por los usuarios para buscarle una solución inmediata. ✓ Administración de base de datos la situaría en producción ya que es la materia prima de este negocio y hay que vigilar que la administración de la misma se la más optima en producción. ✓ Telecomunicaciones la situaría como una subcategoría de Técnicos de Sistemas de donde se desprenden dos ramas que son los Analista de Telefonía y Redes y los Analistas de Monitoreo debido a que por medio de ellos se contempla la administración absoluta de red y de los equipos de interconexión.

En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? Si a continuación detallo la segregación de funciones y segregación de entornos modificando así el actual del banco. En la Gerencia de Soporte IT de subdividió en las siguientes categorías: ➢

Desarrollo y Mantenimiento. o Analista Programador 2

➢

▪

Analista Programador 1

▪

Analista Programador 1

Mesa de Ayuda o CAU o Técnicos de Sistema ▪

Bienes Informáticos

TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos: Estrella Ponce

Auditoría de la Seguridad

24 de septiembre de 2017 Nombre: Audie Allister

▪

Atención al Usuario

▪

Redes/Telecomunicaciones • Analista de Telefonía/Red • Analista de Monitoreo

o Data Center. ➢

Community Manager

➢

Control Interno de Tecnología de la Información.

TEMA 2 – Actividades