Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

AUDITORIA CPD

Anuncio 
CENTRO DE
PROCESAMIENTOS DE DATOS
(CPD)
DINORAH MARTÍNEZ
VisualSoft Solutions
Consultoría
Consultor Externo
IDAHIR MARTÍNEZ
Contraloría General de la República Bolivariana de Venezuela
Dirección General de Control de Administración Nacional Descentralizada
Auditor Sénior
23 DE MARZO DE 2017
Maestría en:
Gerencia Técnica de la Información
Cátedra:
Auditoría de Sistema
Prof. Carlos Patiño
Universidad Santa María
Resumen
El estimado lector, encontrar en este aporte un breve
Capítulo 1.-INTRODUCCIÓN, sobre las Auditorias
aplicadas a los Centros Procesadores de Datos. De igual
forma un Capítulo 2.-CENTRO DE PROCESAMIENTOS
DE DATOS (CPD), en el que se muestran aspectos
relevante para conocer ¿qué es? y ¿cómo se conforma un
CPD?, Controles, principios de seguridad, personal idóneo
y los referentes más importantes de estándares
internacionales que regulan su diseño, control,
mantenimiento, y evaluación de los CPD. Capítulo 3.AUDITORIA DEL CPD definición y tipos. Para finalizar, se
muestran algunas conclusiones y referentes bibliográfico
de interés al lector.
Palabras Claves
“centro de procesamiento de datos”, “CPD”, “data center”, “controles”, “ISO”,
“COBIT”, “ITIL”, “LEY SOX”, “COSO”, “auditoría de CPD”, “tipos de auditorías de
CPD”, “seguridad física”, “seguridad lógica”, “contractuales”, “gestión
energética”, “políticas de seguridad”.
Agradecimientos
Al estimado profesor e ingeniero Carlos Patiño por orientaciones para lograr con
éxito este primer acercamiento al ámbito delas auditorías a los Centro de
Procesamiento de Datos. Gracias por sus aportes en clase.
INDICE1
Pág.
Capítulo 1 Introducción………………………………………………………………...
Capítulo 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD)
2.1 La Trascendencias de la Digitalización y los Centros de
Procesamiento de Datos (CPD)……………………………………….…………….....
2.2 Diseño del Centro de Procesamiento de Datos…………………………..
2.3 Controles del Centro de Procesamiento de Datos……………………….
2.3.1 Principales Factores que impactan la seguridad en el CPD…..
2.3.2 Aspectos relacionados con las normativas aplicables a la
seguridad de los CPD…………………………………………………………………....
2.3.3 Aspectos relevantes al personal de un CPD.…………………...
Capítulo 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS
(CPD)………………………………………………………………………………………
3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD)……
3.1.1.- Seguridad física…………………………………………………..
3.1.2.- Seguridad Lógica…………………………………………………
3.1.3.- Aspectos contractuales y de gestión energética……………...
Conclusiones……………………….……………………………………………………
APÉNDICE A Referencias Bibliográficas……………………………………………
APÉNDICE B Glosario de términos y Definiciones………………………………….
APÉNDICE C Anexos…………………………………………………………………..
Anexo 1 Mapa de Contenido…………………………………………………….
Anexo 2 Collage de Fotos del Diseño de un CPD.……….……………….….
Anexo 3 Fases de una Auditoría………………………………………………..
Anexo 4 ISO 1911:2011 Directrices para Auditoria de los Sistemas de
Gestión…………………………………………………………………………………...
1
Las Autoras Mapa de Contenido. Apéndice C, anexo 1.
CAPÍTULO 1
INTRODUCCIÓN
Los Centros de Procesamiento de datos son de interés en la sociedad de la
información, por ser estos los responsables del almacenamiento, resguardo,
mantenimiento y disponibilidad de manera eficaz, confiable su oportuna de la
información de las organizaciones, empresas, instituciones públicas o privadas.
Por lo que resulta interesante plantear en el presente trabajo aspectos que nos
den evidencia precisa de qué es un Centro de Procesamiento de Datos o
también denominado CPD, esto haciendo énfasis a su acrónico. De igual forma
es oportuno conocer cómo se constituyen qué criterios se deben considerar para
su diseño, implementación y mantenimiento. Así como que las normas y
estadar4es internacionales que las rigen.
En este contexto la presente investigación nos muestra la importancia de las
auditorias en estos CPD, que tipos de auditorías se estipulan y como esto ayuda
a las organizaciones actuales.
Sin más preámbulos dejamos de su agrado esta breve pero muy importante
investigación para la sociedad digital de hoy.
CAPÍTULO 2
CENTRO DE PROCESAMIENTOS DE DATOS (CPD)
La era de la globalización trae consigo una demanda permanente de solicitud de
información, así como la necesidad de comunicar de manera casi inmediata de
las acciones que se realizan en el entorno en que se encuentre. En este aspecto
conseguimos una sociedad deseosa de nuevos conocimientos, lo que trae como
consecuencia la creación de espacios tecnológicos que permitan el resguardo
de los datos que generan información.
Lo anterior permite hacer mención a los cambios suscitados en la sociedad
durante los últimos 30años y que ha dado origen al término que sea considerado
digno de estudio en las diversas ciencias la "Sociedad de la Información" o
también conocido como la "Revolución Informática" que nace en los últimos
años del siglo XX, la masiva y acelerada difusión de las tecnologías de la
información y las comunicaciones da inicio a una nueva época en donde la
economía deja de ser los combustibles y la electricidad a ser la información. El
Dr Ferrer 20092, en su discurso sobre "Centro de Procesamiento de Datos: El
Cerebro de Nuestra Sociedad" dado en el marco de su recepción como
académico de la Academia de Ciencias e Ingenierías de Lazarote-España,
realiza un exposición ejemplar en donde destaca un recorrido histórico-social de
la evolución de las bases económicas que mueven y han movido el mundo,
dando origen a los Centros de Procesamiento de Datos.
2.1.- La Trascendencias de la Digitalización y los Centros de
Procesamiento de Datos (CPD)
El Dr. Ferrer 20093, expone que para comprender el cambio económico de los
últimos 30 años en menester destacar cinco ejes que les dan vida los mismos se
enuncian, a continuación:


2
Telecomunicaciones a escala global: El nacimiento de los teléfonos y la
televisión que durante la década de los setenta se masificaron globalmente,
este medio de comunicación resulto de importancia para la sociedad, en
donde los satélites juegan un papel importante, para los noventa el uso del
cable de fibra óptica elevó exponencialmente la capacidad de las redes de
telefonía. Llegado el siglo XX el mundo contaba con una sólida red en
materia de telecomunicaciones.
Nace el ordenador personal: A finales de la década de los setenta nacen
los primeros ordenadores personales los cuales siguen siendo una
herramienta útil de trabajo, generando consigo una reducción en los costos lo
que ha sido beneficioso para quienes disponen de esta tecnología.
FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009.
Cap.1 “La Revolución del Siglo XXI”, p. 9.
3
Ídem.



Un sistema global basado en la información, su procesamiento y
comunicación: Para los años setenta, las economías de los distintos países
se relacionaron entre sí, vinculando los mercados de productos y servicios
entre países, lo que da inicio a un proceso de globalización económica.
La competitividad: La globalización introduce cambios en la economía. Para
que las organizaciones se mantengan en el mercado mundial, estas deben
ser flexibles, creativas y ordenadas para adaptarse a las condiciones del
lugar en el que desean introducir sus productos y servicios. El factor que las
constituye como instancias de éxito es la capacidad de obtener y procesar
toda la información de modo casi instantánea. "La información se convierte
así en un recurso estratégico".
La Productividad: Para que las organizaciones puedan mantener su éxito,
la globalización las obligado a aumentar su productividad, produciendo más
bienes y servicios a un menor costo, para lograr esta meta las empresas han
constituido como "espina dorsal" gran cantidad de redes de ordenadores y
dispositivos de telecomunicaciones que hacen que sus procesos sean más
expeditos y eficientes desde el ámbito administrativo hasta la producción.
Permitiendo afirmar una vez más que "el recurso estratégico es la
información".
Lo anterior permite decir que la evolución de las comunicaciones a nivel
tecnológico ha facilitado que la sociedad intercambie información de manera
rápida, sin embargo a este elemento debe de igual modo incorporarse el
elemento de la "Trascendencia de la Digitalización", denominado así por el Dr.
Ferrer 20094, el plantea que desde el invento de la imprenta en el siglo XV por el
alemán Johann Gtenberg, la sociedad comenzó a trasladar sus ideas y
conocimientos en libros (letras) de manera masiva y barata. Introduciendo así la
posibilidad que el conocimiento humano perdure aún más tiempo y al alcance de
muchos, estimulando el desarrollo científico, haciendo florecer la literatura, el
teatro, las ideas políticas hasta el punto de provocar la caída de las monarquías
para dar paso a gobiernos democráticos.
La evolución de las trascendencias de las ideas, fue la base para la época de
globalización digital, en donde surgen nuevas formas de operación de
intercambio de conocimientos e información digital, tales como: correos
electrónicos, foros de discusión en línea, las bases de datos, teléfonos portátiles,
la transmisión digital de archivos o el servicio de acceso a los servidores de una
organización desde cualquier parte del mundo, facilitando la nuevas formas de
organización de las empresas. Por lo que el internet, es mucho más rápido,
barato y fácil publicar información que reproducir o imprimir un libro.
Entonces tenemos que con el internet se obtiene un mayor alcance de público
por sus bondades de recepción y envío de información. Para tener una idea de
que hablamos “En el año 2006 la información digital era tres millones de veces
superior a la de los libros escritos”. Al respecto Dr. Ferrer 20095 ejemplifica:
4
5
Ídem. Cap.2 “Sociedad de la Información”, p. 13.
Ídem.
...“la población mundial se ha incrementado poco más de 55 veces
desde los tiempos de la Antigüedad Grecia a la fecha, la cantidad de
informaciones disponibles los hizo cerca de 100 millones de veces, o
cual significa que el conocimiento universal se publicó 5 años. Ésta es
una forma de hacer notar como las tecnologías de la información y
comunicación se difunden y transmiten rápidamente.”
Con tanta información digital generada en la Sociedad de la Información, surge
la interrogante "¿dónde reside la fuente de información y la fuente del
conocimiento?", plantea el Dr. Ferrer 20096, que la información puede ubicarse
en cualquier lugar del planeta gracias a las nuevas redes y la globalización. Sin
embargo, continua argumentando que a pesar de la complejidad para dar
respuesta a la interrogante, surge otro planteamiento aún más interesante "¿qué
recursos se están viendo involucrados?", a lo que responde que solo aquellas
organizaciones que tienen conciencia de la importancia de que su subsistencia
radica en la fuente de información, precisan de Centros de Proceso de Datos,
en ingles "Data Center". Lo cual define como:
"es aquel ubicación donde se concentran todos los recursos
necesarios para el procesamiento de información de una
organización. ....viene a ser básicamente un edificio o sala de gran
tamaño usada para mantener en él una gran cantidad de
equipamiento electrónico (servicios, sistemas de almacenamiento de
datos, equipos de comunicaciones…”
Es necesario decir, que dependiendo de la región o el autor el término CPD se
conoce como centro de cómputo o centro de cálculo. Para efectos de esta
investigación el término considerado es: Centro de Procesamiento de Datos,
y se comprende como el conjunto de recursos físicos, lógicos y humanos
necesarios para el control de las actividades informáticas de una organización.
Expuesto esto, se hace necesario conocer un poco más de los Centros de
Procesamiento de Datos, a fin de considerar los criterios usados para
materialización y son insumos para las auditorias de CPD.
2.2.- Diseño del Centro de Procesamiento de Datos7
El diseño de CPD, inicia por la elección geográfica, las condiciones de
construcción de la dependencia, el diseño interior, la facilidad de acceso para la
instalación de los equipos y la seguridad física de las instalaciones. Una vez
garantizadas las condiciones de habitabilidad de la dependencia, se procede a la
instalación de los aparatos tecnológicos que le dan vida al centro, como son: Las
computadores y las redes de parea local, otras. Para esta tarea se requiere un
diseño lógico de redes y entornos.8
6
Ídem. Cap.2 “El Centro de Procesamiento de Datos”, p. 14.
Collage de Fotos del Diseño de un CPD. Apéndice C, anexo 2.
8
Las Autoras, Mapa de Contenido. Diseño de CPD. Apéndice C, anexo 1.
7
Es importe, destacar que los grande servidores se ubican en “Site” o también
denominados sala fría, nevera o pecera. La sala requiere un sistema específico
de refrigeración para mantener una temperatura baja (entre 21 y 33 grados de
Ceisus). Al respecto las normas internacionales establecen una tempera exacta
debe ser 22,3 grados Ceisus.9
2.3.- Controles del Centro de Procesamiento de Datos
Un CPD se diseña para estar operativo las 24 horas todos los días del año,
considerando que a mayor disponibilidad mejor servicio, lo que se traduce en
más producción. Esta disponibilidad requiere de una gran inversión y de
controles del CPD, entendiendo por este control el ciclo que sigue la
información desde la entrada hasta la salida de la información, lo que conlleva al
establecimiento de niveles de seguridad en el proceso que se realiza, entre
algunos elementos se sugieren los siguientes:
 Asegurar que todos los datos sean procesados.
 Garantizar la exactitud de los datos procesados.
 Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditoría.
 Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.
 Tener un sistema de control con identificación (responsable de los datos
mediante el uso claves de acceso).
 En caso de equipos que cuentan con sistemas en línea, los usuarios son
los responsables de la captura y modificación de la información.
2.3.1.- Principales factores que impactan la seguridad en el CPD:






Aspectos de lógica y confidencialidad.
Aspectos relevantes de la seguridad en el personal.
Seguridad Física.
Seguridad en la utilización de equipamiento.
Procedimiento de respaldo en caso de desastre.
Procedimientos y controles necesarios para soportar a otras instituciones.
2.3.2.- Aspectos relacionados con las normativas aplicables a la
seguridad de los CPD
El área de Tecnología debe tener y observar reglas relativas al orden y cuidado
del CPD, esto motivado a que un descuido puede causar dañados y pérdidas
irreparables, o en costos muy elevados en la recuperación de éstos. Para ello,
existen normas internacionales previamente ya abaladas y estandarizadas en el
ámbito de las tecnologías de la información y comunicación, la cuales según el
9
Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017
En lace: https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos
estudio realizado por Burgos y Campos 200810 en su publicación denominado
“Modelo Para Seguridad de la Información en TIC” para la Universidad de Bío –
Bío –Chile, establecen tres requisitos de mayor significación para el resguardo
de la información, estos son:
 Confiabilidad: Descrita como la encargada de prevenir el acceso no
autorizado ya sea en forma intencionada o no intencional a la información.
 Integridad: Busca asegurar que no se realicen cambios en la
información, es decir, que los datos sean consistentes tanto interna como
externamente (durante todo el proceso).
 Disponibilidad: Se dispone a asegurar la disponibilidad en el acceso de
manera confiable y oportuna a los datos o recursos para el personal
apropiado.
Considerando estos requisitos básicos procede a realizar referencia a
estándares y normas más utilizados a nivel mundial, a continuación:
 ISO 17.799: Es un estándar para la administración de la seguridad de la
información, plantea la implementación de una estructura documental que
debe ser respaldada por la alta gerencia de la organización para alcanzar
su éxito. El mismo fue publicado en el 2000 por la Organización
Internacional
de
Estándares
(Internacional
Organization
for
Standardizacion - ISO), con el objetivo de desarrollar un marco de
seguridad para la organizaciones, ofrece recomendaciones para realizar
una gestión de seguridad de la información dirigida a los responsables de
iniciar, implementar o mantener la seguridad de la organización.
 COBIT: Es un estándar desarrollado por la Information Systems Audit and
Control Foundation (ISACA), fundada en 1969 en EE.UU, esta institución
orienta sus aportes a la temas de gobernabilidad, control, aseguramiento
y autoridades para las TIC. El acrónico COBIT, significa Objetivos de
Control para la Información y Tecnologías Relacionadas (Control
Objetives for Information and Related Technology). Estas normas se
consideran las más adecuadas y de mayor importancia por ser
especializadas en las Tecnologías de la Información y Comunicación
(TIC).11
 ITIL: Information Tecnhnology Infrastructure Liberary, es una norma que
agrupa las mejores prácticas a nivel mundial para la administración de
servicios de Tecnologías de Información (TI), desarrolla a finales de la
década de los ochenta por entidades públicas y privadas. El propietario
de este estándar pertenece a la Ofice of Government Commerce, una
entidad de la tesorería del gobierno británico.12
 LEY SOX: Ley Sarbanes-Oxley (SOX), de EE.UU, nombrado así en
referencia de sus creadores, nace producto de los escándalos financieros
10
BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del BíoBío, Chile, 2008. Cap. “Estándares para Asegurar la Información” p. 237.
11
Para mayor información: http://www.isaca.org/spanish/Pages/default.aspx
12
Para mayor información : http://www.it-institute.org/
de falsificación ocurridos en el 2002. Esta ley obliga a llevar un control y
almacenamiento informático estricto de su actividad. Obliga a las
empresas públicas nacionales de dicho país, así como todos los
extranjeros inscritos en la Securities and Exchange Comission. Esta ley
es un referente a nivel mundial especialmente para las empresas que
trazan sus valores en la bolsa de EE.UU.
 COSO: Está orientada principalmente al control de la administración
financiera y contable de las organizaciones, su acrónico responde a The
Committe of Sponsoring Organizations of the Treadway Commission´s
Iternal Control – Integrated Framework. El informe COSO es un
documento que contiene directivas e indicaciones para la implantación,
gestión y control de un sistema de Control Interno, con alcances al área
informática. Estas normas forman parte del basamento legal y normativo
de control interno de la administración pública venezolana.13

ISO serie 27000: Es una serie de estándares que se encuentran
desarrollo, contempla: definiciones de vocabularios (ISO 27000),
requisitos para sistemas de seguridad de la gestión de seguridad de la
información (ISO 27001) guía de buenas prácticas en objetivos de control
y controles recomendados de seguridad de la información (ISO 27002),
una guía de implementación de SGSI (Sistema de Gestión en Seguridad
de la Información) junto a información de uso del esquema PDCA (Plan,
Do, Check, Act) (ISO 27003); especificación de métricas para determinar
la eficacia de SGISI (ISO 27004); una guía de técnicas de gestión de
riesgo (ISO 27005); especificación de requisitos para acreditación de
entidades de auditoria y certificación de SGSI (ISO 27006); una guía de
auditoria de SGSI (ISO 27007); una guía de gestión de seguridad de la
información para telecomunicaciones (ISO 27011), una guía de
continuidad de negocio en cuanto a TIC (ISO 27031), guía de ciber –
seguridd (ISO 27032); guía de seguridad en redes (ISO 27033), una guía
de seguridad en aplicaciones (ISO 27034), y una guía de seguridad de la
información en el sector sanitario (ISO 27799).14
2.3.3.-Aspectos relevantes al personal de un CPD
Un buen CPD depende, de la integridad, estabilidad y lealtad de personal, por lo
que es conveniente hacerle exámenes psicológicos, médicos y verificar sus
antecedentes de trabajo, para contar con el personal altamente cualificado, que
cumpla los códigos de éticas que rigen las tecnologías de información. Ahora
bien, todo Centro de Procesamiento de Datos cuenta con una estructura mínima
de distribución de trabajo que se ajusta de acuerdo a las propias necesidades de
la organización, esta estructura mínima debe contemplar personal a tiempo
completo y personal por turnos que permita garantizar el funcionamiento
confiable y optimo del CPD.
13
14
Para mayor información: https://www.coso.org/Pages/default.aspx
Para mayor información: WWW.ISO27000.ES
CAPÍTULO 3
AUDITORIA DEL CENTRO DE PROCESAMIENTO DE
DATOS (CPD)
El término de auditoria tiene diversas aserciones pero todas coinciden en:
encontrar evidencias para evaluar el grado en que se están cumpliendo y
llevando a cabo los objetivos. Al respecto consideramos destacar las
siguientes:
“Debe entenderse por un estándar metodológico para evaluar distintos
objetivos o realidades, con mentalidad crítica, analítica e investigativa,
sobre una base objetiva, independiente y ética, tendiente a emitir un
informe que es el proceso final.”15
“El propósito de una auditoria es aumentar el grado de confianza de
los presuntos usuarios (…) La auditoría conduce con la premisa de
que la administración reconoce y entiende las responsabilidades
fundamentales para la realización de esta de acuerdo con las normas,
sin imponer responsabilidades. Es necesario que el auditor obtenga el
acuerdo de la administración, basándose en esta premisa, como
condición del desarrollo de la auditoria.”16
Considerado todo lo precedente, se entiende para el presente estudio por
Auditoria en Centros de Procesamiento de Datos (CPD) como: un proceso
de revisión y evaluación de los sistemas de información, tecnológicos, de
procedimientos, interfaz y estructura física.17 Ahora bien, todo proceso de
auditoria lleva inmerso una serie de fases metodológicas18, las cuales aunado
con las normas seleccionadas19 pueden constituir un referente para definir el
modelo de auditoria a desarrollar en los CPD.
3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos
(CPD)
Existen diversos tipos de auditorías que varían de acuerdo a su función para ello
hemos diseñado un mapa basado en la descripción genérica presentada por
15
AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede
Maizales. Facultad de Ciencias y Administración. Colombia, 1996. Cap. 1.4 “Marco Conceptual” p. 6.
16
Normas Internacionales de Auditoría. Material de Apoyo - uditool. Cap. Objetivos Generales del Auditor
Independiente y Conducción de Una Auditoría, de Acuerdo con las Normas Internacionales de Auditoría.
p.4
17
Para ver más definiciones se sugiere ver NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad
Filosofía-Especialidad Informática Guayaquil-Ecuador. p.3
18
Las Autoras. Fases de una auditoria. Apéndice C, anexo 3.
19
Ejemplo de un Diagrama de flujo de normas ISO 19011 para la auditoria de sistemas de gestión. p.15
Penagos 201320 en su “Modulo de Gestión de Auditoria Soporte en TIC para la
Gestión de comunicaciones, seguimiento y revisión del SGSI” publicado por la
Universidad Tecnológica de Pereira. Sin embargo para efectos del presente
tema consideramos pertinente y adecuado centrarnos en lo expuesto por
HERNANDO 201121, el mismo se describe tres aspectos necesarios a considerar
para la auditoria de los CPD, a continuación:
3.1.1.- Seguridad física: Se entiende como todos los mecanismos aplicados
de manera preventiva y de detección destinados a proteger físicamente
(hardware) cualquier recurso del sistema; estos recursos son desde un simple
teclado hasta una cinta de backup con toda la información que hay en el
sistema, pasando por la propia CPU de una máquina. Busca asegurar la
integridad física de los equipos almacenados, desde el interior hasta el exterior.
Los CPD deben tener una seguridad física, a través del control de acceso con
mecanismos de tarjetas inteligentes, para tener control en tiempo real de quién
entra a dónde, y para qué. No encontrarse con un sistema de control de acceso
adecuado es motivo de incidencia.
Además mecanismos de detección y alarma como extintores, la sala de
contraincendios, los sensores de humedad, de temperatura, de detección de
humo y de movimiento, los cuales deben ser probados regularmente y que
funcionan como es debido.
El objetivo de la auditoria en la seguridad física, es establecer políticas de
seguridad, procedimientos y prácticas para evitar las interrupciones prolongadas
del servicio del CPD, entre ellas:
 El material y construcción del edificio del CPD no debe tener
componentes que sean altamente inflamables, que despiden humos
tóxicos o bien paredes que no estén selladas y despidan polvos.
 Se considera peligroso tener el CPD en las áreas de alto tráfico de
personas.
 Se debe tomar precauciones en cuanto a la orientación del CPD.
Entre las principales precauciones que deben revisar están:
 Los ductos del aire acondicionado deben estar limpios, ya que son una de
las principales causas de polvo.
 Contar con detectores de humo que indiquen la posible presencia de
fuego.
 Instalaciones de alto riesgo, debe tener equipos de fuente no
interrumpible.
 Verificar que existan suficientes salidas de emergencia y que estén
debidamente controladas.
20
PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones,
seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. Cap. 1.1 Auditoria
y Tipos de Auditorias. p.16
21
HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría
de Centros de Procesamientos de Datos. 18 diciembre 2011.
3.1.2.- Seguridad Lógica: Se refiere a la seguridad en el uso de software y
los sistemas, la protección de los datos, procesos y programas, así como la del
acceso ordenado y autorizado de los usuarios a la información, en otra palabras
todo aquello que tiene que ver con el mundo de los datos.
Hay que tener en cuenta los errores humanos (ya sean provocados, por
accidente, negligencia o descuido) son los responsables de gran parte de las
incidencias que se producen en estos entornos. Por eso la importante de la
auditoria de seguridad física, ya que evalúa el sistema de control de acceso, por
lo esencial en los procesos de gestión de riesgos.
3.1.3.- Aspectos contractuales y de gestión energética: La auditoría en los
aspectos contractuales alertar al negocio de muchas cosas que van más allá de
los costos establecidos, lo cual puede servir para adquirir un servicio en mejores
condiciones y en gestión energética, entendiendo por este último término como
el estudio integro que analiza la situación actual del consumo energético e
implanta sistemas de control de la energía, su objetivo principal es combinar el
ahorro con la aplicación de medidas favorables con el medio ambiente.
Esta auditoria permite evaluar:
 Los riesgos de un proceso que contiene información con cierto nivel de
criticidad y sensibilidad
 La seguridad solicitando evidencias sobre cómo se gestiona por parte del
proveedor de servicios
 Sugerir la inclusión de cláusulas de audibilidad.
 Advertir problemas potenciales de conflicto de interés por la ausencia de
controles para contratar.
La labor de auditoría indagar y tener una idea clara de cómo se gestionan los
contratos en un CPD, haciendo especial hincapié en niveles de servicio,
condiciones, garantías y seguridad del proveedor, en los aspectos de:





Los servicios de mantenimiento de terceros, y concretamente, los niveles
de servicio y condiciones de reposición de materiales y traslado de
técnicos en caso de incidencias
Las condiciones para que el proveedor establezca distintos niveles de
criticidad en eventos de disrupción operacional así como los tiempos de
respuesta resultantes.
La ausencia de cláusulas de audibilidad en los procesos que impide
realizar verificaciones de seguridad y auditoría en caso de contratarse
Las políticas de gestión de cambios (instalación de parches y
actualizaciones).
La ausencia o deficiencia de mecanismos de continuidad de servicios,
locales y remotos.
CONCLUSIONES
Los Centros de Procesamientos de Datos son grandes instalaciones donde se
centran una gran cantidad de recursos físicos, lógicos y humanos que procesan
el bien más valorado actualmente por las organizaciones: Información. Como
parte de la columna vertebral -así lo denomina varios autores especialistas de la
tecnología y de la gestión empresarial- coge gran significación para un auditor
en la era digital, el evaluar un CPD.
Los Centros de Procesamiento de Datos deben estar en manos de personal
idóneo que vele por el bienestar social con sentido ético, esto motivado a la gran
cantidad de la población mundial que deja en manos de los grandes organismos
públicos o privados toda su información personal, financiera, otras.
Las auditorías de CPD permiten mantener las organizaciones con negocio con
optimización y capacidad de respuesta del bien o servicio prestado. De igual
forma, trasciende al campo de la comercialización, imagen, credibilidad y
confianza en los usuarios y proveedores de las organizaciones objetos de
auditorías de CPD.
Por su parte, los estándares internacionales, facilitan la creación de modelos que
se adaptan a la realidad propia de cada país y organización, existen referentes
como en Chile22 en donde se han diseñado estándares de auditorías de CPD
que den respuestas a los niveles de las organizaciones. Esto es un ejemplo de
las bondades que se pueden obtener de las normativas y estándares
internacionales, una vez consideradas para el diseño de las auditorías.
Entre las normas que más nos resulta de importancia para los CPD,
consideramos las Normas ISO 27000 y las normas COBIT, por ser diseñadas y
especializadas sólo para el ámbito de las Tecnologías de la Información (TI).
22
BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del BíoBío, Chile, 2008. Este material es una propuesta desarrollada para el caso particular de Chile.
APÉNDICE A
REFERENCIAS BIBLIOGRÁFICAS23
1. AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad
Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996
http://www.bdigital.unal.edu.co/41018/1/alfonsopioagudelosalazar.1996.pdf
2. BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC.
Universidad del Bío-Bío, Chile, 2008. http://ceur-ws.org/Vol-488/paper13.pdf
3. FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra
Sociedad. España, 2009.
http://www.academiadelanzarote.es/Discursos/Discurso%2034.pdf
4. HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de
Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011.
http://www.sahw.com/wp/archivos/2011/12/18/auditoria-de-centros-de-procesamientode-datos-parte-1-seguridad-fisica/
5.
NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad FilosofíaEspecialidad Informática Guayaquil-Ecuador.
https://es.scribd.com/document/19233522/ERP-CRM-SAP-Monografia-Conceptos-deAuditoria-en-Sistemas-1
6. Norma Internacional ISO 19011 Directrices para la auditoría de Sistemas de Gestión.
Segunda edición. 2011.
http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf
7. Normas Internacionales de Auditoría. Material de Apoyo - uditool.
https://www.ccpdistritocapital.org.ve/uploads/descargas/fddcb2ae5541d5f49e87158a6b3
9a1ae4571a152.pdf
8. PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de
comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira,
Colombia 2013.
http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pdf
?sequence=2
9. Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017
https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos
Otros Enlances
 Information Technology Infrastructure Liberary (ITIL) https://www.axelos.com/bestpractice-solutions/itil
 Norma Internacional ISO27000 WWW.ISO27000.ES
 Control Objectives for Information and
http://www.isaca.org/spanish/Pages/default.aspx
related
Technology
(COBIT)
 Committee of Sponsoring Organizations of the Treadway Commission (COSO)
https://www.coso.org/Pages/default.aspx
23
Todas las Referencias Bibliográficas de Internet fueron consultadas hasta la fecha 23MAR2017.
APÉNDICE B
GLOSARIO DE TÉRMINOS Y DEFINICIONES
Auditoría de Centros de Procesamiento (CPD)
un proceso de revisión y
evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz
y estructura física.
Centro de Procesamiento de Datos (Data Center)
Es el conjunto de recursos
físico, lógicos, y humanos necesarios para la organización, realización y control de
las actividades informáticas de una empresa.
COBIT Control Objectives for Information and related Technology (Objetivos de Control
para Información y Tecnologías Relacionadas).
Controles
el ciclo que sigue la información desde la entrada hasta la salida de la
información.
CPD
Centro de Procesamiento de Datos.
Gestión energética Se define como un estudio integro que analiza la situación actual
del consumo energético e implanta sistemas de control de la energía.
ISO International Organization for Standardization (Organización Internacional de
Normalización).
ITIL Information Technology Infrastructure Liberary (Biblioteca de Infraestructura de
Tecnologías de Información).
LEY SOX
Sarbanes-Oxley Act of 2002 o Ley Sarbanes-Oxley, (Ley de Reforma de
la Contabilidad Pública de Empresas y de Protección al Inversionista.)
Políticas de seguridad
Conjunto de leyes, reglas y prácticas que regulan la
manera de dirigir, proteger y distribuir recursos en una organización para llevar a
cabo los objetivos de seguridad informática.
Seguridad Física
Se entiende como todos los mecanismos aplicados de manera
preventiva y de detección destinados a proteger físicamente (hardware) cualquier
recurso del sistema.
Seguridad Lógica Se refiere a la seguridad en el uso de software y los sistemas, la
protección de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información.
APÉNDICE C
ANEXOS
Anexo 1 Mapa de Contenido
Diseño: Las Autores
Anexo 2 Collage de Fotos del Diseño de un CPD
Diseño: Las Autores. Fuente fotográfica: Ferrer, J.
Anexo 3 Fases de una Auditoría
Diseño: Las Autores.
Fuente: Manual de Normas y Procedimientos en materia de Auditoría de Estado. Contraloría General de la República Bolivariana de Venezuela.
2015
Anexo 4 ISO 19011:2011 Directrices para la Auditoría de los
Sistemas de Gestión
Tomado de: Norma ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión
p.15
http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf
Documentos relacionados
DESERT FISHES COUNCIL
DESERT FISHES COUNCIL
Sistema Gestión de Calidad INE
Sistema Gestión de Calidad INE
CHEQUE DE PAGO DIFERIDO Cheques de Pago Diferido
CHEQUE DE PAGO DIFERIDO Cheques de Pago Diferido
certificado de conformidad ec
certificado de conformidad ec
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
II.1 Auditoría de los componentes físicos
II.1 Auditoría de los componentes físicos
programa_cooperacion_internacional_desarrollo_coherencia_politicas_cooperacion_espanola.pdf
programa_cooperacion_internacional_desarrollo_coherencia_politicas_cooperacion_espanola.pdf
Certificado de Conformidad CE - AXESS SLIM (PDF)
Certificado de Conformidad CE - AXESS SLIM (PDF)
Certificado de Conformidad CE - AXESS ADAPT (PDF)
Certificado de Conformidad CE - AXESS ADAPT (PDF)
Descargar
Anuncio
Anuncio