CENTRO DE PROCESAMIENTOS DE DATOS (CPD) DINORAH MARTÍNEZ VisualSoft Solutions Consultoría Consultor Externo IDAHIR MARTÍNEZ Contraloría General de la República Bolivariana de Venezuela Dirección General de Control de Administración Nacional Descentralizada Auditor Sénior 23 DE MARZO DE 2017 Maestría en: Gerencia Técnica de la Información Cátedra: Auditoría de Sistema Prof. Carlos Patiño Universidad Santa María Resumen El estimado lector, encontrar en este aporte un breve Capítulo 1.-INTRODUCCIÓN, sobre las Auditorias aplicadas a los Centros Procesadores de Datos. De igual forma un Capítulo 2.-CENTRO DE PROCESAMIENTOS DE DATOS (CPD), en el que se muestran aspectos relevante para conocer ¿qué es? y ¿cómo se conforma un CPD?, Controles, principios de seguridad, personal idóneo y los referentes más importantes de estándares internacionales que regulan su diseño, control, mantenimiento, y evaluación de los CPD. Capítulo 3.AUDITORIA DEL CPD definición y tipos. Para finalizar, se muestran algunas conclusiones y referentes bibliográfico de interés al lector. Palabras Claves “centro de procesamiento de datos”, “CPD”, “data center”, “controles”, “ISO”, “COBIT”, “ITIL”, “LEY SOX”, “COSO”, “auditoría de CPD”, “tipos de auditorías de CPD”, “seguridad física”, “seguridad lógica”, “contractuales”, “gestión energética”, “políticas de seguridad”. Agradecimientos Al estimado profesor e ingeniero Carlos Patiño por orientaciones para lograr con éxito este primer acercamiento al ámbito delas auditorías a los Centro de Procesamiento de Datos. Gracias por sus aportes en clase. INDICE1 Pág. Capítulo 1 Introducción………………………………………………………………... Capítulo 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) 2.1 La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD)……………………………………….……………..... 2.2 Diseño del Centro de Procesamiento de Datos………………………….. 2.3 Controles del Centro de Procesamiento de Datos………………………. 2.3.1 Principales Factores que impactan la seguridad en el CPD….. 2.3.2 Aspectos relacionados con las normativas aplicables a la seguridad de los CPD………………………………………………………………….... 2.3.3 Aspectos relevantes al personal de un CPD.…………………... Capítulo 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD)……………………………………………………………………………………… 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD)…… 3.1.1.- Seguridad física………………………………………………….. 3.1.2.- Seguridad Lógica………………………………………………… 3.1.3.- Aspectos contractuales y de gestión energética……………... Conclusiones……………………….…………………………………………………… APÉNDICE A Referencias Bibliográficas…………………………………………… APÉNDICE B Glosario de términos y Definiciones…………………………………. APÉNDICE C Anexos………………………………………………………………….. Anexo 1 Mapa de Contenido……………………………………………………. Anexo 2 Collage de Fotos del Diseño de un CPD.……….……………….…. Anexo 3 Fases de una Auditoría……………………………………………….. Anexo 4 ISO 1911:2011 Directrices para Auditoria de los Sistemas de Gestión…………………………………………………………………………………... 1 Las Autoras Mapa de Contenido. Apéndice C, anexo 1. CAPÍTULO 1 INTRODUCCIÓN Los Centros de Procesamiento de datos son de interés en la sociedad de la información, por ser estos los responsables del almacenamiento, resguardo, mantenimiento y disponibilidad de manera eficaz, confiable su oportuna de la información de las organizaciones, empresas, instituciones públicas o privadas. Por lo que resulta interesante plantear en el presente trabajo aspectos que nos den evidencia precisa de qué es un Centro de Procesamiento de Datos o también denominado CPD, esto haciendo énfasis a su acrónico. De igual forma es oportuno conocer cómo se constituyen qué criterios se deben considerar para su diseño, implementación y mantenimiento. Así como que las normas y estadar4es internacionales que las rigen. En este contexto la presente investigación nos muestra la importancia de las auditorias en estos CPD, que tipos de auditorías se estipulan y como esto ayuda a las organizaciones actuales. Sin más preámbulos dejamos de su agrado esta breve pero muy importante investigación para la sociedad digital de hoy. CAPÍTULO 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) La era de la globalización trae consigo una demanda permanente de solicitud de información, así como la necesidad de comunicar de manera casi inmediata de las acciones que se realizan en el entorno en que se encuentre. En este aspecto conseguimos una sociedad deseosa de nuevos conocimientos, lo que trae como consecuencia la creación de espacios tecnológicos que permitan el resguardo de los datos que generan información. Lo anterior permite hacer mención a los cambios suscitados en la sociedad durante los últimos 30años y que ha dado origen al término que sea considerado digno de estudio en las diversas ciencias la "Sociedad de la Información" o también conocido como la "Revolución Informática" que nace en los últimos años del siglo XX, la masiva y acelerada difusión de las tecnologías de la información y las comunicaciones da inicio a una nueva época en donde la economía deja de ser los combustibles y la electricidad a ser la información. El Dr Ferrer 20092, en su discurso sobre "Centro de Procesamiento de Datos: El Cerebro de Nuestra Sociedad" dado en el marco de su recepción como académico de la Academia de Ciencias e Ingenierías de Lazarote-España, realiza un exposición ejemplar en donde destaca un recorrido histórico-social de la evolución de las bases económicas que mueven y han movido el mundo, dando origen a los Centros de Procesamiento de Datos. 2.1.- La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD) El Dr. Ferrer 20093, expone que para comprender el cambio económico de los últimos 30 años en menester destacar cinco ejes que les dan vida los mismos se enuncian, a continuación: 2 Telecomunicaciones a escala global: El nacimiento de los teléfonos y la televisión que durante la década de los setenta se masificaron globalmente, este medio de comunicación resulto de importancia para la sociedad, en donde los satélites juegan un papel importante, para los noventa el uso del cable de fibra óptica elevó exponencialmente la capacidad de las redes de telefonía. Llegado el siglo XX el mundo contaba con una sólida red en materia de telecomunicaciones. Nace el ordenador personal: A finales de la década de los setenta nacen los primeros ordenadores personales los cuales siguen siendo una herramienta útil de trabajo, generando consigo una reducción en los costos lo que ha sido beneficioso para quienes disponen de esta tecnología. FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. Cap.1 “La Revolución del Siglo XXI”, p. 9. 3 Ídem. Un sistema global basado en la información, su procesamiento y comunicación: Para los años setenta, las economías de los distintos países se relacionaron entre sí, vinculando los mercados de productos y servicios entre países, lo que da inicio a un proceso de globalización económica. La competitividad: La globalización introduce cambios en la economía. Para que las organizaciones se mantengan en el mercado mundial, estas deben ser flexibles, creativas y ordenadas para adaptarse a las condiciones del lugar en el que desean introducir sus productos y servicios. El factor que las constituye como instancias de éxito es la capacidad de obtener y procesar toda la información de modo casi instantánea. "La información se convierte así en un recurso estratégico". La Productividad: Para que las organizaciones puedan mantener su éxito, la globalización las obligado a aumentar su productividad, produciendo más bienes y servicios a un menor costo, para lograr esta meta las empresas han constituido como "espina dorsal" gran cantidad de redes de ordenadores y dispositivos de telecomunicaciones que hacen que sus procesos sean más expeditos y eficientes desde el ámbito administrativo hasta la producción. Permitiendo afirmar una vez más que "el recurso estratégico es la información". Lo anterior permite decir que la evolución de las comunicaciones a nivel tecnológico ha facilitado que la sociedad intercambie información de manera rápida, sin embargo a este elemento debe de igual modo incorporarse el elemento de la "Trascendencia de la Digitalización", denominado así por el Dr. Ferrer 20094, el plantea que desde el invento de la imprenta en el siglo XV por el alemán Johann Gtenberg, la sociedad comenzó a trasladar sus ideas y conocimientos en libros (letras) de manera masiva y barata. Introduciendo así la posibilidad que el conocimiento humano perdure aún más tiempo y al alcance de muchos, estimulando el desarrollo científico, haciendo florecer la literatura, el teatro, las ideas políticas hasta el punto de provocar la caída de las monarquías para dar paso a gobiernos democráticos. La evolución de las trascendencias de las ideas, fue la base para la época de globalización digital, en donde surgen nuevas formas de operación de intercambio de conocimientos e información digital, tales como: correos electrónicos, foros de discusión en línea, las bases de datos, teléfonos portátiles, la transmisión digital de archivos o el servicio de acceso a los servidores de una organización desde cualquier parte del mundo, facilitando la nuevas formas de organización de las empresas. Por lo que el internet, es mucho más rápido, barato y fácil publicar información que reproducir o imprimir un libro. Entonces tenemos que con el internet se obtiene un mayor alcance de público por sus bondades de recepción y envío de información. Para tener una idea de que hablamos “En el año 2006 la información digital era tres millones de veces superior a la de los libros escritos”. Al respecto Dr. Ferrer 20095 ejemplifica: 4 5 Ídem. Cap.2 “Sociedad de la Información”, p. 13. Ídem. ...“la población mundial se ha incrementado poco más de 55 veces desde los tiempos de la Antigüedad Grecia a la fecha, la cantidad de informaciones disponibles los hizo cerca de 100 millones de veces, o cual significa que el conocimiento universal se publicó 5 años. Ésta es una forma de hacer notar como las tecnologías de la información y comunicación se difunden y transmiten rápidamente.” Con tanta información digital generada en la Sociedad de la Información, surge la interrogante "¿dónde reside la fuente de información y la fuente del conocimiento?", plantea el Dr. Ferrer 20096, que la información puede ubicarse en cualquier lugar del planeta gracias a las nuevas redes y la globalización. Sin embargo, continua argumentando que a pesar de la complejidad para dar respuesta a la interrogante, surge otro planteamiento aún más interesante "¿qué recursos se están viendo involucrados?", a lo que responde que solo aquellas organizaciones que tienen conciencia de la importancia de que su subsistencia radica en la fuente de información, precisan de Centros de Proceso de Datos, en ingles "Data Center". Lo cual define como: "es aquel ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. ....viene a ser básicamente un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico (servicios, sistemas de almacenamiento de datos, equipos de comunicaciones…” Es necesario decir, que dependiendo de la región o el autor el término CPD se conoce como centro de cómputo o centro de cálculo. Para efectos de esta investigación el término considerado es: Centro de Procesamiento de Datos, y se comprende como el conjunto de recursos físicos, lógicos y humanos necesarios para el control de las actividades informáticas de una organización. Expuesto esto, se hace necesario conocer un poco más de los Centros de Procesamiento de Datos, a fin de considerar los criterios usados para materialización y son insumos para las auditorias de CPD. 2.2.- Diseño del Centro de Procesamiento de Datos7 El diseño de CPD, inicia por la elección geográfica, las condiciones de construcción de la dependencia, el diseño interior, la facilidad de acceso para la instalación de los equipos y la seguridad física de las instalaciones. Una vez garantizadas las condiciones de habitabilidad de la dependencia, se procede a la instalación de los aparatos tecnológicos que le dan vida al centro, como son: Las computadores y las redes de parea local, otras. Para esta tarea se requiere un diseño lógico de redes y entornos.8 6 Ídem. Cap.2 “El Centro de Procesamiento de Datos”, p. 14. Collage de Fotos del Diseño de un CPD. Apéndice C, anexo 2. 8 Las Autoras, Mapa de Contenido. Diseño de CPD. Apéndice C, anexo 1. 7 Es importe, destacar que los grande servidores se ubican en “Site” o también denominados sala fría, nevera o pecera. La sala requiere un sistema específico de refrigeración para mantener una temperatura baja (entre 21 y 33 grados de Ceisus). Al respecto las normas internacionales establecen una tempera exacta debe ser 22,3 grados Ceisus.9 2.3.- Controles del Centro de Procesamiento de Datos Un CPD se diseña para estar operativo las 24 horas todos los días del año, considerando que a mayor disponibilidad mejor servicio, lo que se traduce en más producción. Esta disponibilidad requiere de una gran inversión y de controles del CPD, entendiendo por este control el ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de niveles de seguridad en el proceso que se realiza, entre algunos elementos se sugieren los siguientes: Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría. Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Tener un sistema de control con identificación (responsable de los datos mediante el uso claves de acceso). En caso de equipos que cuentan con sistemas en línea, los usuarios son los responsables de la captura y modificación de la información. 2.3.1.- Principales factores que impactan la seguridad en el CPD: Aspectos de lógica y confidencialidad. Aspectos relevantes de la seguridad en el personal. Seguridad Física. Seguridad en la utilización de equipamiento. Procedimiento de respaldo en caso de desastre. Procedimientos y controles necesarios para soportar a otras instituciones. 2.3.2.- Aspectos relacionados con las normativas aplicables a la seguridad de los CPD El área de Tecnología debe tener y observar reglas relativas al orden y cuidado del CPD, esto motivado a que un descuido puede causar dañados y pérdidas irreparables, o en costos muy elevados en la recuperación de éstos. Para ello, existen normas internacionales previamente ya abaladas y estandarizadas en el ámbito de las tecnologías de la información y comunicación, la cuales según el 9 Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 En lace: https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos estudio realizado por Burgos y Campos 200810 en su publicación denominado “Modelo Para Seguridad de la Información en TIC” para la Universidad de Bío – Bío –Chile, establecen tres requisitos de mayor significación para el resguardo de la información, estos son: Confiabilidad: Descrita como la encargada de prevenir el acceso no autorizado ya sea en forma intencionada o no intencional a la información. Integridad: Busca asegurar que no se realicen cambios en la información, es decir, que los datos sean consistentes tanto interna como externamente (durante todo el proceso). Disponibilidad: Se dispone a asegurar la disponibilidad en el acceso de manera confiable y oportuna a los datos o recursos para el personal apropiado. Considerando estos requisitos básicos procede a realizar referencia a estándares y normas más utilizados a nivel mundial, a continuación: ISO 17.799: Es un estándar para la administración de la seguridad de la información, plantea la implementación de una estructura documental que debe ser respaldada por la alta gerencia de la organización para alcanzar su éxito. El mismo fue publicado en el 2000 por la Organización Internacional de Estándares (Internacional Organization for Standardizacion - ISO), con el objetivo de desarrollar un marco de seguridad para la organizaciones, ofrece recomendaciones para realizar una gestión de seguridad de la información dirigida a los responsables de iniciar, implementar o mantener la seguridad de la organización. COBIT: Es un estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), fundada en 1969 en EE.UU, esta institución orienta sus aportes a la temas de gobernabilidad, control, aseguramiento y autoridades para las TIC. El acrónico COBIT, significa Objetivos de Control para la Información y Tecnologías Relacionadas (Control Objetives for Information and Related Technology). Estas normas se consideran las más adecuadas y de mayor importancia por ser especializadas en las Tecnologías de la Información y Comunicación (TIC).11 ITIL: Information Tecnhnology Infrastructure Liberary, es una norma que agrupa las mejores prácticas a nivel mundial para la administración de servicios de Tecnologías de Información (TI), desarrolla a finales de la década de los ochenta por entidades públicas y privadas. El propietario de este estándar pertenece a la Ofice of Government Commerce, una entidad de la tesorería del gobierno británico.12 LEY SOX: Ley Sarbanes-Oxley (SOX), de EE.UU, nombrado así en referencia de sus creadores, nace producto de los escándalos financieros 10 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del BíoBío, Chile, 2008. Cap. “Estándares para Asegurar la Información” p. 237. 11 Para mayor información: http://www.isaca.org/spanish/Pages/default.aspx 12 Para mayor información : http://www.it-institute.org/ de falsificación ocurridos en el 2002. Esta ley obliga a llevar un control y almacenamiento informático estricto de su actividad. Obliga a las empresas públicas nacionales de dicho país, así como todos los extranjeros inscritos en la Securities and Exchange Comission. Esta ley es un referente a nivel mundial especialmente para las empresas que trazan sus valores en la bolsa de EE.UU. COSO: Está orientada principalmente al control de la administración financiera y contable de las organizaciones, su acrónico responde a The Committe of Sponsoring Organizations of the Treadway Commission´s Iternal Control – Integrated Framework. El informe COSO es un documento que contiene directivas e indicaciones para la implantación, gestión y control de un sistema de Control Interno, con alcances al área informática. Estas normas forman parte del basamento legal y normativo de control interno de la administración pública venezolana.13 ISO serie 27000: Es una serie de estándares que se encuentran desarrollo, contempla: definiciones de vocabularios (ISO 27000), requisitos para sistemas de seguridad de la gestión de seguridad de la información (ISO 27001) guía de buenas prácticas en objetivos de control y controles recomendados de seguridad de la información (ISO 27002), una guía de implementación de SGSI (Sistema de Gestión en Seguridad de la Información) junto a información de uso del esquema PDCA (Plan, Do, Check, Act) (ISO 27003); especificación de métricas para determinar la eficacia de SGISI (ISO 27004); una guía de técnicas de gestión de riesgo (ISO 27005); especificación de requisitos para acreditación de entidades de auditoria y certificación de SGSI (ISO 27006); una guía de auditoria de SGSI (ISO 27007); una guía de gestión de seguridad de la información para telecomunicaciones (ISO 27011), una guía de continuidad de negocio en cuanto a TIC (ISO 27031), guía de ciber – seguridd (ISO 27032); guía de seguridad en redes (ISO 27033), una guía de seguridad en aplicaciones (ISO 27034), y una guía de seguridad de la información en el sector sanitario (ISO 27799).14 2.3.3.-Aspectos relevantes al personal de un CPD Un buen CPD depende, de la integridad, estabilidad y lealtad de personal, por lo que es conveniente hacerle exámenes psicológicos, médicos y verificar sus antecedentes de trabajo, para contar con el personal altamente cualificado, que cumpla los códigos de éticas que rigen las tecnologías de información. Ahora bien, todo Centro de Procesamiento de Datos cuenta con una estructura mínima de distribución de trabajo que se ajusta de acuerdo a las propias necesidades de la organización, esta estructura mínima debe contemplar personal a tiempo completo y personal por turnos que permita garantizar el funcionamiento confiable y optimo del CPD. 13 14 Para mayor información: https://www.coso.org/Pages/default.aspx Para mayor información: WWW.ISO27000.ES CAPÍTULO 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD) El término de auditoria tiene diversas aserciones pero todas coinciden en: encontrar evidencias para evaluar el grado en que se están cumpliendo y llevando a cabo los objetivos. Al respecto consideramos destacar las siguientes: “Debe entenderse por un estándar metodológico para evaluar distintos objetivos o realidades, con mentalidad crítica, analítica e investigativa, sobre una base objetiva, independiente y ética, tendiente a emitir un informe que es el proceso final.”15 “El propósito de una auditoria es aumentar el grado de confianza de los presuntos usuarios (…) La auditoría conduce con la premisa de que la administración reconoce y entiende las responsabilidades fundamentales para la realización de esta de acuerdo con las normas, sin imponer responsabilidades. Es necesario que el auditor obtenga el acuerdo de la administración, basándose en esta premisa, como condición del desarrollo de la auditoria.”16 Considerado todo lo precedente, se entiende para el presente estudio por Auditoria en Centros de Procesamiento de Datos (CPD) como: un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física.17 Ahora bien, todo proceso de auditoria lleva inmerso una serie de fases metodológicas18, las cuales aunado con las normas seleccionadas19 pueden constituir un referente para definir el modelo de auditoria a desarrollar en los CPD. 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD) Existen diversos tipos de auditorías que varían de acuerdo a su función para ello hemos diseñado un mapa basado en la descripción genérica presentada por 15 AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996. Cap. 1.4 “Marco Conceptual” p. 6. 16 Normas Internacionales de Auditoría. Material de Apoyo - uditool. Cap. Objetivos Generales del Auditor Independiente y Conducción de Una Auditoría, de Acuerdo con las Normas Internacionales de Auditoría. p.4 17 Para ver más definiciones se sugiere ver NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad Filosofía-Especialidad Informática Guayaquil-Ecuador. p.3 18 Las Autoras. Fases de una auditoria. Apéndice C, anexo 3. 19 Ejemplo de un Diagrama de flujo de normas ISO 19011 para la auditoria de sistemas de gestión. p.15 Penagos 201320 en su “Modulo de Gestión de Auditoria Soporte en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI” publicado por la Universidad Tecnológica de Pereira. Sin embargo para efectos del presente tema consideramos pertinente y adecuado centrarnos en lo expuesto por HERNANDO 201121, el mismo se describe tres aspectos necesarios a considerar para la auditoria de los CPD, a continuación: 3.1.1.- Seguridad física: Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de una máquina. Busca asegurar la integridad física de los equipos almacenados, desde el interior hasta el exterior. Los CPD deben tener una seguridad física, a través del control de acceso con mecanismos de tarjetas inteligentes, para tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso adecuado es motivo de incidencia. Además mecanismos de detección y alarma como extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento, los cuales deben ser probados regularmente y que funcionan como es debido. El objetivo de la auditoria en la seguridad física, es establecer políticas de seguridad, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio del CPD, entre ellas: El material y construcción del edificio del CPD no debe tener componentes que sean altamente inflamables, que despiden humos tóxicos o bien paredes que no estén selladas y despidan polvos. Se considera peligroso tener el CPD en las áreas de alto tráfico de personas. Se debe tomar precauciones en cuanto a la orientación del CPD. Entre las principales precauciones que deben revisar están: Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo. Contar con detectores de humo que indiquen la posible presencia de fuego. Instalaciones de alto riesgo, debe tener equipos de fuente no interrumpible. Verificar que existan suficientes salidas de emergencia y que estén debidamente controladas. 20 PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. Cap. 1.1 Auditoria y Tipos de Auditorias. p.16 21 HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011. 3.1.2.- Seguridad Lógica: Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información, en otra palabras todo aquello que tiene que ver con el mundo de los datos. Hay que tener en cuenta los errores humanos (ya sean provocados, por accidente, negligencia o descuido) son los responsables de gran parte de las incidencias que se producen en estos entornos. Por eso la importante de la auditoria de seguridad física, ya que evalúa el sistema de control de acceso, por lo esencial en los procesos de gestión de riesgos. 3.1.3.- Aspectos contractuales y de gestión energética: La auditoría en los aspectos contractuales alertar al negocio de muchas cosas que van más allá de los costos establecidos, lo cual puede servir para adquirir un servicio en mejores condiciones y en gestión energética, entendiendo por este último término como el estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía, su objetivo principal es combinar el ahorro con la aplicación de medidas favorables con el medio ambiente. Esta auditoria permite evaluar: Los riesgos de un proceso que contiene información con cierto nivel de criticidad y sensibilidad La seguridad solicitando evidencias sobre cómo se gestiona por parte del proveedor de servicios Sugerir la inclusión de cláusulas de audibilidad. Advertir problemas potenciales de conflicto de interés por la ausencia de controles para contratar. La labor de auditoría indagar y tener una idea clara de cómo se gestionan los contratos en un CPD, haciendo especial hincapié en niveles de servicio, condiciones, garantías y seguridad del proveedor, en los aspectos de: Los servicios de mantenimiento de terceros, y concretamente, los niveles de servicio y condiciones de reposición de materiales y traslado de técnicos en caso de incidencias Las condiciones para que el proveedor establezca distintos niveles de criticidad en eventos de disrupción operacional así como los tiempos de respuesta resultantes. La ausencia de cláusulas de audibilidad en los procesos que impide realizar verificaciones de seguridad y auditoría en caso de contratarse Las políticas de gestión de cambios (instalación de parches y actualizaciones). La ausencia o deficiencia de mecanismos de continuidad de servicios, locales y remotos. CONCLUSIONES Los Centros de Procesamientos de Datos son grandes instalaciones donde se centran una gran cantidad de recursos físicos, lógicos y humanos que procesan el bien más valorado actualmente por las organizaciones: Información. Como parte de la columna vertebral -así lo denomina varios autores especialistas de la tecnología y de la gestión empresarial- coge gran significación para un auditor en la era digital, el evaluar un CPD. Los Centros de Procesamiento de Datos deben estar en manos de personal idóneo que vele por el bienestar social con sentido ético, esto motivado a la gran cantidad de la población mundial que deja en manos de los grandes organismos públicos o privados toda su información personal, financiera, otras. Las auditorías de CPD permiten mantener las organizaciones con negocio con optimización y capacidad de respuesta del bien o servicio prestado. De igual forma, trasciende al campo de la comercialización, imagen, credibilidad y confianza en los usuarios y proveedores de las organizaciones objetos de auditorías de CPD. Por su parte, los estándares internacionales, facilitan la creación de modelos que se adaptan a la realidad propia de cada país y organización, existen referentes como en Chile22 en donde se han diseñado estándares de auditorías de CPD que den respuestas a los niveles de las organizaciones. Esto es un ejemplo de las bondades que se pueden obtener de las normativas y estándares internacionales, una vez consideradas para el diseño de las auditorías. Entre las normas que más nos resulta de importancia para los CPD, consideramos las Normas ISO 27000 y las normas COBIT, por ser diseñadas y especializadas sólo para el ámbito de las Tecnologías de la Información (TI). 22 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del BíoBío, Chile, 2008. Este material es una propuesta desarrollada para el caso particular de Chile. APÉNDICE A REFERENCIAS BIBLIOGRÁFICAS23 1. AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996 http://www.bdigital.unal.edu.co/41018/1/alfonsopioagudelosalazar.1996.pdf 2. BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío-Bío, Chile, 2008. http://ceur-ws.org/Vol-488/paper13.pdf 3. FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. http://www.academiadelanzarote.es/Discursos/Discurso%2034.pdf 4. HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011. http://www.sahw.com/wp/archivos/2011/12/18/auditoria-de-centros-de-procesamientode-datos-parte-1-seguridad-fisica/ 5. NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad FilosofíaEspecialidad Informática Guayaquil-Ecuador. https://es.scribd.com/document/19233522/ERP-CRM-SAP-Monografia-Conceptos-deAuditoria-en-Sistemas-1 6. Norma Internacional ISO 19011 Directrices para la auditoría de Sistemas de Gestión. Segunda edición. 2011. http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf 7. Normas Internacionales de Auditoría. Material de Apoyo - uditool. https://www.ccpdistritocapital.org.ve/uploads/descargas/fddcb2ae5541d5f49e87158a6b3 9a1ae4571a152.pdf 8. PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pdf ?sequence=2 9. Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos Otros Enlances Information Technology Infrastructure Liberary (ITIL) https://www.axelos.com/bestpractice-solutions/itil Norma Internacional ISO27000 WWW.ISO27000.ES Control Objectives for Information and http://www.isaca.org/spanish/Pages/default.aspx related Technology (COBIT) Committee of Sponsoring Organizations of the Treadway Commission (COSO) https://www.coso.org/Pages/default.aspx 23 Todas las Referencias Bibliográficas de Internet fueron consultadas hasta la fecha 23MAR2017. APÉNDICE B GLOSARIO DE TÉRMINOS Y DEFINICIONES Auditoría de Centros de Procesamiento (CPD) un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física. Centro de Procesamiento de Datos (Data Center) Es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa. COBIT Control Objectives for Information and related Technology (Objetivos de Control para Información y Tecnologías Relacionadas). Controles el ciclo que sigue la información desde la entrada hasta la salida de la información. CPD Centro de Procesamiento de Datos. Gestión energética Se define como un estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía. ISO International Organization for Standardization (Organización Internacional de Normalización). ITIL Information Technology Infrastructure Liberary (Biblioteca de Infraestructura de Tecnologías de Información). LEY SOX Sarbanes-Oxley Act of 2002 o Ley Sarbanes-Oxley, (Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista.) Políticas de seguridad Conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática. Seguridad Física Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema. Seguridad Lógica Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. APÉNDICE C ANEXOS Anexo 1 Mapa de Contenido Diseño: Las Autores Anexo 2 Collage de Fotos del Diseño de un CPD Diseño: Las Autores. Fuente fotográfica: Ferrer, J. Anexo 3 Fases de una Auditoría Diseño: Las Autores. Fuente: Manual de Normas y Procedimientos en materia de Auditoría de Estado. Contraloría General de la República Bolivariana de Venezuela. 2015 Anexo 4 ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión Tomado de: Norma ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión p.15 http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf