Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

Actividades

Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles

generales

La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de

Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según
normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos
controles en las áreas identificadas.

Realiza los siguientes puntos:

¿Qué organigrama funcional deberá existir para cumplir con estos estándares
internacionales y conseguir los objetivos de negocio, para así lograr una adecuada
gestión de los SI?

Tienes que establecer un organigrama funcional contemplando, entre otros, el área

de control interno informático.

Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase

Cada día las empresas generan una ingente cantidad de datos que son clave para sus
procesos internos y externos. La información, su correcta gestión y administración y la
capacidad de analizar un gran número de datos se ha convertido en una prioridad para
muchas empresas. De esta forma, los Centros de Procesamiento de Datos (CPD) se han
convertido en el sistema nervioso central de cualquier compañía que apueste por los
nuevos avances tecnológicos, la innovación y la flexibilidad para dar respuestas
inmediatas a un mercado cada vez más volátil y cambiante.

Un Centro de Procesamiento de Datos (CPD) es el conjunto de recursos físico, lógicos, y

humanos necesarios para la organización, realización y control de las actividades
informáticas de una empresa.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

Establecer qué controles generales hay que incorporar, valorando la importancia de

los activos más críticos para la empresa y sus riesgos.

CONTROLES DE SEGURIDAD:
Política de seguridad
 Mecanismos para distinguir la información confidencial de la normal.
• Procedimientos de utilización de sistemas informáticos (uso del correo, de internet…)
• Cláusulas de confidencialidad en caso de accesos externos a información.
 Alta, modificación y eliminación de usuarios en el sistema.
• Mecanismos de control de acceso lógico (quién puede acceder a qué).
• Planificación de copias de respaldo en caso de que se pierda algún fichero.
• Mecanismos de seguridad física (un torno en la entrada, extintores…)
• Procedimientos de aceptación de nuevos empleados (revisión de credenciales antes de
la contratación…)
• Procedimientos de protección de los equipos informáticos (antivirus, protección de
red…)

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

• Metodología de desarrollo de nuevas aplicaciones o modificaciones sobre las

existentes.
Política de contraseñas
 Evaluar si la organización dispone de una política de contraseñas definida y valorar
su nivel de formalización, adjuntándola como evidencia en caso de que exista.
 En segundo lugar se deberá evaluar la bondad de la política de contraseñas definida
(formalizada o no).
Autorización de usuarios
 Todos los accesos deben ser autorizados por el responsable de la información
accedida. Es decir, el responsable del área de contabilidad (o sus jerárquicamente
superiores) debería ser el que decidiera quién puede acceder y quién no a la
información sobre contabilidad.
 El usuario tendrá acceso únicamente a la información que necesita para el
desempeño de sus funciones. Por ejemplo, un usuario de contabilidad no debería
tener acceso a la aplicación de RRHH a menos que también realice funciones de
formación o gestión de personal.
 Se deben cumplir requisitos de segregación de funciones. Por ejemplo, siempre que
sea posible evitar que el mismo usuario que realice un pedido sea el mismo que
realice el pago de dicho pedido.

Controles del área de DESARROLLO

Gestión de cambios
Que exista una metodología de desarrollo o que se cubra la mayoría de fases. Una
metodología de desarrollo es un procedimiento específico del área de sistemas que
describe y detalla el proceso a seguir cuando se desea modificar o mejorar las
aplicaciones de la organización. Este proceso suele contener las siguientes fases:
• Toma de requerimientos de usuario.
• Evaluación, priorización del proyecto, asignación de recursos y estudio de viabilidad.
• Análisis funcional y técnico.
• Pruebas a realizar (especialmente las pruebas de usuario)
• Procedimiento para poner la aplicación o cambio al alcance de todos los usuarios.
• Procedimiento de supervisión de que la aplicación o cambio funciona correctamente
Cambios autorizados

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

 Los desarrolladores no deberían acceder al entorno real de los usuarios. Como mucho,
podrían tener acceso en modo consulta.
 Un desarrollador debe realizar modificaciones en un entorno de pruebas y luego
actualizar el entorno real, pero no debe poder modificar datos directamente en real.
No es su función y tampoco dispone de la formación adecuada.
 La persona que desarrolla una aplicación o la modifica no debería ser la misma que la
pone en el entorno real, debido a un conflicto de segregación de funciones.
 La persona que pone en el entorno real (también llamado entorno de producción) el
cambio debe tener experiencia con las aplicaciones de la organización. Este aspecto
no puede deducirse a partir de únicamente una entrevista, pero sí pueden detectarse
indicios, como por ejemplo la experiencia del responsable en el puesto o puestos
similares, el número de incidencias aproximado de aplicaciones que deberían ser
estables, etc.

Adquisición de aplicaciones y servidores

 Se debe disponer de al menos tres opciones de adquisición, correspondientes a
distintos proveedores o soluciones. Las soluciones deben ser comparables entre sí
mediante una serie de parámetros estándar, como por ejemplo, precio, características
del proveedor o características del producto.
 Las adquisiciones deben ser aprobadas por la dirección de la organización y también
por la dirección del área de sistemas.
 Cada adquisición debe acompañarse de un plan de proyecto que tenga en cuenta un
plan de pruebas adecuado y un análisis de factibilidad.

Controles del área de EXPLOTACIÓN

Copias de seguridad.
Que exista o se establezca una política o procedimientos de respaldo que describa los
procesos asociados a las copias de seguridad de la organización, incluyendo los
siguientes puntos:
• Periodicidad de las copias (cada cuántos días, semanas, meses o años)
• Tipo de las copias (puede haber copias completas o incrementales. Por ejemplo, cada
Domingo puede hacerse una copia completa y el resto de días una copia sólo de lo que
ha sido modificado desde el día anterior, es decir, el Lunes sólo se copiaría lo que se ha
modificado el Lunes, etc…)

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

• Almacenamiento de las copias (por ejemplo en cintas, o en discos)

• Retención de las copias (cuánto tiempo se mantienen las copias diarias, semanales,
mensuales o anuales)
• Procedimiento de generación de copias de respaldo.
• Procedimiento de recuperación de información en caso necesario.

Pruebas periódicas de las copias de seguridad

Disponer de un procedimiento de recuperación de la información. Este procedimiento
debería describir los pasos a seguir para, dada una necesidad de recuperación,
consultar las copias de seguridad y extraer la información requerida de forma
adecuada.

Supervisión de los procesos de sistemas

Es importante que desde sistemas se monitorice continuamente que las conexiones
funcionan (especialmente las críticas) y que se dispone de la suficiente capacidad para
dar soporte al negocio.
Desde sistemas se vigilen los “parches” o actualizaciones de las aplicaciones y sistemas.
Todas las aplicaciones y sistemas operativos tienen un mecanismo de actualización
periódica (por ejemplo, en Windows se les denomina “service packs”), mediante el cual
van incorporando mejoras y protecciones. Estos parches son gratuitos habitualmente y
en algunos casos pueden actualizarse de forma automática

Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el

mínimo número de personas que deben realizar las funciones en este CPD, sin
perder eficiencia y eficacia.

CIO (Director de información) Es el responsable máximo, se encarga de

CEO ( Director Ejecutivo )
la selección, elección, estructura y
dirección del personal y equipos del
centro de proceso de datos, coordina
todos los trabajos que se realizan y
controla los presupuestos.
Suelen usarse indistintamente para hacer
referencia a la persona encargada de
máxima autoridad de la llamada gestión

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

y dirección administrativa en una

organización o institución.

Responsable de control interno

1 persona responsable de estas funciones, o Responsable Seguridad lógica y física y
por debajo de esta personas estarán: de Control de Sistemas. (1 Persona)
o Responsable de Control de calidad de
software y datos. (1 Persona)

1 Persona responsable de desarrollo y mantenimiento.

Por debajo de el:
1 Jefe de proyectos. Depende directamente del jefe del área de desarrollo. Su
misión consiste en la dirección de un proyecto informático a partir de las
especificaciones y necesidades de usuario hasta su explotación. Se encarga del control
de su desarrollo y de asegurar el perfecto funcionamiento de la aplicación una vez
terminada; asimismo, debe estimar los recursos y el tiempo necesario para su puesta
en marcha.
1 Jefe del área de desarrollo. Es el responsable de la creación y desarrollo de
nuevos sistemas y aplicaciones. Entre sus misiones se encuentran la de coordinar y
distribuir el personal a su cargo entre los distintos proyectos .
Analistas. A partir de los requerimientos de los usuarios y bajo las órdenes del jefe
de proyectos, deben confeccionar el análisis de las aplicaciones y ayudar a los
programadores en la puesta a punto de las mismas. Pueden ser analistas funcionales
u orgánicos, según el tipo de análisis que realicen, y analistas de sistemas o
aplicaciones, según se ocupen del sistema o de las aplicaciones de usuario.
Programadores. Reciben el análisis de la aplicación de los analistas y, a partir de
él, diseñan el diagrama o pseudocódigo, codificándolo en el lenguaje elegido.
Además, se encargan de su puesta a punto y documentación dirigida al usuario.
Pueden ser programadores de sistemas o de aplicaciones, dependiendo
funcionalmente de los analistas correspondientes.
Área De Explotación

1 Jefe del área de explotación. Es el responsable de la explotación de las

aplicaciones y del funcionamiento del sistema; se encarga de planificar los trabajos
que se deben llevar a cabo, estimar los costes y establecer medidas de seguridad en la
instalación. Tiene a su cargo todo el grupo de operadores y grabadores de datos.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

1 Técnico de sistemas. Su misión fundamental es el conocimiento profundo de los

equipos y del sistema operativo, encargado de imponer restricciones de seguridad al
personal informático y usuarios. El número de técnicos informáticos depende del
número de equipos que existan en la empresa pudiendo establecer que se maneje un
técnico por cada 100 empleados de la empresa.
1 Administrador de la base de datos. Es el gestor de la base de datos del
sistema, encargándose de facilitar su uso al personal informático y asesorando sobre
la misma a jefes de área, jefes de proyectos y analistas.
1 Administrador del sistema. Su misión consiste en controlar, en un
determinado sistema operativo existente en el Centro de Proceso de Datos, los
permisos, prioridades y privilegios del personal informático y los usuarios respecto a
dicho sistema operativo.

¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base
de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de
Proceso de Datos (área de desarrollo/mantenimiento y área de
Explotación/Producción).?

En mi opinión la parte de Telecomunicaciones debería ubicarse en el área de

desarrollo/mantenimiento y la de Base de Datos en Explotación/Producción existen
datos Críticos los cuales están explotación/producción y son reales, y los nos críticos
manejarían datos de pruebas y estaría en el área de desarrollo/mantenimiento, pero
siempre hay que tener en cuenta que ambas áreas necesitan técnicos de base de datos,
redes y sistemas. Deberían ser de ambas áreas ya que necesitan de ambas actividades
pero para mantener la integridad de los datos reales estas dos áreas deben estar
separadas (segregación) y los técnicos deben ser distintos, para ello el área de
desarrollo/mantenimiento tendrá su propio grupo de técnicos que será menor que el
grupo de técnicos destinados al área de explotación/producción.

En el organigrama del primer punto ¿cómo se contempla la segregación de

funciones y segregación de entornos?

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos: Zúñiga Suárez

2018-04-03
Seguridad
Nombre: María José

Por la separación que existe entre las diferentes áreas tomando en cuenta las diferentes
actividades que se desarrollan dentro de un CPD, no pueden hacer las funciones los
técnicos/desarrolladores de un área en la otra.

Además, hay que separar claramente el área de desarrollo en las siguientes subáreas
cada una con sus desarrolladores independientes:

• Entorno de desarrollo.

• Entorno de testing

• Entorno de preproducción.

Serán los responsables de cada uno de estos entornos los que se comuniquen con su
responsable superior, es decir al responsable de desarrollo/mantenimiento y
Producción o explotación.

TEMA 2 – Actividades