UNIVERSIDAD INTERNACIONAL SEK

FACULTAD DE ARQUITECTURA E INGENIERÍAS

MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN CON MENCIÓN EN SEGURIDAD DE REDES Y

COMUNICACIÓN

ASIGNATURA: AUDITORÍA INFORMÁTICA

TEMA: ESTRUCTURACIÓN DE UN CENTRO DE PROCESO DE DATOS E IMPLANTACIÓN DE

CONTROLES GENERALES

Integrantes: Erika Medina

Elva Lara
Francisco Villa
Marcelo Contero

Segundo Semestre paralelo “B”

Quito, 5 de Junio de 2017

 BANCO DEL ESTADO

La empresa Banco del Estado quiere mejorar su Centro de Proceso de Datos (CPD). Para
ello va a realizar un estudio de reorganización funcional. Parte de este análisis se basa en la
implantación de nuevos controles en las áreas identificadas.

1.- ORGANIGRAMA FUNCIONAL BANCO DEL ESTADO

JUNTA DE ACCIONISTAS

DIRECTORIO GENERAL

AUDITORÍA INTERNA UNIDAD DE CUMPLIMIENTO

PRESIDENCIA EJECUTIVA

GERENCIA DE PLANEACIÓN GERENCIA FINANCIERA Y GERENCIA DE DESARROLLO

GERENCIA COMERCIAL GERENCIA DE TI GERANCIA JURÍDICA
ESTRATÉGICA OPERATIVA HUMANO

SEGURIDAD DE LA
INFORMACIÓN

TESORERÍA Y
NEGOCIOS
FINANZAS CPD PROYECTOS TI

OPERACIONES
MEDIOS DE PAGO
INTEGRALES ADMINISTRACIÓN
DE BD
MERCADEO Y
PROYECTOS Y
RELACIONES
PROCESOS DESARROLLO Y
PÚBLICAS
SISTEMAS

ADMINISTRACIÓN
INFRAESTRUCRURA
Y TELECOMUNIC.

SOPORTE TÉCNICO

FIG 1. ORGANIGRAMA FUNCIONAL BANCO DEL ESTADO

GERENCIA DE TECNOLOGÍAS DE LA INFORMACIÓN:

Misión: asesorar, investigar y administrar los productos y servicios relacionados con las
POLÍTICAS INTERNAS DEL BANCO DEL ESTADO, que garanticen la disponibilidad,
integridad y confiabilidad de datos, software, hardware y comunicaciones institucionales,
contribuyendo a que la institución bancaria brinde un servicio de calidad a los usuarios.
RESPONSABILIDADES Y ATRIBUCIONES
 Planificar, organizar y coordinar las actividades relacionadas con tecnologías de la
información y comunicaciones en la institución Bancaria.
 Asesorar y gestionar la implementación de nuevas tecnologías de la información.

1
UISEK
  Analizar y definir la adquisición de arquitecturas y plataformas, bienes y servicios
tecnológicos.
 Coordinar la administración del hardware, software, datos y comunicaciones de
(TICs).
 Establecer políticas de la gestión de recursos tecnológicos.
 Diseñar, documentar y dirigir la implementación de la arquitectura física y lógica
de TI.
 Gestionar los servicios de seguridad, conectividad y comunicaciones, así como
servicios de infraestructura y plataformas de producción de TI.
SEGURIDAD DE LA INFORMACIÓN
 Formulación y coordinación de los proyectos de Seguridad informática
 Gestión de incidentes que afecten a los recursos de información
 Definición de políticas y normativas para la implementación de la seguridad de la
información.
 El asesoramiento en el uso seguro de las tecnologías de la información y
comunicación.
UNIDADES ESTRUCTURALES EN LA GERENCIA DE TECNOLOGÍAS DE LA
INFORMACIÓN
 Centro de Procesamiento de Datos CPD
 Proyectos de TI
 Seguridad de la Información
AREAS DE LA UNIIDAD DE PROCESAMIENTO DE DATOS
 Administración de Base de Datos
 Desarrollo y Sistemas
 Infraestructura y Telecomunicaciones
 Soporte Técnico

2.- CONTROLES GENERALES

A continuación se muestra 30 controles aplicados a la Gerencia de TI del Banco del Estado
con sus Unidades y Áreas que comprenden su organigrama estructural, los controles
aplicados se basan en la Norma ISo 27000 referente a la Seguridad de la información;
para cada control se plantea el Dominio/ Objetivo del control / Control y la descripción
correspondiente.

CONTROLES APLICADOS A LA GERENCIA DE TI

2
UISEK
 1. Aspectos Organizativos de la Seguridad de la Información / Organización interna /
Acuerdos de confidencialidad
Descripción: para cualquier tipo de servicio contratado con empresas externas, en
el cual se requiera entregar información del banco, se deberá firmar un Acuerdo de
Confidencialidad de la información donde las clausulas, duración y sanciones
deberán ser analizadas en cumplimiento de las Políticas y Normativas internas.
2. Políticas de Seguridad / Política de seguridad de la información / Documento de
política de seguridad de la información
Descripción: Se debe definir y documentar un conjunto de políticas para la
seguridad de la información, aprobado por la gerencia, publicado y comunicado a
los empleados así como a todas las partes externas relevantes, además se deberá
revisar con regularidad o si ocurren cambios significativos, estos deberán estar
debidamente documentados para garantizar su idoneidad, adecuación y
efectividad.
3. Aspectos Organizativos de la Seguridad de la Información / Terceros /
Identificación de riesgos derivados del acceso a terceros
Descripción: implementación de la Guía para empresas de seguridad y privacidad
en cloud computing en el Banco del Estado..

CONTROLES APLICADOS AL DEPARTAMENTO DE SEGURIDAD DE LA

INFORMACIÓN
4. Aspectos organizativos de la seguridad de la información / Organización interna /
Asignación de responsabilidades relativas a la seguridad de la Información
Descripción: El Banco del Estado cuenta con un organigrama jerárquico y en el cual
se muestra la capacidad organizativa, de esta manera el jefe de seguridad de la
información y las personas a su cargo, tienen claro sus funciones y atribuciones
dentro de la empresa.
5. Aspectos organizativos de la seguridad de la información / Organización interna /
Acuerdos de confidencialidad
Descripción: Los empleados que tengan acceso a información delicada, relevante o
de interés para la cooperativa, deben firmar un acuerdo de confidencialidad, donde
se comprometan a no difundir dicha información entre empleados de la misma
empresa o a terceros.
6. Seguridad física y ambiental / Áreas seguras / Controles físicos de entrada
Descripción: para evitar el acceso físico no autorizado se colocara un sistema rfid en
las puertas hacia oficinas que contengan archivos con información crítica,
dispositivos de red y/o servidores, de tal manera que los empleados que posean la
tarjeta RFID sean los únicos en entrar. Acompañando este sistema con cámaras de
seguridad que graben quien accedió a dichos lugres.
7. Seguridad física y ambiental / Seguridad de los equipos / Mantenimiento de los
equipos
Descripción: Se coordina con el departamento de soporte técnico la revisión y
mantenimiento semestral de los equipos que funcionan dentro de la cooperativa.

3
UISEK
 8. Gestión de incidentes en la seguridad de la información / Notificación de eventos y
puntos débiles de la seguridad de la información / Notificación de puntos débiles
de la seguridad
Descripción: el jefe de seguridad de la información será el gestor de un análisis
anual de los puntos débiles que posee la cooperativa en cuanto a cuidado de la
información, dando a conocer a la junta directiva su informe y plan de mejoras.
9. Gestión de incidentes en la seguridad de la información / Gestión de incidentes de
seguridad de la información y mejoras / Responsabilidades y procedimientos
Descripción: Las acciones preventivas y correctivas que se generen al realizar el
análisis por parte del jefe de seguridad de la información, deben estar
documentadas. De la misma forma en caso de existir algún evento que ponga en
riesgo la información de la cooperativa el jefe de seguridad de la información
deberá recolectar las evidencias y mostrar el informe.

CONTROLES APLICADOS AL ÀREA DE ADMINISTRACIÓN DE BASE DE DATOS

10. Seguridad ligada a los recursos humanos / Cese o cambio de puesto de trabajo /
Retirada de los derechos de acceso
Descripción: La o las personas que trabajen directamente en Base de Datos en sus
contratos específicamente se les designa el usuario y contraseñas para el uso de las
mismas, por lo tanto cuando sean removidos de sus puestos o cambiados, se
establecerá la nulidad de dichos accesos y no se podrán repetir para ningún usuario
ya sea nuevo o antiguo en la cooperativa.
11. Control de acceso / Gestión de accesos a los usuarios / Registro de usuario
Descripción: El empleado al firmar su contrato recibirá un usuario y contraseña
adecuado para los privilegios de su cargo, tales claves serán de uso exclusivo para
su acceso a la BD y será intransferible.
12. Control de acceso / Gestión de accesos a los usuarios / Gestión de privilegios
Descripción: en el contrato se especificará que privilegios tiene el empleado de BD,
los cuales podrá acceder bajo su usuario y contraseña asignados.
13. Control de acceso / Gestión de accesos a los usuarios / Gestión de contraseña de
usuario
Descripción: El Gerente de TI y el jefe del área de Base de Datos serán los
encargados de Gestionar los usuarios y contraseñas, siendo ellos conocedores de los
privilegios de cada usuario, capaces de cambiar las contraseñas, remover
contraseñas y usuarios y asignar usuarios y contraseñas.
14. Control de acceso / Control de acceso al sistema operativo / Procedimiento seguro
de inicio de sesión.
Descripción: Se tendrá un registro de intentos exitosos y fallidos de autenticación
del sistema.
15. Control de acceso / Control de acceso al sistema operativo / Identificación y
autenticación de usuario
Descripción: A todas las base de datos se debe ingresar con usuario y contraseña sin
excepción alguna, esto definido en la política de control de acceso y contratos.
16. Control de acceso / Control de acceso al sistema operativo / Limitación en el
tiempo de conexión

4
UISEK
 Descripción: Todos los usuarios con pocos privilegios o empleados temporales
tendrán un límite de tiempo de conexión al día.
17. Control de acceso / Control de acceso a las aplicaciones y a la información
/ Restricción del acceso a la información
Descripción: La información de las base de datos está restringida para cualquier
empleado del área, a menos que este tenga privilegios que le autoricen los
diferentes niveles de información.

CONTROLES APLICADOS AL ÀREA DE DESARROLLO Y SISTEMAS

18. Aspectos organizativos de la seguridad de la información / Organización interna /
Acuerdos de confidencialidad
Descripción: los empleados que se dediquen al desarrollo de sistemas deberán
firmar un documento de confidencialidad para que el Software que desarrollo no
pueda ir a la competencia.
19. Seguridad física y del entorno / Seguridad de los equipos / Mantenimiento de los
equipos
Descripción: para evitar que los equipos se dañen con su uso se deberán realizar
mantenimiento preventivos paulatinamente dependiendo del uso diario que den a
los mismos.
20. Control de acceso / Control de acceso a la red / Autenticación de usuario para
conexiones externas
Descripción: acceso mediante claves encriptadas (públicas-privadas), como método
de autenticación de usuarios habilitados para el acceso por medio del internet a la
manipulación de los sistemas desarrollados.
21. Cumplimiento / Cumplimiento de los requisitos legales y contractuales /
Regulación de los controles criptográficos
Descripción: los empleados deberán cumplir con los requisitos dados por la
empresa para que los sistemas desarrollados efectúen los controles criptográficos,
como método para evitar el hacking anti-ético y robo de información.
22. Gestión de incidentes en la seguridad de la información / Gestión de incidentes de
seguridad de la información y mejoras / Responsabilidades y procedimientos
Descripción: en el contrato se especificará las responsabilidades y procedimientos
que tendrán cada empleado en cuanto al manejo de la seguridad del sistema a
desarrollar.
23. Adquisición, desarrollo y mantenimiento de sistemas de información / Seguridad
de los archivos de sistema / Control de acceso al código fuente de los programas
Descripción: cada empleado encargado del desarrollo de los sistemas deberá tener
acceso solo a la parte que le corresponde desarrollar, como método de seguridad
del mismo.
24. Control de acceso / Control de acceso a las aplicaciones y a la información /
Aislamiento de sistemas sensibles
Descripción: bloquear los puertos USB de todos equipos que utilizan los
empleados, como método de aislamiento de los sistemas sensibles y salida de
información.

5
UISEK
 25. Control de acceso / Control de acceso al sistema operativo / Desconexión
automática de sesión
Descripción: el momento que se desarrolla un sistema el empleado tiene el control
de acceso al mismo pero en ocasiones se puede olvidar de cerrar la sesión, por lo
que es necesario que haya un tiempo prudente para desconectarse
automáticamente como método de seguridad del sistema.
26. Cumplimiento / Revisiones de la seguridad de la información / Cumplimiento de
las políticas y normas
Descripción: cada empleado deberá cumplir las normas y políticas que le
especifican en su contrato para el desarrollo del sistema.

CONTROLES APLICADOS AL ÀREA DE INFRAESTRUCTURA

27. Control de acceso / Requisitos del negocio para control de acceso / Política de
control de acceso
Descripción: acceso mediante un sistema Biométrico de reconocimiento de huellas
digitales, como método de autenticación de usuarios habilitados para el acceso de
manera física a todos los Data Center disponibles en la entidad bancaria.

CONTROLES APLICADOS AL DEPARTAMENTO DE SOPORTE TÉCNICO

28. Control de acceso / Control de acceso al sistema operativo /Procedimientos seguros
de inicio de sesión
Descripción: se establecerá procedimientos formales para controlar la asignación
de los permisos de acceso a los sistemas y servicios de información, los
procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los
usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya
no sea necesario su acceso a los sistemas y servicios de información.
29. Control de acceso / Control de acceso al sistema operativo / Sistema de gestión de
contraseñas
Descripción: los sistemas de gestión de contraseñas deben ser interactivos y
garantizar la calidad de las contraseñas
30. Seguridad física y ambiental / Seguridad de los equipos / Mantenimiento de los
equipos
Descripción: Se deberá elaborar el plan de tecnología de la información y
comunicaciones, relacionado al soporte técnico y al mantenimiento preventivo y
correctivo de software y hardware instalado en las estaciones de trabajo.

3.- CONCLUSIONES Y DEFINICIÓN DE NÚMERO MÍNIMO DE PERSONAS

MÍNIMAS DEL CPD
 La definición del número de personas que formen parte del Centro de
Procesamiento de Datos estará en relación directa al número de los usuarios
internos, externos y del número de sistemas que se deben administrar dentro de la
Unidad; sin embargo se considerará el número mínimo de personas de acuerdo a

6
UISEK
 los Estatutos y Normativas internas de la Institución Bancaria; en nuestro ejemplo
al estructurar Áreas, estas deberán disponer como mínimo un Responsable o Líder
de Área (Especialista) y dos personas de apoyo en la ejecución de procesos
operativos (Analistas y Asistentes).
UNIDAD / AREA CARGO
Unidad de Procesamiento de Datos Jefe de la Unidad
Analista Técnico
Administración de Base de Datos Responsable Área
Analista de Administración de Base de Datos
Asistente de Administración de Base de Datos
Desarrollo de Sistemas Responsable Áreas
Analista de Sistemas
Asistente de Sistemas
Infraestructura y Responsable Área
Telecomunicaciones Analista de Producción e Infraestructura
Asistente de Producción e Infraestructura
Soporte Técnico Responsable Área
Analista se Soporte Técnico
Asistente de Soporte Técnico

 La estructuración de CPD de acuerdo a nuestro análisis deberá tener un mínimo de

14 personas.

4.- ESTRUCTURA CENTRO PROCESAMIENTO DE DATOS

En el Organigrama del Banco del Estado, se plantea la Unidad de Centro de Proceso de
Datos como una de las unidades pertenecientes a la Gerencia de Tecnologías, el portafolio
general de productos del CPD muestra la relación con las áreas (Administración de BD,
Desarrollo y Sistemas, Infraestructura y Telecomunicaciones, Soporte Técnico) como
estructura general en el proceso de continuidad del negocio.

GERENCIA DE TI

SEGURIDAD DE LA
INFORMACIÓN

CPD PROYECTOS TI

ADMINISTRACIÓN
DE BD

DESARROLLO Y
SISTEMAS

INFRAESTRUCRURA
Y TELECOMUNIC.

SOPORTE TÉCNICO

FIG 2. ESTRUCTURA GERENCIA DE TI Y CPD

7
UISEK
UNIDAD DE CENTRO DE PROCESO DE DATOS
Misión: Garantizar la productividad, el rendimiento de los recursos tecnológicos y la
disponibilidad de la información institucional.
PROTAFOLIO DE PRODUCTOS CPD
 Manual de procedimientos y estándares de producción de sistema informáticos.
 Plan de tecnologías de la información y comunicaciones, relacionado a los sistemas
de base de datos.
 Plan de contingencias y de recuperación de desastres de la tecnología, relacionado a
los sistemas de información y la base de datos.
 Arquitectura física de los sistemas de información, y comunicaciones
institucionales.
 Reportes sobre la administración de la base de datos.
 Plan de tecnología de la información y comunicaciones, relacionado al soporte
técnico y al mantenimiento preventivo y correctivo de software y hardware
instalado en las estaciones de trabajo.
 Administración del centro de datos
 Manual de procedimientos e instructivo para respaldo y recuperación de
información
 Administración de las redes y comunicaciones.
 Ambientes de desarrollo, pruebas, capacitación y producción operativos.
 Informe de mantenimiento de los ambientes de desarrollo, pruebas, capacitación y
producción; elementos de comunicación, de redes y de sus componentes.
 Informe de control y optimización de los sistemas de información y seguridad para
resguardar la información y comunicaciones.
 Inventario de aplicaciones, datos componentes reusables, tablas genéricas,
elementos de conectividad, configuración de la red, plataforma tecnológica y
software de base.
 Informe de investigación y análisis de nuevas tecnologías o mejores soluciones para
las telecomunicaciones y el procesamiento de información.
 Instructivo para el uso de bienes y servicios de tecnologías de la información y
comunicaciones
 Manual de procedimientos de seguridad en comunicaciones, interconexión,
integración y servicios de comunicación para la interoperabilidad.

8
UISEK