Post on 20-Dec-2014
description
Auditoría de Sistemas Postgrado en Sistemas de Información
AUDITORÍA DE SISTEMAS
Controles a nivel de entidadCentros de datos y recuperación
Isis Lay 12003204Carlos Escobar 12003202
Auditoría de Sistemas Postgrado en Sistemas de Información
• Introducción• Control Interno• Controles a nivel de entidad• Centros de datos y recuperación• Infraestructura de Sistemas• Acceso Físico• Controles Ambientales• Operaciones• Conclusiones• Recomendaciones• Bibliografía
Índice
Auditoría de Sistemas Postgrado en Sistemas de Información
• El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades.
• Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques.
• Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT.
• El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía.
• Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos.
Introducción
Auditoría de Sistemas Postgrado en Sistemas de Información
Controles a nivel de entidad
AUDITORÍA DE SISTEMAS
Auditoría de Sistemas Postgrado en Sistemas de Información
• Control Interno:
Control interno
CONTROL INTERNO
Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal.
Proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos.
Eficacia y eficiencia de las operaciones.
Confiabilidad de la Información Financiera.
Cumplimiento de las Leyes y normas
establecidas.
Qué? Para qué? En qué nivel?
Eficacia
Auditoría de Sistemas Postgrado en Sistemas de Información
• Características:
Control interno
Es un proceso.
Lo llevan a cabo las personas.
Facilita la consecución de objetivos.
Sólo puede aportar un grado razonable de seguridad.
Auditoría de Sistemas Postgrado en Sistemas de Información
• Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI.
• Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá.
Control interno
Auditoría de Sistemas Postgrado en Sistemas de Información
• Integridad y valores éticos.
• Estructura organizativa.• Política de Recursos
Humanos.• Manuales,
procedimientos y disposiciones legales y reglamentarias.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
• Objetivos de la Entidad.• Identificación y evaluación de
riesgos.• Seguimiento y control de riesgos.
• Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo.
• Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
• Coordinación entre las áreas y documentación.
• Niveles definidos de autorización y separación de tareas.
• Rotación del personal en las tareas claves.
• Indicadores del desempeño.• Control de las tecnologías de la
información.• Acceso restringido a los
recursos, activos y registros.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
• Checklist Maestro
Controles a nivel de entidad
Checklist
Auditoría de Sistemas Postgrado en Sistemas de Información
Centros de datos y recuperación
AUDITORÍA DE SISTEMAS
Auditoría de Sistemas Postgrado en Sistemas de Información
Infraestructura de sistemas
Aplicaciones
Centro de datos
Redes
Bases de datos
Procesos del negocio
Gestión de
riesgos y controles
Sistemas Operativos
Auditoría de Sistemas Postgrado en Sistemas de Información
Amenazas
• Naturales• Clima• Inundaciones• Terremotos• Incendios
• Causadas por el hombre• Terrorismo• Disturbios• Robo• Sabotaje
• Peligros ambientales• Altas temperaturas• Exceso de humedad
• Interrupción de servicios• Energía eléctrica• Telecomunicaciones
Auditoría de Sistemas Postgrado en Sistemas de Información
Controles del Centro de Datos
Cumplimientode estándares
Accesofísico
Controlesambientales
Operaciones del centro de datos
Energía ininterrumpiday alta disponibilidad
Respaldos yrecuperación
ante desastres
Auditoría de Sistemas Postgrado en Sistemas de Información
• Ubicación de servidores, routers y UPS
• Puertas, ventanas, paredes, techo y piso
• Mecanismos de autenticación– Biométricos
– Ingreso de password, código de seguridad o PIN
– Tarjetas de proximidad
– Chapas y llaves
• Alarmas y sistemas de vigilancia– Infrarrojos, de audio y de apertura de puertas
– Circuito cerrado de Televisión (CCTV)
• Bitácoras de entradas al Centro de Datos
Acceso físico
Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía.• Divulgación o fuga de información crítica o sensible para la compañíaObjetivo de los controles:• Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos.
Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico
Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico
Auditoría de Sistemas Postgrado en Sistemas de Información
• Temperatura constante aire acondicionado
• Detectores y alarmas de – Temperatura
– Calor, humo y fuego
– Agua y humedad
• Paredes, puertas y piso anti incendios
• Sistemas de supresión automática de incendios
• Extinguidores
• Manejo de materiales inflamables
Controles ambientales
Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.• Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles:• Evitar daño físico a los servidores y otro hardware por incendios e inundaciones
Auditoría de Sistemas Postgrado en Sistemas de Información
Controles ambientales
Auditoría de Sistemas Postgrado en Sistemas de Información
• Monitoreo de alarmas e indicadores
• Monitoreo de redes, BD, SO y aplicaciones
• Roles y responsabilidades del personal
• Adecuada segregación de funciones
• Procedimientos de respuesta
• Mantenimiento del equipo centro de datos
• Personal competente y entrenado
• Gestión de la capacidad
• Gestión de activos del centro de datos
Operaciones del Centro de Datos
Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
• Fuentes de poder redundantes
• Conexiones a tierra
• Supresión de picos de voltaje
• Sistema de alimentación ininterrumpida (UPS)
• Generadores y plantas eléctricas
• Verificación del cableado
• Redundancia del hardware
• Redundancia de las comunicaciones
Energía ininterrumpida y alta disponibilidad
Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
• Respaldos periódicos de la información
• Pruebas de recuperación de Backups
• Almacenamiento adecuado en sitio y fuera de sitio
• Gestión de la continuidad del negocio (BCM)
• Plan de recuperación ante desastres (DRP)
• Actualización y pruebas de los DRPs
• Planes de contingencia ante diversos escenarios de desastres
• Sitios alternos
Respaldos y recuperación ante desastres
Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.• Pérdida parcial o total de la información almacenada en los servidores.Objetivo de los controles:• Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
• Uptime Institute Tier certification: Alta disponibilidad
• TIA-943 : Infraestructura de telecomunicaciones
• ISO/IEC 24764: Diseño del centro de datos
• BICSI-002: Diseño de centro de datos
• ICREA Std-131-2011: Construcción de centros de datos
• ISO/IEC 11801: cableado estructurado
Estándares y normas
Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Asegurar la continuidad y disponibilidad de los servicios de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
• El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos.
• Es responsabilidad de la administración y todos los niveles.
• Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos.
• Los riesgos no existen sólo a nivel del software.• Existe muchos riesgos físicos y para mitigarlos existe
una variedad de dispositivos, controles y marcos metodológicos.
Conclusiones
Auditoría de Sistemas Postgrado en Sistemas de Información
• Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza.
• Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad.
• El monitoreo de actividades críticas es fundamental.• En caso de identificar problemas en los controles, se deben
tomar acciones concisas.• Las soluciones deben ser permanentes y no superficiales.• Debe darse la adecuada importancia a la seguridad física y
resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes.
Recomendaciones
Auditoría de Sistemas Postgrado en Sistemas de Información
• IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw-Hill, 2nd Edition, 2011.
• http://elpais.com/diario/1991/08/01/economia/680997619_850215.html
• http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr%C3%A9dito_y_Comercio
• http://www.gerencie.com/el-informe-coso.html• http://www.fasor.com.sv/whitepapers/whitepapers/
Whitepapers%20del%202010/Seguridad_fisica_en_instalaciones_de_mision_critica.pdf
Bibliografía
Auditoría de Sistemas Postgrado en Sistemas de Información
1. ¿Qué entiende por control interno?
2. Mencione 1 de los componentes de COSO.
3. Indique 2 tipos de controles del centro de datos.
4. Explique en que consisten los controles de acceso físico.
5. Explique en que consisten los controles de operaciones del centro de datos.
Preguntas