Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

1,463 views

Published on

Auditoría de sistemas.Controles a nivel de entidad y seguridad física.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

  1. 1. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Centros de datos y recuperación Isis Lay 12003204 Carlos Escobar 12003202 Auditoría de Sistemas Postgrado en Sistemas de Información
  2. 2. Índice • Introducción • Control Interno • Controles a nivel de entidad • Centros de datos y recuperación • Infraestructura de Sistemas • Acceso Físico • Controles Ambientales • Operaciones • Conclusiones • Recomendaciones • Bibliografía Auditoría de Sistemas Postgrado en Sistemas de Información
  3. 3. Introducción • El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades. • Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques. • Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT. • El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía. • Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  4. 4. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  5. 5. Control interno • Control Interno: Qué? Para qué? En qué nivel? CONTROL INTERNO Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal. Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Eficacia y eficiencia de las operaciones. Confiabilidad de la Información Financiera. Cumplimiento de las Leyes y normas establecidas. Eficacia Auditoría de Sistemas Postgrado en Sistemas de Información
  6. 6. Control interno • Características: Es un proceso. Lo llevan a cabo las personas. Facilita la consecución de objetivos. Sólo puede aportar un grado razonable de seguridad. Auditoría de Sistemas Postgrado en Sistemas de Información
  7. 7. Control interno • Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI. • Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá. Auditoría de Sistemas Postgrado en Sistemas de Información
  8. 8. • Integridad y valores éticos. • Estructura organizativa. • Política de Recursos Humanos. • Manuales, procedimientos y disposiciones legales y reglamentarias. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  9. 9. • Objetivos de la Entidad. • Identificación y evaluación de riesgos. • Seguimiento y control de riesgos. • Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. • Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  10. 10. • Coordinación entre las áreas y documentación. • Niveles definidos de autorización y separación de tareas. • Rotación del personal en las tareas claves. • Indicadores del desempeño. • Control de las tecnologías de la información. • Acceso restringido a los recursos, activos y registros. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  11. 11. Controles a nivel de entidad • Checklist Maestro Auditoría de Sistemas Postgrado en Sistemas de Información
  12. 12. AUDITORÍA DE SISTEMAS Centros de datos y recuperación Auditoría de Sistemas Postgrado en Sistemas de Información
  13. 13. Infraestructura de sistemas Procesos del negocio Aplicaciones Bases de datos Sistemas Operativos Redes Centro de datos Gestión de riesgos y controles Auditoría de Sistemas Postgrado en Sistemas de Información
  14. 14. Amenazas • Naturales • Clima • Inundaciones • Terremotos • Incendios • Causadas por el hombre • Terrorismo • Disturbios • Robo • Sabotaje • Peligros ambientales • Altas temperaturas • Exceso de humedad • Interrupción de servicios • Energía eléctrica • Telecomunicaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  15. 15. Controles del Centro de Datos Cumplimiento de estándares Acceso físico Controles ambientales Operaciones del centro de datos Energía ininterrumpida y alta disponibilidad Respaldos y recuperación ante desastres Auditoría de Sistemas Postgrado en Sistemas de Información
  16. 16. Acceso físico • Ubicación de servidores, routers y UPS • Puertas, ventanas, paredes, techo y piso • Mecanismos de autenticación – Biométricos – Ingreso de password, código de seguridad o PIN – Tarjetas de proximidad – Chapas y llaves • Alarmas y sistemas de vigilancia – Infrarrojos, de audio y de apertura de puertas – Circuito cerrado de Televisión (CCTV) • Bitácoras de entradas al Centro de Datos Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía. • Divulgación o fuga de información crítica o sensible para la compañía Objetivo de los controles: • Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  17. 17. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  18. 18. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  19. 19. Controles ambientales • Temperatura constante aire acondicionado • Detectores y alarmas de – Temperatura – Calor, humo y fuego – Agua y humedad • Paredes, puertas y piso anti incendios • Sistemas de supresión automática de incendios • Extinguidores • Manejo de materiales inflamables Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles: • Evitar daño físico a los servidores y otro hardware por incendios e inundaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  20. 20. Controles ambientales Auditoría de Sistemas Postgrado en Sistemas de Información
  21. 21. Operaciones del Centro de Datos • Monitoreo de alarmas e indicadores • Monitoreo de redes, BD, SO y aplicaciones • Roles y responsabilidades del personal • Adecuada segregación de funciones • Procedimientos de respuesta • Mantenimiento del equipo centro de datos • Personal competente y entrenado • Gestión de la capacidad • Gestión de activos del centro de datos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  22. 22. Energía ininterrumpida y alta disponibilidad • Fuentes de poder redundantes • Conexiones a tierra • Supresión de picos de voltaje • Sistema de alimentación ininterrumpida (UPS) • Generadores y plantas eléctricas • Verificación del cableado • Redundancia del hardware • Redundancia de las comunicaciones Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  23. 23. Respaldos y recuperación ante desastres • Respaldos periódicos de la información • Pruebas de recuperación de Backups • Almacenamiento adecuado en sitio y fuera de sitio • Gestión de la continuidad del negocio (BCM) • Plan de recuperación ante desastres (DRP) • Actualización y pruebas de los DRPs • Planes de contingencia ante diversos escenarios de desastres • Sitios alternos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores. Objetivo de los controles: • Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  24. 24. Estándares y normas • Uptime Institute Tier certification: Alta disponibilidad • TIA-943 : Infraestructura de telecomunicaciones • ISO/IEC 24764: Diseño del centro de datos • BICSI-002: Diseño de centro de datos • ICREA Std-131-2011: Construcción de centros de datos • ISO/IEC 11801: cableado estructurado Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Asegurar la continuidad y disponibilidad de los servicios de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  25. 25. Conclusiones • El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos. • Es responsabilidad de la administración y todos los niveles. • Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos. • Los riesgos no existen sólo a nivel del software. • Existe muchos riesgos físicos y para mitigarlos existe una variedad de dispositivos, controles y marcos metodológicos. Auditoría de Sistemas Postgrado en Sistemas de Información
  26. 26. Recomendaciones • Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza. • Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad. • El monitoreo de actividades críticas es fundamental. • En caso de identificar problemas en los controles, se deben tomar acciones concisas. • Las soluciones deben ser permanentes y no superficiales. • Debe darse la adecuada importancia a la seguridad física y resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes. Auditoría de Sistemas Postgrado en Sistemas de Información
  27. 27. Bibliografía • IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw- Hill, 2nd Edition, 2011. • http://elpais.com/diario/1991/08/01/economia/680997619 _850215.html • http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr% C3%A9dito_y_Comercio • http://www.gerencie.com/el-informe-coso.html • http://www.fasor.com.sv/whitepapers/whitepapers/Whitep apers%20del%202010/Seguridad_fisica_en_instalacion es_de_mision_critica.pdf Auditoría de Sistemas Postgrado en Sistemas de Información
  28. 28. Preguntas 1. ¿Qué entiende por control interno? 2. Mencione 1 de los componentes de COSO. 3. Indique 2 tipos de controles del centro de datos. 4. Explique en que consisten los controles de acceso físico. 5. Explique en que consisten los controles de operaciones del centro de datos. Auditoría de Sistemas Postgrado en Sistemas de Información

×