Auditoría de sistemas. Controles a nivel de entidad y seguridad física

Auditoría de Sistemas Postgrado en Sistemas de Información

AUDITORÍA DE SISTEMAS

Controles a nivel de entidadCentros de datos y recuperación

Isis Lay 12003204Carlos Escobar 12003202


• Introducción• Control Interno• Controles a nivel de entidad• Centros de datos y recuperación• Infraestructura de Sistemas• Acceso Físico• Controles Ambientales• Operaciones• Conclusiones• Recomendaciones• Bibliografía

Índice


• El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades.

• Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques.

• Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT.

• El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía.

• Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos.

Introducción


Controles a nivel de entidad



• Control Interno:

Control interno

CONTROL INTERNO

Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal.

Proporcionar un grado de seguridad razonable en cuanto a la consecución de

objetivos.

Eficacia y eficiencia de las operaciones.

Confiabilidad de la Información Financiera.

Cumplimiento de las Leyes y normas

establecidas.

Qué? Para qué? En qué nivel?

Eficacia


• Características:

Control interno

Es un proceso.

Lo llevan a cabo las personas.

Facilita la consecución de objetivos.

Sólo puede aportar un grado razonable de seguridad.


• Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI.

• Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá.

Control interno


• Integridad y valores éticos.

• Estructura organizativa.• Política de Recursos

Humanos.• Manuales,

procedimientos y disposiciones legales y reglamentarias.



• Objetivos de la Entidad.• Identificación y evaluación de

riesgos.• Seguimiento y control de riesgos.

• Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo.

• Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades.



• Coordinación entre las áreas y documentación.

• Niveles definidos de autorización y separación de tareas.

• Rotación del personal en las tareas claves.

• Indicadores del desempeño.• Control de las tecnologías de la

información.• Acceso restringido a los

recursos, activos y registros.



• Checklist Maestro


Checklist


Centros de datos y recuperación



Infraestructura de sistemas

Aplicaciones

Centro de datos

Redes

Bases de datos

Procesos del negocio

Gestión de

riesgos y controles

Sistemas Operativos


Amenazas

• Naturales• Clima• Inundaciones• Terremotos• Incendios

• Causadas por el hombre• Terrorismo• Disturbios• Robo• Sabotaje

• Peligros ambientales• Altas temperaturas• Exceso de humedad

• Interrupción de servicios• Energía eléctrica• Telecomunicaciones


Controles del Centro de Datos

Cumplimientode estándares

Accesofísico

Controlesambientales

Operaciones del centro de datos

Energía ininterrumpiday alta disponibilidad

Respaldos yrecuperación

ante desastres


• Ubicación de servidores, routers y UPS

• Puertas, ventanas, paredes, techo y piso

• Mecanismos de autenticación– Biométricos

– Ingreso de password, código de seguridad o PIN

– Tarjetas de proximidad

– Chapas y llaves

• Alarmas y sistemas de vigilancia– Infrarrojos, de audio y de apertura de puertas

– Circuito cerrado de Televisión (CCTV)

• Bitácoras de entradas al Centro de Datos

Acceso físico

Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía.• Divulgación o fuga de información crítica o sensible para la compañíaObjetivo de los controles:• Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos.


Acceso físico


• Temperatura constante aire acondicionado

• Detectores y alarmas de – Temperatura

– Calor, humo y fuego

– Agua y humedad

• Paredes, puertas y piso anti incendios

• Sistemas de supresión automática de incendios

• Extinguidores

• Manejo de materiales inflamables

Controles ambientales

Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.• Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles:• Evitar daño físico a los servidores y otro hardware por incendios e inundaciones


Controles ambientales


• Monitoreo de alarmas e indicadores

• Monitoreo de redes, BD, SO y aplicaciones

• Roles y responsabilidades del personal

• Adecuada segregación de funciones

• Procedimientos de respuesta

• Mantenimiento del equipo centro de datos

• Personal competente y entrenado

• Gestión de la capacidad

• Gestión de activos del centro de datos

Operaciones del Centro de Datos

Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas


• Fuentes de poder redundantes

• Conexiones a tierra

• Supresión de picos de voltaje

• Sistema de alimentación ininterrumpida (UPS)

• Generadores y plantas eléctricas

• Verificación del cableado

• Redundancia del hardware

• Redundancia de las comunicaciones

Energía ininterrumpida y alta disponibilidad

Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas


• Respaldos periódicos de la información

• Pruebas de recuperación de Backups

• Almacenamiento adecuado en sitio y fuera de sitio

• Gestión de la continuidad del negocio (BCM)

• Plan de recuperación ante desastres (DRP)

• Actualización y pruebas de los DRPs

• Planes de contingencia ante diversos escenarios de desastres

• Sitios alternos

Respaldos y recuperación ante desastres

Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.• Pérdida parcial o total de la información almacenada en los servidores.Objetivo de los controles:• Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas


• Uptime Institute Tier certification: Alta disponibilidad

• TIA-943 : Infraestructura de telecomunicaciones

• ISO/IEC 24764: Diseño del centro de datos

• BICSI-002: Diseño de centro de datos

• ICREA Std-131-2011: Construcción de centros de datos

• ISO/IEC 11801: cableado estructurado

Estándares y normas

Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas.Objetivo de los controles:• Asegurar la continuidad y disponibilidad de los servicios de los sistemas


• El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos.

• Es responsabilidad de la administración y todos los niveles.

• Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos.

• Los riesgos no existen sólo a nivel del software.• Existe muchos riesgos físicos y para mitigarlos existe

una variedad de dispositivos, controles y marcos metodológicos.

Conclusiones


• Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza.

• Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad.

• El monitoreo de actividades críticas es fundamental.• En caso de identificar problemas en los controles, se deben

tomar acciones concisas.• Las soluciones deben ser permanentes y no superficiales.• Debe darse la adecuada importancia a la seguridad física y

resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes.

Recomendaciones


• IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw-Hill, 2nd Edition, 2011.

• http://elpais.com/diario/1991/08/01/economia/680997619_850215.html

• http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr%C3%A9dito_y_Comercio

• http://www.gerencie.com/el-informe-coso.html• http://www.fasor.com.sv/whitepapers/whitepapers/

Whitepapers%20del%202010/Seguridad_fisica_en_instalaciones_de_mision_critica.pdf

Bibliografía


1. ¿Qué entiende por control interno?

2. Mencione 1 de los componentes de COSO.

3. Indique 2 tipos de controles del centro de datos.

4. Explique en que consisten los controles de acceso físico.

5. Explique en que consisten los controles de operaciones del centro de datos.

Preguntas

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

Technology

Transcript of Auditoría de sistemas. Controles a nivel de entidad y seguridad física