Auditoria de Seguridad

Carlos Manuel Fernndez. MBA, CISA, CISM

Boris Delgado. CISA, CISM

Estructuracin de un Centro de Proceso de

Datos e implantacin de controles generales
 Contenido de la Unidad

Organigrama Funcional de un Centro de

Proceso de Datos
Definicin y clasificacin de los Controles
internos de los Sistemas de Informacin
Controles generales y de aplicacin
Controles por rea
Controles de productos informticos
Controles por motivos legales
La regla de oro

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un
centro de proceso de datos

A continuacin se presenta el
organigrama funcional de un CPD.

Es un modelo que nos servir de apoyo

para entender ms fcilmente las
explicaciones de la unidad.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

 COMIT DE
INFORMTICA
DSI o CIO

CONTROL INTERNO DE
DIRECCIN DE
DIRECTOR TECNOLOGIAS DE LA
SISTEMAS DE
DEL INFORMACION (CITI)
INFORMACIN
CPD
DIRECTOR
DEL
CPD ADMON. CONTROL GARANTIA CONTROL

FACTORIA
SEG. LOG. DE DE DE CAL.
Y FSICA SISTEMA CALIDAD DE DATOS.

BigData / BI DESARROLLO EXPLOTACIN WEB OFIMTICA MOBILITY

Y MASTER /
MANTENIMIENTO COMMUNITY
MANAGER
CENTRO DE
ATENCIN
AL USUARIO HW SW
( CAU )

Cloud JEFE DE
Computing PROYECTO
TCNICO DE
SISTEMA
ANALISTA (Mantienen)
PROGRAMADOR
CAPTURA
DE
SISTEMA SIST. DE TELECOMU- DATOS
OPERATIVO GESTIN NICACIONES
DE BDD

DATA CENTER
(Produccin)

DISTRIBUCIN PREPARACION PLANIFICACIN OPERACIN CINTOTECA

JEFE DE
SALA
AQU ESTAN LOS DATOS
REALES OPERADORES
Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado
Organigrama funcional de un
centro de proceso de datos
Comit directivo de la empresa
Disea el plan estratgico de la compaa.
Comit de informtica
En el se sita el CIO (Chief Information Officer = Director de
Informtica), adems de otros directores de otros departamentos.
Se elabora el Plan Director de Informtica, que se corresponde con
el Plan Estratgico. Puede ser a un ao o a dos.
Director de sistemas de informacin y el del CPD.
Pueden ser el mismo.
User Team
Se encargan de hacer de interface entre los usuarios y los
informticos. Est compuesto por expertos en una materia, y
conocen muy bien el negocio/modelo de datos que manejan.
Control Interno Informtico
Es diario, controlando la informacin, su produccin y determina si
las tareas se estn realizando bien o mal.
Administrador de Seguridad Lgica y Fsica
Se encargan de la seguridad a nivel de aplicaciones y sistemas, as
como de la seguridad a nivel de acceso a instalaciones, medidas
contra incendios, etc.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un
centro de proceso de datos
Control del Sistema
Engloba al Tcnico de Sistemas, que conoce a muy bajo nivel la
configuracin y estado de las diferentes mquinas del sistema
informtico. Habitualmente controla la seguridad informtica del
sistema informtico.
Garanta de Calidad del SW (Software Quality Assurance)
Encargado de establecer puntos de control en el desarrollo de
Software para realizar medidas y determinar si se cumplen unos
mnimos de calidad en el Software desarrollado. Los requisitos de
calidad se comprueban desde la primera toma de requerimientos
con el User Team.
Control de Calidad de datos
Determinan si los datos proporcionados por la empresa son
precisos, adecuados e ntegros.
Desarrollo y Mantenimiento
Son los encargados del desarrollo de aplicaciones. No hay datos
reales y se realizan pruebas con informacin ficticia.
Explotacin/Produccin
Se encuentran los datos reales, que son utilizados por los
diferentes departamentos a travs de las aplicaciones.
Centro de Atencin al Usuario
Cualquier incidencia o peticin/modificacin debe ser canalizada a
travs de esta rea. Se encargarn de redirigir al rea adecuada o
bien buscar una solucin.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un
centro de proceso de datos
Tcnico de Sistemas:
Especialistas en tcnicas de sistemas y sistemas de seguridad
lgica. Adems dan soporte del Software de base (Sistema
Operativo por ejemplo) a toda la compaa.
Sistema de Gestin de Base de Datos
Se encargan del diseo lgico y fsico (modelos de datos) de la
BBDD, para dar soporte al modelo de negocio y que las
aplicaciones puedan hacer uso de ellas.
Telecomunicaciones
Encargados de la infraestructura y conexiones de red en la
empresa.
Captura de Datos
Actualmente tienden a desaparecer, pues la potencia actual de las
mquinas de usuario permite que se realice en cada departamento.
Data Center (produccin)
Donde se encuentran todas las mquinas servidoras (mainframes,
servers, etc.).

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Organigrama funcional de un
centro de proceso de datos
BigData/BI
Sistemas que manipulan grandes conjuntos de datos (o data sets).
BigData hace referencia a conjuntos de datos que superan la
capacidad del software habitual para ser capturados, gestionados y
procesados en un tiempo razonable.

CloudComputing
Sistemas de Informacin consumidos a travs de Internet en un
modelo de pago por uso.

Webmaster
Persona responsable del mantenimiento o la programacin de un
sitio web.

Community Manager
Responsable de sostener, acrecentar y defender las relaciones de
la empresa con sus clientes en el mbito digital. Gestor de la
marca en los medios sociales.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

Los controles son acciones y mecanismos definidos

para prevenir o reducir el impacto de los eventos no
deseados que ponen en riesgo a los activos de una
organizacin.
Tambin protege a las organizaciones frente a
posibles prdidas y corrige las desviaciones que se
presentan en el desarrollo normal de las actividades.
Algunos de los atributos de un control son:
Objetivo del control.
Descripcin del control
Frecuencia del control
Ejecucin
Monitorizacin

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

De forma general los controles pueden ser:

Voluntarios, cuando la organizacin los
disea a fin de mejorar los procesos.
Obligatorios, si son impuestos por
autoridades externas o reguladoras.
Manuales, cuando son ejecutados por
personas.
Automticos, si son llevados a cabo a travs
de sistemas de informacin automatizados.
Generales, cuando van dirigidos al entorno
donde operan otros controles.
De aplicacin, cuando operan integrados en
el software.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin
Tambin se pueden clasificar, segn su naturaleza, en
controles preventivos, detectivos y correctivos.
Preventivos, actan sobre la causa de los riesgos con el fin de
disminuir su probabilidad de ocurrencia.
Tambin actan para reducir la accin de los generadores de
riesgos.
Detectivos se disean para descubrir un evento, irregularidad o
resultado no previsto, alertan sobre la presencia de riesgos y
permiten tomar medidas inmediatas, pudiendo ser manuales o
automticos.
Generalmente, sirven para supervisar la ejecucin del proceso y se
usan para verificar la eficacia de los controles preventivos.
Constituyen la segunda barrera de seguridad y pueden informar y
registrar la ocurrencia de los hechos no deseados, accionar
alarmas,
bloquear la operacin de un sistema, monitorizar o alertar a las
autoridades.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

Correctivos permiten el restablecimiento de la actividad despus

de ser detectado el evento no deseable y la modificacin de las
acciones que propiciaron su ocurrencia.

Estos controles se establecen cuando los anteriores no operan y

permiten mejorar las deficiencias.

Son ms costosos porque actan cuando ya se han presentado

los hechos que implican prdidas para la organizacin. La mayora
son de tipo administrativo y requieren polticas o procedimientos
para su ejecucin.

Alternativos: basados en revisin y comparacin de las salidas

del ordenador contra los documentos originales

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

Ejemplos de controles preventivos

Segregacin de funciones (perfil de entrada de datos

y perfil de autorizacin de los datos. Por ejemplo en
contabilidad).
Sistemas de seguridad lgica (procedimiento de set-
up/monitorizacin/mantenimiento de antivirus).
Controles de validacin y razonabilidad.(controles
dentro de los programas/aplicativos).

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

Ejemplos de controles detectivos

Listados de excepciones (por ejemplo administradores

de base de datos con el mximo privilegio)
Pistas de auditora (audit trail, log del sistema
operativo, log del sistema de base de datos, etc.)
Batch totales y Hash totales (por ejemplo, control de
totales en los programas)/Hash total (por ejemplo,
control de verificacin que los programas
fuente/documento ha sido modificado)

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin

Ejemplos de controles correctivos

Tcnicas de copia de respaldo (back-up) y recuperacin.

Reproceso.
Reclculos.
Modificacin de sistemas o programas.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Clasificacin de los Controles internos
de los Sistemas de Informacin
Ejemplos de controles alternativos o
compensatorios

En un entorno informtico hay:

Ausencia de una adecuada segregacin de funciones

en el departamento de proceso de datos.

Control alternativo o compensatorio:

Revisin y comparacin de las salidas del ordenador

contra los documentos originales
Restauracin de ficheros.
Reproceso.
Re-clculos.
Modificacin de sistemas o programas.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales y de Aplicacin

Los controles generales contribuyen a asegurar el correcto

Funcionamiento de los sistemas de informacin, creando un
entorno adecuado para el correcto funcionamiento de los
controles de aplicacin.

Controles Generales.
Controles de Organizacin y Operacin.
Controles de Desarrollo de Sistemas y Documentacin
Controles de Hardware y Software de Sistemas

Controles de Aplicacin.
Controles de Entrada de datos.
Controles de Tratamiento de datos.
Controles de Salida de datos.

Controles por rea

Controles de productos informticos
Controles por motivos legales

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Plan Estratgico de la Empresa y el Plan Estratgico

Informtico
El plan estratgico informtico (TI) es realizado por los
rganos de la Alta Direccin de la empresa donde se
definen los procesos corporativos y se considera el uso
de las diversas tecnologas de informacin, as como
las amenazas y oportunidades de su utilizacin o de su
ausencia.

Debe corresponderse con el plan estratgico de la

empresa.

El Departamento de Informtica determinar los

caminos precisos, a nivel tcnico, para cubrir las
necesidades del negocio, estructurndolo en proyectos
informticos.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Control de Presupuestos

Apoyado en Auditora Financiera, se debe asegurar

desde TI la integridad y/o precisin de la informacin
relativa a gastos, amortizacin, etc.

Organizacin Departamental Informtica

La organizacin del Departamento de Informtica

debe tener el nivel necesario de estructura como
para asegurar independencia del User Team

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y
Operacin

Separacin de Entornos

Tiene que existir una divisin entre los

entornos de desarrollo, prueba y
explotacin de los Sistemas de
Informacin dentro del CPD.

Esta divisin puede ser real o virtual.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Separacin de Entornos

Habitualmente el esquema es el siguiente:

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Separacin de Entornos

En el Entorno de Desarrollo, se encuentran

las aplicaciones que est desarrollando el
equipo de Analistas y Programadores.

Realizan primeras pruebas con datos ficticios.

Cuando se considera correcto el desarrollo

actual, este se libera y se carga en el entorno
de Pruebas o Testing.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales
Controles de Organizacin y Operacin
Separacin de Entornos
En el Entorno de Testing, se van a realizar fundamentalmente 2
tipos de pruebas de acuerdo a un plan de casos de prueba
previamente definido.
Caja Negra, donde se comprueba que dada una entrada al
mdulo, debo obtener una salida, de forma que dada la
misma entrada obtengo la misma salida, y dadas
diferentes entradas obtengo lo que se espera.
Caja Blanca, donde se comprueban por lo menos una vez todos
los caminos independientes del mdulo, se comprueben todas las
decisiones lgicas, se comprueben los valores lmite e cada
operacin, etc.

Se sigue una estrategia de prueba, bien de forma unitaria

realizando pruebas caja negra/blanca sobre un nico mdulo, o de
forma integrada en la que se realizan las pruebas de caja
negra/blanca teniendo en cuenta el mdulo desarrollado y su
interactuacin con el resto.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Separacin de Entornos

Si todos los casos de prueba planificados son

correctos se podr cargar en el entorno de
Explotacin.

De no ser as, se considera que el

funcionamiento del mdulo no es correcto y se
cargar en el entorno de Desarrollo.

Las personas que trabajan en cada entorno

deben regirse por el principio de segregacin
de funciones.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Segregacin de funciones

Una misma persona no puede realizar funciones

determinadas en un mismo entorno.

Por ejemplo, el programador realiza tareas de

desarrollo, el analista realiza tareas de diseo de
los modelos de datos de acuerdo a los requisitos
y el Jefe de Proyecto es quien autoriza el paso
entre entornos.

Una misma persona no puede realizar funciones

determinadas en un entorno y en otro.

Por ejemplo, los programadores no deben realizar

funciones de prueba en el entorno de Testing.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Organizacin y Operacin

Segregacin de funciones

En compaas pequeas donde la

segregacin de funciones es difcil de llevar a
la prctica, debern incluirse controles
compensatorios para mitigar el riesgo
resultante de una falta de segregacin de
funciones.

Por ejemplo, controles compensatorios

pueden ser pistas de auditora, registro de
transacciones, revisiones independientes.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Desarrollo, de Sistemas y

Documentacin

Metodologas de ciclo de vida de desarrollo de

Software

Se conoce como SDLC - Software Development

Life Cycle.

Cualquier metodologa es un Control Interno sobre

lo que se desarrolla y es independiente del
paradigma en el que se base (Orientacin a
Objetos, Modular, Declarativa).

Por ejemplo METRICA3 es la metodologa de la

Administracin Pblica que permite trabajar con
paradigmas Orientados a Objetos Modulares.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Desarrollo de Sistemas y

Documentacin

Metodologas de ciclo de vida de desarrollo de

Software

Toda metodologa debe cubrir desde las

especificaciones del usuario, hasta que el
programa est instalado en el entorno de
Explotacin, para as poder garantizar que el
producto obtenido est acorde con los
requisitos definidos y es de calidad.

Su utilizacin podr garantizar a la Direccin

de la compaa que alcanzar los objetivos
definidos para el sistema

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Desarrollo de Sistemas y Documentacin

Estndares y nomenclatura
Regulan la forma en la que se realiza el diseo,
desarrollo, modificacin, explotacin y adquisicin
de los sistemas de informacin.
Procedimientos
La tareas de las personas que integran un CPD
deben estar reflejadas en un procedimiento. Debe
contener los pasos para realizar una tarea por una
persona.
Todo procedimiento debe contener una descripcin
clara y concisa, una fecha de creacin, de ltima
modificacin y fechas de revisin. Un flujograma
que de forma clara establezca roles y actividades
en el procedimiento.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Hardware y Software de Sistemas

Seguridad Lgica y Fsica

Se caracteriza por ser controles que preservan:

Confidencialidad, asegurando que solo quien

est autorizado puede acceder a la informacin.

Integridad, asegurando que la informacin y sus

mtodos de proceso son exactos y completos.

Disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la informacin y a
sus activos asociados cuando lo requieren.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles Generales

Controles de Hardware y Software de Sistemas

Seguridad Lgica y Fsica

La seguridad lgica se refiere a la proteccin de la

informacin, procesos y programas, as como la del
acceso ordenado y autorizado de los usuarios a
dicha informacin.

Por ejemplo, accesos de personas no

autorizadas a determinada informacin, prdida
de informacin por el clculo inadecuado de una
aplicacin.

La seguridad fsica se refiere a la proteccin del

hardware y los soportes de datos, as como la
seguridad de los edificios e instalaciones (CPD) que
los albergan.

Por ejemplo Incendios e inundaciones, fallos

elctricos

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicacin

Las aplicaciones deben incorporar

controles que garanticen la entrada,
actualizacin, validez y mantenimiento
completos y exactos de la informacin.

Controles de entrada de datos.

Procedimientos para la introduccin de datos que

garantizan su validacin, correccin y conversin de
los mismos.

Por ejemplo, autorizacin de entrada de datos a

travs de la firma de un formulario por parte de
Direccin.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicacin

Controles de tratamiento de datos

Procedimientos para asegurar que los procesos no
insertan, modifican o borran datos de forma no
autorizados, garantizando su integridad.

Controles de edicin y verificacin

Permiten identificar errores de datos, datos
incompletos e inconsistencias. Habitualmente
son controles preventivos.
Por ejemplo la verificacin de secuencia (un
nmero de control en orden secuencial que
rechaza duplicados), verificacin de rango
(un campo que solo acepte edades adultas,
rechazara un 16), verificacin de lmites
(un cajero solo permite sacar 600 diarios).

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicacin

Controles de procesamiento

Aseguran la exactitud de la informacin,

una vez se han actualizado o han sido
tratados.

Por ejemplo la verificacin de lmites

sobre valor calculado (un cajero solo
permite sacar 600 diarios, y vuelve a
permitirlo una vez hayan pasado las
23:59).

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Controles de Aplicacin

Controles de salida de datos

Aseguran que los datos entregados a los

usuarios sern presentados, formateados
entregados de forma consistente y segura.

Por ejemplo el manejo de errores de salida,

cuando no se obtiene lo que se espera, y la
reconciliacin de datos son controles de salida
de datos.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

Otros controles generales
y de aplicacin
Controles por rea

Son los controles que cubren las reas definidas para un

CPD.

Controles de Productos Informticos

Son controles que debe tener un producto informtico

comercial, de forma que cumpla con la definicin de
Control Interno Informtico de la organizacin.

Controles de Tipo Legal

Requieren de ayuda por parte de un auditor legal. En el

sector tecnolgico las leyes de propiedad intelectual (LPI),
de proteccin de datos (LOPD), de servicios de sociedad e
la informacin y comercio electrnico (LSSICE), etc.
Deben existir controles para garantizar su cumplimiento

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

La regla de oro

Riesgo vs. Control vs. Coste

La aplicacin de los controles hasta ahora descritos deben estudiarse

teniendo en cuenta que su coste no exceda el coste que
supondra asumir el propio riesgo.

Auditora de Seguridad Carlos Manuel Fdez. y Boris Delgado

www.unir.net