Auditoría de sistemas. Controles a nivel de entidad y seguridad física
1. AUDITORÍA DE SISTEMAS
Controles a nivel de entidad
Centros de datos y recuperación
Isis Lay 12003204
Carlos Escobar 12003202
Auditoría de Sistemas Postgrado en Sistemas de Información
2. Índice
• Introducción
• Control Interno
• Controles a nivel de entidad
• Centros de datos y recuperación
• Infraestructura de Sistemas
• Acceso Físico
• Controles Ambientales
• Operaciones
• Conclusiones
• Recomendaciones
• Bibliografía
Auditoría de Sistemas Postgrado en Sistemas de Información
3. Introducción
• El sistema de control interno tiene como propósito fundamental
lograr la eficiencia, eficacia y transparencia en el ejercicio de las
funciones de las entidades.
• Una adecuada implementación de control interno permite a la
administración minimizar el riesgo desde diferentes enfoques.
• Los controles a nivel de entidad son a alto nivel, de los cuales
surgen una serie de controles administrativos como los son
controles de aplicación, controles generales de IT.
• El resguardo y protección de los servidores es muy importante ya
que en ellos residen los sistemas e información críticos para las
operaciones de la compañía.
• Es por ello que el marco de gestión de riesgos contempla la
seguridad física y los controles ambientales del Centro de Datos.
Auditoría de Sistemas Postgrado en Sistemas de Información
4. AUDITORÍA DE SISTEMAS
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
5. Control interno
• Control Interno:
Qué? Para qué? En qué nivel?
CONTROL
INTERNO
Proceso efectuado
por la Dirección, por
la alta Gerencia y el
resto del personal.
Proporcionar un
grado de seguridad
razonable en cuanto
a la consecución de
objetivos.
Eficacia y eficiencia de
las operaciones.
Confiabilidad de la
Información Financiera.
Cumplimiento de las
Leyes y normas
establecidas.
Eficacia
Auditoría de Sistemas Postgrado en Sistemas de Información
6. Control interno
• Características:
Es un proceso.
Lo llevan a cabo las personas.
Facilita la consecución de objetivos.
Sólo puede aportar un grado razonable de seguridad.
Auditoría de Sistemas Postgrado en Sistemas de Información
7. Control interno
• Orígenes: El modelo de control COSO (Committee of
Sponsoring Organizations of the Treadway Commission)
surgió como una respuesta de la profesión contable al
escándalo del BCCI.
• Banco Internacional de Crédito y Comercio cuyas
siglas son BCCI, fue uno de los principales bancos
internacionales de la década de 1970 y 1980. El BCCI
se dio a conocer mundialmente por sufrir una estrepitosa
quiebra en 1991. Se le asoció a diversas actividades
delictivas, en particular al blanqueo de dinero
procedente de los carteles colombianos de la droga y
del General Noriega en Panamá.
Auditoría de Sistemas Postgrado en Sistemas de Información
8. • Integridad y valores
éticos.
• Estructura organizativa.
• Política de Recursos
Humanos.
• Manuales,
procedimientos y
disposiciones legales y
reglamentarias.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
9. • Objetivos de la Entidad.
• Identificación y evaluación de
riesgos.
• Seguimiento y control de riesgos.
• Es un proceso llevado a cabo
para verificar la calidad de
desempeño del control interno a
través del tiempo.
• Los sistemas de información
deben identificar, recopilar y
comunicar información pertinente
en tiempo y forma tal que
permitan cumplir a cada empleado
con sus responsabilidades.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
10. • Coordinación entre las áreas y
documentación.
• Niveles definidos de
autorización y separación de
tareas.
• Rotación del personal en las
tareas claves.
• Indicadores del desempeño.
• Control de las tecnologías de la
información.
• Acceso restringido a los
recursos, activos y registros.
Controles a nivel de entidad
Auditoría de Sistemas Postgrado en Sistemas de Información
11. Controles a nivel de entidad
• Checklist Maestro
Auditoría de Sistemas Postgrado en Sistemas de Información
12. AUDITORÍA DE SISTEMAS
Centros de datos y recuperación
Auditoría de Sistemas Postgrado en Sistemas de Información
13. Infraestructura de sistemas
Procesos del negocio
Aplicaciones
Bases de datos
Sistemas Operativos
Redes
Centro de datos
Gestión
de
riesgos y
controles
Auditoría de Sistemas Postgrado en Sistemas de Información
14. Amenazas
• Naturales
• Clima
• Inundaciones
• Terremotos
• Incendios
• Causadas por el hombre
• Terrorismo
• Disturbios
• Robo
• Sabotaje
• Peligros ambientales
• Altas temperaturas
• Exceso de humedad
• Interrupción de servicios
• Energía eléctrica
• Telecomunicaciones
Auditoría de Sistemas Postgrado en Sistemas de Información
15. Controles del Centro de Datos
Cumplimiento
de estándares
Acceso
físico
Controles
ambientales
Operaciones del
centro de datos
Energía ininterrumpida
y alta disponibilidad
Respaldos y
recuperación
ante desastres
Auditoría de Sistemas Postgrado en Sistemas de Información
16. Acceso físico
• Ubicación de servidores, routers y UPS
• Puertas, ventanas, paredes, techo y piso
• Mecanismos de autenticación
– Biométricos
– Ingreso de password, código de seguridad o PIN
– Tarjetas de proximidad
– Chapas y llaves
• Alarmas y sistemas de vigilancia
– Infrarrojos, de audio y de apertura de puertas
– Circuito cerrado de Televisión (CCTV)
• Bitácoras de entradas al Centro de Datos
Riesgos:
• Acceso no autorizado a extraer información crítica o sensible de la compañía.
• Divulgación o fuga de información crítica o sensible para la compañía
Objetivo de los controles:
• Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos.
Auditoría de Sistemas Postgrado en Sistemas de Información
19. Controles ambientales
• Temperatura constante aire acondicionado
• Detectores y alarmas de
– Temperatura
– Calor, humo y fuego
– Agua y humedad
• Paredes, puertas y piso anti incendios
• Sistemas de supresión automática de
incendios
• Extinguidores
• Manejo de materiales inflamables
Riesgos:
• Interrupción temporal o permanente de los servicios y operaciones de los sistemas.
• Pérdida parcial o total de la información almacenada en los servidores
Objetivo de los controles:
• Evitar daño físico a los servidores y otro hardware por incendios e inundaciones
Auditoría de Sistemas Postgrado en Sistemas de Información
21. Operaciones del Centro de Datos
• Monitoreo de alarmas e indicadores
• Monitoreo de redes, BD, SO y aplicaciones
• Roles y responsabilidades del personal
• Adecuada segregación de funciones
• Procedimientos de respuesta
• Mantenimiento del equipo centro de datos
• Personal competente y entrenado
• Gestión de la capacidad
• Gestión de activos del centro de datos
Riesgos:
• Interrupción temporal o permanente de los servicios y operaciones de los sistemas.
Objetivo de los controles:
• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
22. Energía ininterrumpida y alta
disponibilidad
• Fuentes de poder redundantes
• Conexiones a tierra
• Supresión de picos de voltaje
• Sistema de alimentación ininterrumpida
(UPS)
• Generadores y plantas eléctricas
• Verificación del cableado
• Redundancia del hardware
• Redundancia de las comunicaciones
Riesgos:
• Interrupción temporal o permanente de los servicios y operaciones de los sistemas.
Objetivo de los controles:
• Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
23. Respaldos y recuperación ante
desastres
• Respaldos periódicos de la información
• Pruebas de recuperación de Backups
• Almacenamiento adecuado en sitio y fuera
de sitio
• Gestión de la continuidad del negocio (BCM)
• Plan de recuperación ante desastres (DRP)
• Actualización y pruebas de los DRPs
• Planes de contingencia ante diversos
escenarios de desastres
• Sitios alternos
Riesgos:
• Interrupción temporal o permanente de los servicios y operaciones de los sistemas.
• Pérdida parcial o total de la información almacenada en los servidores.
Objetivo de los controles:
• Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
24. Estándares y normas
• Uptime Institute Tier certification: Alta
disponibilidad
• TIA-943 : Infraestructura de
telecomunicaciones
• ISO/IEC 24764: Diseño del centro de datos
• BICSI-002: Diseño de centro de datos
• ICREA Std-131-2011: Construcción de
centros de datos
• ISO/IEC 11801: cableado estructurado
Riesgos:
• Interrupción temporal o permanente de los servicios y operaciones de los sistemas.
Objetivo de los controles:
• Asegurar la continuidad y disponibilidad de los servicios de los sistemas
Auditoría de Sistemas Postgrado en Sistemas de Información
25. Conclusiones
• El control interno es el recurso que aplican las
organizaciones para asegurar de forma razonable el
cumplimiento de sus metas y objetivos.
• Es responsabilidad de la administración y todos los
niveles.
• Una adecuada implementación del control interno,
previene riesgos que pueden impedir el logro de metas y
objetivos.
• Los riesgos no existen sólo a nivel del software.
• Existe muchos riesgos físicos y para mitigarlos existe
una variedad de dispositivos, controles y marcos
metodológicos.
Auditoría de Sistemas Postgrado en Sistemas de Información
26. Recomendaciones
• Cada entidad debe elaborar su propio código de ética de
acuerdo con su naturaleza.
• Se debe discutir sobre temas éticos con todos los funcionarios.
Si se requiere alguna guía adicional, será necesaria la
elaboración de otros lineamientos de conducta que sean de fácil
comprensión, los que serán distribuidos luego entre todo el
personal de la entidad.
• El monitoreo de actividades críticas es fundamental.
• En caso de identificar problemas en los controles, se deben
tomar acciones concisas.
• Las soluciones deben ser permanentes y no superficiales.
• Debe darse la adecuada importancia a la seguridad física y
resguardo del hardware, realizando una adecuada evaluación de
riesgos físicos e implementando los controles pertinentes.
Auditoría de Sistemas Postgrado en Sistemas de Información
27. Bibliografía
• IT-Auditing: Using Controls to Protect Information Assets
Chris Davis, Mike Schiller with Kevin Wheeler, McGraw-
Hill, 2nd Edition, 2011.
• http://elpais.com/diario/1991/08/01/economia/680997619
_850215.html
• http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr%
C3%A9dito_y_Comercio
• http://www.gerencie.com/el-informe-coso.html
• http://www.fasor.com.sv/whitepapers/whitepapers/Whitep
apers%20del%202010/Seguridad_fisica_en_instalacion
es_de_mision_critica.pdf
Auditoría de Sistemas Postgrado en Sistemas de Información
28. Preguntas
1. ¿Qué entiende por control
interno?
2. Mencione 1 de los
componentes de COSO.
3. Indique 2 tipos de controles
del centro de datos.
4. Explique en que consisten los
controles de acceso físico.
5. Explique en que consisten los
controles de operaciones del
centro de datos.
Auditoría de Sistemas Postgrado en Sistemas de Información
Notas del editor
Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO): Es una organización privada, establecida en los Estados Unidos, dedicada a proporcionar orientación para la gestión ejecutiva y el gobierno de las empresas en aspectos críticos de gobierno corporativo, ética empresarial, control interno, gestión de riesgo empresarial (ERM), fraude e información financiera. COSO ha establecido un modelo común de control interno que las entidades y compañías pueden emplear para evaluar y contrastar sus propios sistemas de control interno. La National Commission on Fraudulent Financial Reporting es conocida como “comisión Treadway” porque es el apellido de uno de sus creadores y su primer presidente: James C. Treadway.
Un centro de datos es una instalación que está diseñado para albergar los sistemas críticos de una organización, que comprenden hardware, sistemas operativos y aplicaciones. Las aplicaciones se aprovechan para apoyar los procesos de negocio específicos, como el cumplimiento de pedidos, gestión de relaciones con clientes (CRM) y la contabilidad. Los centros de datos de hoy en día proporcionan la infraestructura física de control de acceso, controles ambientales, el poder y la conectividad de red, sistemas de extinción de incendios y sistemas de alarma. Esta infraestructura de centro de datos está diseñado para mantener un entorno informático óptimo constante.
El papel del auditor es verificar y validar que todos los sistemas y procedimientos necesarios están presentes y funcionando correctamente para proteger la confidencialidad, integridad y disponibilidad de los sistemas y los datos de la empresa.
Paredes techo y piso reforzados con acero. Puertas y ventanas externas resistentes. Guardias de seguridad
Los sistemas biométricos son los mas confiables y costosas de las tres. Las llaves de metal son las más débiles y deben ser evitadas, no permiten saber quién entró al Data Center.
Temperatura: de 18 a 21 grados centígrados. Humedad: entre 45% y 55%
El fuego se detiene en las paredes y puertas resistentes o piso sellados para evitar su propagación. Sistemas de mangueras contra incendios de tuberías verticales para proporcionar un suministro de agua para la extinción de incendios.
Ubicación, mantenimiento y tipo de los extinguidores.
Material inflamable se almacena lejos del centro de datos, en ubicaciones adecuadas.
Mantenimiento y pruebas periódicos de los sistemas de energía redundantes, UPS, generadores y plantas eléctricas.
Suficiente combustible para los generadores y plantas.
Roles, responsabilidades y comunicaciones claramente definidos en DRPs
Procedimientos de salvamento, recuperación y reconstrucción
Recovery time objective (RTO) y Recovery Point Objective (RPO)