SlideShare una empresa de Scribd logo

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

Descargar como PPTX, PDF
Carlos Escobar
Carlos Escobar

Auditoría de sistemas.Controles a nivel de entidad y seguridad física.

Tecnología
1 de 28
AUDITORÍA DE SISTEMAS Controles a nivel de entidad Centros de datos y recuperación Isis Lay 12003204 Carlos Escobar 12003202 Auditoría de Sistemas Postgrado en Sistemas de Información
Índice • Introducción • Control Interno • Controles a nivel de entidad • Centros de datos y recuperación • Infraestructura de Sistemas • Acceso Físico • Controles Ambientales • Operaciones • Conclusiones • Recomendaciones • Bibliografía Auditoría de Sistemas Postgrado en Sistemas de Información
Introducción • El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades. • Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques. • Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT. • El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía. • Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
AUDITORÍA DE SISTEMAS Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Control Interno: Qué? Para qué? En qué nivel? CONTROL INTERNO Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal. Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Eficacia y eficiencia de las operaciones. Confiabilidad de la Información Financiera. Cumplimiento de las Leyes y normas establecidas. Eficacia Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Características: Es un proceso. Lo llevan a cabo las personas. Facilita la consecución de objetivos. Sólo puede aportar un grado razonable de seguridad. Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI. • Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá. Auditoría de Sistemas Postgrado en Sistemas de Información
• Integridad y valores éticos. • Estructura organizativa. • Política de Recursos Humanos. • Manuales, procedimientos y disposiciones legales y reglamentarias. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
• Objetivos de la Entidad. • Identificación y evaluación de riesgos. • Seguimiento y control de riesgos. • Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. • Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
• Coordinación entre las áreas y documentación. • Niveles definidos de autorización y separación de tareas. • Rotación del personal en las tareas claves. • Indicadores del desempeño. • Control de las tecnologías de la información. • Acceso restringido a los recursos, activos y registros. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
Controles a nivel de entidad • Checklist Maestro Auditoría de Sistemas Postgrado en Sistemas de Información
AUDITORÍA DE SISTEMAS Centros de datos y recuperación Auditoría de Sistemas Postgrado en Sistemas de Información
Infraestructura de sistemas Procesos del negocio Aplicaciones Bases de datos Sistemas Operativos Redes Centro de datos Gestión de riesgos y controles Auditoría de Sistemas Postgrado en Sistemas de Información
Amenazas • Naturales • Clima • Inundaciones • Terremotos • Incendios • Causadas por el hombre • Terrorismo • Disturbios • Robo • Sabotaje • Peligros ambientales • Altas temperaturas • Exceso de humedad • Interrupción de servicios • Energía eléctrica • Telecomunicaciones Auditoría de Sistemas Postgrado en Sistemas de Información
Controles del Centro de Datos Cumplimiento de estándares Acceso físico Controles ambientales Operaciones del centro de datos Energía ininterrumpida y alta disponibilidad Respaldos y recuperación ante desastres Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico • Ubicación de servidores, routers y UPS • Puertas, ventanas, paredes, techo y piso • Mecanismos de autenticación – Biométricos – Ingreso de password, código de seguridad o PIN – Tarjetas de proximidad – Chapas y llaves • Alarmas y sistemas de vigilancia – Infrarrojos, de audio y de apertura de puertas – Circuito cerrado de Televisión (CCTV) • Bitácoras de entradas al Centro de Datos Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía. • Divulgación o fuga de información crítica o sensible para la compañía Objetivo de los controles: • Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
Controles ambientales • Temperatura constante aire acondicionado • Detectores y alarmas de – Temperatura – Calor, humo y fuego – Agua y humedad • Paredes, puertas y piso anti incendios • Sistemas de supresión automática de incendios • Extinguidores • Manejo de materiales inflamables Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles: • Evitar daño físico a los servidores y otro hardware por incendios e inundaciones Auditoría de Sistemas Postgrado en Sistemas de Información
Controles ambientales Auditoría de Sistemas Postgrado en Sistemas de Información
Operaciones del Centro de Datos • Monitoreo de alarmas e indicadores • Monitoreo de redes, BD, SO y aplicaciones • Roles y responsabilidades del personal • Adecuada segregación de funciones • Procedimientos de respuesta • Mantenimiento del equipo centro de datos • Personal competente y entrenado • Gestión de la capacidad • Gestión de activos del centro de datos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Energía ininterrumpida y alta disponibilidad • Fuentes de poder redundantes • Conexiones a tierra • Supresión de picos de voltaje • Sistema de alimentación ininterrumpida (UPS) • Generadores y plantas eléctricas • Verificación del cableado • Redundancia del hardware • Redundancia de las comunicaciones Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Respaldos y recuperación ante desastres • Respaldos periódicos de la información • Pruebas de recuperación de Backups • Almacenamiento adecuado en sitio y fuera de sitio • Gestión de la continuidad del negocio (BCM) • Plan de recuperación ante desastres (DRP) • Actualización y pruebas de los DRPs • Planes de contingencia ante diversos escenarios de desastres • Sitios alternos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores. Objetivo de los controles: • Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Estándares y normas • Uptime Institute Tier certification: Alta disponibilidad • TIA-943 : Infraestructura de telecomunicaciones • ISO/IEC 24764: Diseño del centro de datos • BICSI-002: Diseño de centro de datos • ICREA Std-131-2011: Construcción de centros de datos • ISO/IEC 11801: cableado estructurado Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Asegurar la continuidad y disponibilidad de los servicios de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Conclusiones • El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos. • Es responsabilidad de la administración y todos los niveles. • Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos. • Los riesgos no existen sólo a nivel del software. • Existe muchos riesgos físicos y para mitigarlos existe una variedad de dispositivos, controles y marcos metodológicos. Auditoría de Sistemas Postgrado en Sistemas de Información
Recomendaciones • Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza. • Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad. • El monitoreo de actividades críticas es fundamental. • En caso de identificar problemas en los controles, se deben tomar acciones concisas. • Las soluciones deben ser permanentes y no superficiales. • Debe darse la adecuada importancia a la seguridad física y resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes. Auditoría de Sistemas Postgrado en Sistemas de Información
Bibliografía • IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw- Hill, 2nd Edition, 2011. • http://elpais.com/diario/1991/08/01/economia/680997619 _850215.html • http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr% C3%A9dito_y_Comercio • http://www.gerencie.com/el-informe-coso.html • http://www.fasor.com.sv/whitepapers/whitepapers/Whitep apers%20del%202010/Seguridad_fisica_en_instalacion es_de_mision_critica.pdf Auditoría de Sistemas Postgrado en Sistemas de Información
Preguntas 1. ¿Qué entiende por control interno? 2. Mencione 1 de los componentes de COSO. 3. Indique 2 tipos de controles del centro de datos. 4. Explique en que consisten los controles de acceso físico. 5. Explique en que consisten los controles de operaciones del centro de datos. Auditoría de Sistemas Postgrado en Sistemas de Información

Recomendados

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Memoria descriptiva del_de_tratamiento_de efluentes
Memoria descriptiva del_de_tratamiento_de efluentesMemoria descriptiva del_de_tratamiento_de efluentes
Memoria descriptiva del_de_tratamiento_de efluentesMaría Verónica Colombo
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Isae 3402
Isae 3402Isae 3402
Isae 3402Angie Carolina Díaz Ramirez
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 

Recomendados

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Memoria descriptiva del_de_tratamiento_de efluentes
Memoria descriptiva del_de_tratamiento_de efluentesMemoria descriptiva del_de_tratamiento_de efluentes
Memoria descriptiva del_de_tratamiento_de efluentesMaría Verónica Colombo
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Isae 3402
Isae 3402Isae 3402
Isae 3402Angie Carolina Díaz Ramirez
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Carlos A. Horna Vallejos
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAWillian Yanza Chavez
 
Charla ciberseguridad
Charla ciberseguridadCharla ciberseguridad
Charla ciberseguridadGilber Corrales Rubiano
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBITjaparicio2180
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisicajiplaza
 
SGSI
SGSISGSI
SGSIAlessa Paredes
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaFernando Alfonso Casas De la Torre
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaShamyNavarrete
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Aseguramiento ISRS
Aseguramiento ISRSAseguramiento ISRS
Aseguramiento ISRSAngie Carolina Díaz Ramirez
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorDiiana Maquera
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaYakuza Rodriguez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Ciclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosCiclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosErick Paul Lozada Peñarreta
 
Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsVictor Holman
 

Más contenido relacionado

La actualidad más candente

Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Carlos A. Horna Vallejos
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisicajiplaza
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaShamyNavarrete
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móvilesChema Alonso
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorDiiana Maquera
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaYakuza Rodriguez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 

La actualidad más candente (20)

Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032Aspectos sobre Ciberseguridad - ISO/IEC 27032
Aspectos sobre Ciberseguridad - ISO/IEC 27032
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICA
 
Charla ciberseguridad
Charla ciberseguridadCharla ciberseguridad
Charla ciberseguridad
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
SGSI
SGSISGSI
SGSI
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Métodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria InformáticaMétodos y Técnicas de Auditoria Informática
Métodos y Técnicas de Auditoria Informática
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Aseguramiento ISRS
Aseguramiento ISRSAseguramiento ISRS
Aseguramiento ISRS
 
Acceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megorAcceso ilícito a sistemas informáticos megor
Acceso ilícito a sistemas informáticos megor
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de Auditoría
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 

Destacado

Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsVictor Holman
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Tendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilTendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilCarlos Escobar
 
Seguridad fã­sica pa
Seguridad fã­sica paSeguridad fã­sica pa
Seguridad fã­sica paLoveBEP
 
Iso27002es
Iso27002esIso27002es
Iso27002esaglone
 
Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)vverdu
 
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Simone Silva, MS, MBA
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosMel Maldonado
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacionCristian Bailey
 
Inteligencia de Negocios
Inteligencia de NegociosInteligencia de Negocios
Inteligencia de NegociosCIMA IT
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointMeinzul ND
 

Destacado (20)

Ciclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosCiclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negocios
 
Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and Dashboards
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Riesgos de auditoría
Riesgos de auditoríaRiesgos de auditoría
Riesgos de auditoría
 
Tendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilTendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvil
 
Seguridad fã­sica pa
Seguridad fã­sica paSeguridad fã­sica pa
Seguridad fã­sica pa
 
Presentación dpto seguridad
Presentación dpto seguridadPresentación dpto seguridad
Presentación dpto seguridad
 
Iso27002es
Iso27002esIso27002es
Iso27002es
 
Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)
 
Fundamentos de BI
Fundamentos de BIFundamentos de BI
Fundamentos de BI
 
fundamentos de inteligencia de negocios
fundamentos de inteligencia de negociosfundamentos de inteligencia de negocios
fundamentos de inteligencia de negocios
 
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negocios
 
Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemas
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
 
Inteligencia de Negocios
Inteligencia de NegociosInteligencia de Negocios
Inteligencia de Negocios
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
 
COSO Y COSO ERM
COSO Y COSO ERMCOSO Y COSO ERM
COSO Y COSO ERM
 

Similar a Auditoría de sistemas. Controles a nivel de entidad y seguridad física

Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionjhonsu1989
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...AmirCalles1
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel CONTROL
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
Auditoria informática copia
Auditoria informática copiaAuditoria informática copia
Auditoria informática copiaLoly Morante
 
Monitoreo de una red
Monitoreo de una redMonitoreo de una red
Monitoreo de una redDylan Real G
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptrogergrefa1
 

Similar a Auditoría de sistemas. Controles a nivel de entidad y seguridad física (20)

Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Monitoreo de Red
Monitoreo de RedMonitoreo de Red
Monitoreo de Red
 
Auditoria CDP
Auditoria CDPAuditoria CDP
Auditoria CDP
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Auditoria informática copia
Auditoria informática copiaAuditoria informática copia
Auditoria informática copia
 
Monitoreo de una red
Monitoreo de una redMonitoreo de una red
Monitoreo de una red
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 

Último

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 

Último (12)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

  • 1. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Centros de datos y recuperación Isis Lay 12003204 Carlos Escobar 12003202 Auditoría de Sistemas Postgrado en Sistemas de Información
  • 2. Índice • Introducción • Control Interno • Controles a nivel de entidad • Centros de datos y recuperación • Infraestructura de Sistemas • Acceso Físico • Controles Ambientales • Operaciones • Conclusiones • Recomendaciones • Bibliografía Auditoría de Sistemas Postgrado en Sistemas de Información
  • 3. Introducción • El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades. • Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques. • Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT. • El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía. • Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 4. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 5. Control interno • Control Interno: Qué? Para qué? En qué nivel? CONTROL INTERNO Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal. Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Eficacia y eficiencia de las operaciones. Confiabilidad de la Información Financiera. Cumplimiento de las Leyes y normas establecidas. Eficacia Auditoría de Sistemas Postgrado en Sistemas de Información
  • 6. Control interno • Características: Es un proceso. Lo llevan a cabo las personas. Facilita la consecución de objetivos. Sólo puede aportar un grado razonable de seguridad. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 7. Control interno • Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI. • Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 8. • Integridad y valores éticos. • Estructura organizativa. • Política de Recursos Humanos. • Manuales, procedimientos y disposiciones legales y reglamentarias. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 9. • Objetivos de la Entidad. • Identificación y evaluación de riesgos. • Seguimiento y control de riesgos. • Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. • Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 10. • Coordinación entre las áreas y documentación. • Niveles definidos de autorización y separación de tareas. • Rotación del personal en las tareas claves. • Indicadores del desempeño. • Control de las tecnologías de la información. • Acceso restringido a los recursos, activos y registros. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 11. Controles a nivel de entidad • Checklist Maestro Auditoría de Sistemas Postgrado en Sistemas de Información
  • 12. AUDITORÍA DE SISTEMAS Centros de datos y recuperación Auditoría de Sistemas Postgrado en Sistemas de Información
  • 13. Infraestructura de sistemas Procesos del negocio Aplicaciones Bases de datos Sistemas Operativos Redes Centro de datos Gestión de riesgos y controles Auditoría de Sistemas Postgrado en Sistemas de Información
  • 14. Amenazas • Naturales • Clima • Inundaciones • Terremotos • Incendios • Causadas por el hombre • Terrorismo • Disturbios • Robo • Sabotaje • Peligros ambientales • Altas temperaturas • Exceso de humedad • Interrupción de servicios • Energía eléctrica • Telecomunicaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  • 15. Controles del Centro de Datos Cumplimiento de estándares Acceso físico Controles ambientales Operaciones del centro de datos Energía ininterrumpida y alta disponibilidad Respaldos y recuperación ante desastres Auditoría de Sistemas Postgrado en Sistemas de Información
  • 16. Acceso físico • Ubicación de servidores, routers y UPS • Puertas, ventanas, paredes, techo y piso • Mecanismos de autenticación – Biométricos – Ingreso de password, código de seguridad o PIN – Tarjetas de proximidad – Chapas y llaves • Alarmas y sistemas de vigilancia – Infrarrojos, de audio y de apertura de puertas – Circuito cerrado de Televisión (CCTV) • Bitácoras de entradas al Centro de Datos Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía. • Divulgación o fuga de información crítica o sensible para la compañía Objetivo de los controles: • Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 17. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  • 18. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  • 19. Controles ambientales • Temperatura constante aire acondicionado • Detectores y alarmas de – Temperatura – Calor, humo y fuego – Agua y humedad • Paredes, puertas y piso anti incendios • Sistemas de supresión automática de incendios • Extinguidores • Manejo de materiales inflamables Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles: • Evitar daño físico a los servidores y otro hardware por incendios e inundaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  • 20. Controles ambientales Auditoría de Sistemas Postgrado en Sistemas de Información
  • 21. Operaciones del Centro de Datos • Monitoreo de alarmas e indicadores • Monitoreo de redes, BD, SO y aplicaciones • Roles y responsabilidades del personal • Adecuada segregación de funciones • Procedimientos de respuesta • Mantenimiento del equipo centro de datos • Personal competente y entrenado • Gestión de la capacidad • Gestión de activos del centro de datos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 22. Energía ininterrumpida y alta disponibilidad • Fuentes de poder redundantes • Conexiones a tierra • Supresión de picos de voltaje • Sistema de alimentación ininterrumpida (UPS) • Generadores y plantas eléctricas • Verificación del cableado • Redundancia del hardware • Redundancia de las comunicaciones Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 23. Respaldos y recuperación ante desastres • Respaldos periódicos de la información • Pruebas de recuperación de Backups • Almacenamiento adecuado en sitio y fuera de sitio • Gestión de la continuidad del negocio (BCM) • Plan de recuperación ante desastres (DRP) • Actualización y pruebas de los DRPs • Planes de contingencia ante diversos escenarios de desastres • Sitios alternos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores. Objetivo de los controles: • Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 24. Estándares y normas • Uptime Institute Tier certification: Alta disponibilidad • TIA-943 : Infraestructura de telecomunicaciones • ISO/IEC 24764: Diseño del centro de datos • BICSI-002: Diseño de centro de datos • ICREA Std-131-2011: Construcción de centros de datos • ISO/IEC 11801: cableado estructurado Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Asegurar la continuidad y disponibilidad de los servicios de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 25. Conclusiones • El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos. • Es responsabilidad de la administración y todos los niveles. • Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos. • Los riesgos no existen sólo a nivel del software. • Existe muchos riesgos físicos y para mitigarlos existe una variedad de dispositivos, controles y marcos metodológicos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 26. Recomendaciones • Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza. • Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad. • El monitoreo de actividades críticas es fundamental. • En caso de identificar problemas en los controles, se deben tomar acciones concisas. • Las soluciones deben ser permanentes y no superficiales. • Debe darse la adecuada importancia a la seguridad física y resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 27. Bibliografía • IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw- Hill, 2nd Edition, 2011. • http://elpais.com/diario/1991/08/01/economia/680997619 _850215.html • http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr% C3%A9dito_y_Comercio • http://www.gerencie.com/el-informe-coso.html • http://www.fasor.com.sv/whitepapers/whitepapers/Whitep apers%20del%202010/Seguridad_fisica_en_instalacion es_de_mision_critica.pdf Auditoría de Sistemas Postgrado en Sistemas de Información
  • 28. Preguntas 1. ¿Qué entiende por control interno? 2. Mencione 1 de los componentes de COSO. 3. Indique 2 tipos de controles del centro de datos. 4. Explique en que consisten los controles de acceso físico. 5. Explique en que consisten los controles de operaciones del centro de datos. Auditoría de Sistemas Postgrado en Sistemas de Información

Notas del editor

  1. Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO): Es una organización privada, establecida en los Estados Unidos, dedicada a proporcionar orientación para la gestión ejecutiva y el gobierno de las empresas en aspectos críticos de gobierno corporativo, ética empresarial, control interno, gestión de riesgo empresarial (ERM), fraude e información financiera. COSO ha establecido un modelo común de control interno que las entidades y compañías pueden emplear para evaluar y contrastar sus propios sistemas de control interno. La National Commission on Fraudulent Financial Reporting es conocida como “comisión Treadway” porque es el apellido de uno de sus creadores y su primer presidente: James C. Treadway.
  2. Un centro de datos es una instalación que está diseñado para albergar los sistemas críticos de una organización, que comprenden hardware, sistemas operativos y aplicaciones. Las aplicaciones se aprovechan para apoyar los procesos de negocio específicos, como el cumplimiento de pedidos, gestión de relaciones con clientes (CRM) y la contabilidad. Los centros de datos de hoy en día proporcionan la infraestructura física de control de acceso, controles ambientales, el poder y la conectividad de red, sistemas de extinción de incendios y sistemas de alarma. Esta infraestructura de centro de datos está diseñado para mantener un entorno informático óptimo constante.
  3. El papel del auditor es verificar y validar que todos los sistemas y procedimientos necesarios están presentes y funcionando correctamente para proteger la confidencialidad, integridad y disponibilidad de los sistemas y los datos de la empresa.
  4. Paredes techo y piso reforzados con acero. Puertas y ventanas externas resistentes. Guardias de seguridad
  5. Los sistemas biométricos son los mas confiables y costosas de las tres. Las llaves de metal son las más débiles y deben ser evitadas, no permiten saber quién entró al Data Center.
  6. Temperatura: de 18 a 21 grados centígrados. Humedad: entre 45% y 55% El fuego se detiene en las paredes y puertas resistentes o piso sellados para evitar su propagación. Sistemas de mangueras contra incendios de tuberías verticales para proporcionar un suministro de agua para la extinción de incendios. Ubicación, mantenimiento y tipo de los extinguidores. Material inflamable se almacena lejos del centro de datos, en ubicaciones adecuadas.
  7. Mantenimiento y pruebas periódicos de los sistemas de energía redundantes, UPS, generadores y plantas eléctricas. Suficiente combustible para los generadores y plantas.
  8. Roles, responsabilidades y comunicaciones claramente definidos en DRPs Procedimientos de salvamento, recuperación y reconstrucción Recovery time objective (RTO) y Recovery Point Objective (RPO)