SlideShare una empresa de Scribd logo

Auditoria CPD

Sumdury
Sumdury

El estimado lector, encontrar en este aporte un breve Capítulo 1.-INTRODUCCIÓN, sobre las Auditorias aplicadas a los Centros Procesadores de Datos. De igual forma un Capítulo 2.-CENTRO DE PROCESAMIENTOS DE DATOS (CPD), en el que se muestran aspectos relevante para conocer ¿qué es? y ¿cómo se conforma un CPD?, Controles, principios de seguridad, personal idóneo y los referentes más importantes de estándares internacionales que regulan su diseño, control, mantenimiento, y evaluación de los CPD. Capítulo 3.- AUDITORIA DEL CPD definición y tipos. Para finalizar, se muestran algunas conclusiones y referentes bibliográfico de interés al lector.

Tecnología
1 de 20
CENTRO DE PROCESAMIENTOS DE DATOS (CPD) DINORAH MARTÍNEZ VisualSoft Solutions Consultoría Consultor Externo IDAHIR MARTÍNEZ Contraloría General de la República Bolivariana de Venezuela Dirección General de Control de Administración Nacional Descentralizada Auditor Sénior 23 DE MARZO DE 2017 Maestría en: Gerencia Técnica de la Información Cátedra: Auditoría de Sistema Prof. Carlos Patiño Universidad Santa María
Resumen El estimado lector, encontrar en este aporte un breve Capítulo 1.-INTRODUCCIÓN, sobre las Auditorias aplicadas a los Centros Procesadores de Datos. De igual forma un Capítulo 2.-CENTRO DE PROCESAMIENTOS DE DATOS (CPD), en el que se muestran aspectos relevante para conocer ¿qué es? y ¿cómo se conforma un CPD?, Controles, principios de seguridad, personal idóneo y los referentes más importantes de estándares internacionales que regulan su diseño, control, mantenimiento, y evaluación de los CPD. Capítulo 3.- AUDITORIA DEL CPD definición y tipos. Para finalizar, se muestran algunas conclusiones y referentes bibliográfico de interés al lector. Palabras Claves “centro de procesamiento de datos”, “CPD”, “data center”, “controles”, “ISO”, “COBIT”, “ITIL”, “LEY SOX”, “COSO”, “auditoría de CPD”, “tipos de auditorías de CPD”, “seguridad física”, “seguridad lógica”, “contractuales”, “gestión energética”, “políticas de seguridad”. Agradecimientos Al estimado profesor e ingeniero Carlos Patiño por orientaciones para lograr con éxito este primer acercamiento al ámbito delas auditorías a los Centro de Procesamiento de Datos. Gracias por sus aportes en clase.
INDICE1 Pág. Capítulo 1 Introducción………………………………………………………………... Capítulo 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) 2.1 La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD)……………………………………….……………..... 2.2 Diseño del Centro de Procesamiento de Datos………………………….. 2.3 Controles del Centro de Procesamiento de Datos………………………. 2.3.1 Principales Factores que impactan la seguridad en el CPD….. 2.3.2 Aspectos relacionados con las normativas aplicables a la seguridad de los CPD………………………………………………………………….... 2.3.3 Aspectos relevantes al personal de un CPD.…………………... Capítulo 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD)……………………………………………………………………………………… 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD)…… 3.1.1.- Seguridad física………………………………………………….. 3.1.2.- Seguridad Lógica………………………………………………… 3.1.3.- Aspectos contractuales y de gestión energética……………... Conclusiones……………………….…………………………………………………… APÉNDICE A Referencias Bibliográficas…………………………………………… APÉNDICE B Glosario de términos y Definiciones…………………………………. APÉNDICE C Anexos………………………………………………………………….. Anexo 1 Mapa de Contenido……………………………………………………. Anexo 2 Collage de Fotos del Diseño de un CPD.……….……………….…. Anexo 3 Fases de una Auditoría……………………………………………….. Anexo 4 ISO 1911:2011 Directrices para Auditoria de los Sistemas de Gestión…………………………………………………………………………………... 1 Las Autoras Mapa de Contenido. Apéndice C, anexo 1.
CAPÍTULO 1 INTRODUCCIÓN Los Centros de Procesamiento de datos son de interés en la sociedad de la información, por ser estos los responsables del almacenamiento, resguardo, mantenimiento y disponibilidad de manera eficaz, confiable su oportuna de la información de las organizaciones, empresas, instituciones públicas o privadas. Por lo que resulta interesante plantear en el presente trabajo aspectos que nos den evidencia precisa de qué es un Centro de Procesamiento de Datos o también denominado CPD, esto haciendo énfasis a su acrónico. De igual forma es oportuno conocer cómo se constituyen qué criterios se deben considerar para su diseño, implementación y mantenimiento. Así como que las normas y estadar4es internacionales que las rigen. En este contexto la presente investigación nos muestra la importancia de las auditorias en estos CPD, que tipos de auditorías se estipulan y como esto ayuda a las organizaciones actuales. Sin más preámbulos dejamos de su agrado esta breve pero muy importante investigación para la sociedad digital de hoy.
CAPÍTULO 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) La era de la globalización trae consigo una demanda permanente de solicitud de información, así como la necesidad de comunicar de manera casi inmediata de las acciones que se realizan en el entorno en que se encuentre. En este aspecto conseguimos una sociedad deseosa de nuevos conocimientos, lo que trae como consecuencia la creación de espacios tecnológicos que permitan el resguardo de los datos que generan información. Lo anterior permite hacer mención a los cambios suscitados en la sociedad durante los últimos 30años y que ha dado origen al término que sea considerado digno de estudio en las diversas ciencias la "Sociedad de la Información" o también conocido como la "Revolución Informática" que nace en los últimos años del siglo XX, la masiva y acelerada difusión de las tecnologías de la información y las comunicaciones da inicio a una nueva época en donde la economía deja de ser los combustibles y la electricidad a ser la información. El Dr Ferrer 20092 , en su discurso sobre "Centro de Procesamiento de Datos: El Cerebro de Nuestra Sociedad" dado en el marco de su recepción como académico de la Academia de Ciencias e Ingenierías de Lazarote-España, realiza un exposición ejemplar en donde destaca un recorrido histórico-social de la evolución de las bases económicas que mueven y han movido el mundo, dando origen a los Centros de Procesamiento de Datos. 2.1.- La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD) El Dr. Ferrer 20093 , expone que para comprender el cambio económico de los últimos 30 años en menester destacar cinco ejes que les dan vida los mismos se enuncian, a continuación:  Telecomunicaciones a escala global: El nacimiento de los teléfonos y la televisión que durante la década de los setenta se masificaron globalmente, este medio de comunicación resulto de importancia para la sociedad, en donde los satélites juegan un papel importante, para los noventa el uso del cable de fibra óptica elevó exponencialmente la capacidad de las redes de telefonía. Llegado el siglo XX el mundo contaba con una sólida red en materia de telecomunicaciones.  Nace el ordenador personal: A finales de la década de los setenta nacen los primeros ordenadores personales los cuales siguen siendo una herramienta útil de trabajo, generando consigo una reducción en los costos lo que ha sido beneficioso para quienes disponen de esta tecnología. 2 FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. Cap.1 “La Revolución del Siglo XXI”, p. 9. 3 Ídem.
 Un sistema global basado en la información, su procesamiento y comunicación: Para los años setenta, las economías de los distintos países se relacionaron entre sí, vinculando los mercados de productos y servicios entre países, lo que da inicio a un proceso de globalización económica.  La competitividad: La globalización introduce cambios en la economía. Para que las organizaciones se mantengan en el mercado mundial, estas deben ser flexibles, creativas y ordenadas para adaptarse a las condiciones del lugar en el que desean introducir sus productos y servicios. El factor que las constituye como instancias de éxito es la capacidad de obtener y procesar toda la información de modo casi instantánea. "La información se convierte así en un recurso estratégico".  La Productividad: Para que las organizaciones puedan mantener su éxito, la globalización las obligado a aumentar su productividad, produciendo más bienes y servicios a un menor costo, para lograr esta meta las empresas han constituido como "espina dorsal" gran cantidad de redes de ordenadores y dispositivos de telecomunicaciones que hacen que sus procesos sean más expeditos y eficientes desde el ámbito administrativo hasta la producción. Permitiendo afirmar una vez más que "el recurso estratégico es la información". Lo anterior permite decir que la evolución de las comunicaciones a nivel tecnológico ha facilitado que la sociedad intercambie información de manera rápida, sin embargo a este elemento debe de igual modo incorporarse el elemento de la "Trascendencia de la Digitalización", denominado así por el Dr. Ferrer 20094 , el plantea que desde el invento de la imprenta en el siglo XV por el alemán Johann Gtenberg, la sociedad comenzó a trasladar sus ideas y conocimientos en libros (letras) de manera masiva y barata. Introduciendo así la posibilidad que el conocimiento humano perdure aún más tiempo y al alcance de muchos, estimulando el desarrollo científico, haciendo florecer la literatura, el teatro, las ideas políticas hasta el punto de provocar la caída de las monarquías para dar paso a gobiernos democráticos. La evolución de las trascendencias de las ideas, fue la base para la época de globalización digital, en donde surgen nuevas formas de operación de intercambio de conocimientos e información digital, tales como: correos electrónicos, foros de discusión en línea, las bases de datos, teléfonos portátiles, la transmisión digital de archivos o el servicio de acceso a los servidores de una organización desde cualquier parte del mundo, facilitando la nuevas formas de organización de las empresas. Por lo que el internet, es mucho más rápido, barato y fácil publicar información que reproducir o imprimir un libro. Entonces tenemos que con el internet se obtiene un mayor alcance de público por sus bondades de recepción y envío de información. Para tener una idea de que hablamos “En el año 2006 la información digital era tres millones de veces superior a la de los libros escritos”. Al respecto Dr. Ferrer 20095 ejemplifica: 4 Ídem. Cap.2 “Sociedad de la Información”, p. 13. 5 Ídem.
...“la población mundial se ha incrementado poco más de 55 veces desde los tiempos de la Antigüedad Grecia a la fecha, la cantidad de informaciones disponibles los hizo cerca de 100 millones de veces, o cual significa que el conocimiento universal se publicó 5 años. Ésta es una forma de hacer notar como las tecnologías de la información y comunicación se difunden y transmiten rápidamente.” Con tanta información digital generada en la Sociedad de la Información, surge la interrogante "¿dónde reside la fuente de información y la fuente del conocimiento?", plantea el Dr. Ferrer 20096 , que la información puede ubicarse en cualquier lugar del planeta gracias a las nuevas redes y la globalización. Sin embargo, continua argumentando que a pesar de la complejidad para dar respuesta a la interrogante, surge otro planteamiento aún más interesante "¿qué recursos se están viendo involucrados?", a lo que responde que solo aquellas organizaciones que tienen conciencia de la importancia de que su subsistencia radica en la fuente de información, precisan de Centros de Proceso de Datos, en ingles "Data Center". Lo cual define como: "es aquel ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. ....viene a ser básicamente un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico (servicios, sistemas de almacenamiento de datos, equipos de comunicaciones…” Es necesario decir, que dependiendo de la región o el autor el término CPD se conoce como centro de cómputo o centro de cálculo. Para efectos de esta investigación el término considerado es: Centro de Procesamiento de Datos, y se comprende como el conjunto de recursos físicos, lógicos y humanos necesarios para el control de las actividades informáticas de una organización. Expuesto esto, se hace necesario conocer un poco más de los Centros de Procesamiento de Datos, a fin de considerar los criterios usados para materialización y son insumos para las auditorias de CPD. 2.2.- Diseño del Centro de Procesamiento de Datos7 El diseño de CPD, inicia por la elección geográfica, las condiciones de construcción de la dependencia, el diseño interior, la facilidad de acceso para la instalación de los equipos y la seguridad física de las instalaciones. Una vez garantizadas las condiciones de habitabilidad de la dependencia, se procede a la instalación de los aparatos tecnológicos que le dan vida al centro, como son: Las computadores y las redes de parea local, otras. Para esta tarea se requiere un diseño lógico de redes y entornos.8 6 Ídem. Cap.2 “El Centro de Procesamiento de Datos”, p. 14. 7 Collage de Fotos del Diseño de un CPD. Apéndice C, anexo 2. 8 Las Autoras, Mapa de Contenido. Diseño de CPD. Apéndice C, anexo 1.
Es importe, destacar que los grande servidores se ubican en “Site” o también denominados sala fría, nevera o pecera. La sala requiere un sistema específico de refrigeración para mantener una temperatura baja (entre 21 y 33 grados de Ceisus). Al respecto las normas internacionales establecen una tempera exacta debe ser 22,3 grados Ceisus.9 2.3.- Controles del Centro de Procesamiento de Datos Un CPD se diseña para estar operativo las 24 horas todos los días del año, considerando que a mayor disponibilidad mejor servicio, lo que se traduce en más producción. Esta disponibilidad requiere de una gran inversión y de controles del CPD, entendiendo por este control el ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de niveles de seguridad en el proceso que se realiza, entre algunos elementos se sugieren los siguientes:  Asegurar que todos los datos sean procesados.  Garantizar la exactitud de los datos procesados.  Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría.  Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.  Tener un sistema de control con identificación (responsable de los datos mediante el uso claves de acceso).  En caso de equipos que cuentan con sistemas en línea, los usuarios son los responsables de la captura y modificación de la información. 2.3.1.- Principales factores que impactan la seguridad en el CPD:  Aspectos de lógica y confidencialidad.  Aspectos relevantes de la seguridad en el personal.  Seguridad Física.  Seguridad en la utilización de equipamiento.  Procedimiento de respaldo en caso de desastre.  Procedimientos y controles necesarios para soportar a otras instituciones. 2.3.2.- Aspectos relacionados con las normativas aplicables a la seguridad de los CPD El área de Tecnología debe tener y observar reglas relativas al orden y cuidado del CPD, esto motivado a que un descuido puede causar dañados y pérdidas irreparables, o en costos muy elevados en la recuperación de éstos. Para ello, existen normas internacionales previamente ya abaladas y estandarizadas en el ámbito de las tecnologías de la información y comunicación, la cuales según el 9 Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 En lace: https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos
estudio realizado por Burgos y Campos 200810 en su publicación denominado “Modelo Para Seguridad de la Información en TIC” para la Universidad de Bío – Bío –Chile, establecen tres requisitos de mayor significación para el resguardo de la información, estos son:  Confiabilidad: Descrita como la encargada de prevenir el acceso no autorizado ya sea en forma intencionada o no intencional a la información.  Integridad: Busca asegurar que no se realicen cambios en la información, es decir, que los datos sean consistentes tanto interna como externamente (durante todo el proceso).  Disponibilidad: Se dispone a asegurar la disponibilidad en el acceso de manera confiable y oportuna a los datos o recursos para el personal apropiado. Considerando estos requisitos básicos procede a realizar referencia a estándares y normas más utilizados a nivel mundial, a continuación:  ISO 17.799: Es un estándar para la administración de la seguridad de la información, plantea la implementación de una estructura documental que debe ser respaldada por la alta gerencia de la organización para alcanzar su éxito. El mismo fue publicado en el 2000 por la Organización Internacional de Estándares (Internacional Organization for Standardizacion - ISO), con el objetivo de desarrollar un marco de seguridad para la organizaciones, ofrece recomendaciones para realizar una gestión de seguridad de la información dirigida a los responsables de iniciar, implementar o mantener la seguridad de la organización.  COBIT: Es un estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), fundada en 1969 en EE.UU, esta institución orienta sus aportes a la temas de gobernabilidad, control, aseguramiento y autoridades para las TIC. El acrónico COBIT, significa Objetivos de Control para la Información y Tecnologías Relacionadas (Control Objetives for Information and Related Technology). Estas normas se consideran las más adecuadas y de mayor importancia por ser especializadas en las Tecnologías de la Información y Comunicación (TIC).11  ITIL: Information Tecnhnology Infrastructure Liberary, es una norma que agrupa las mejores prácticas a nivel mundial para la administración de servicios de Tecnologías de Información (TI), desarrolla a finales de la década de los ochenta por entidades públicas y privadas. El propietario de este estándar pertenece a la Ofice of Government Commerce, una entidad de la tesorería del gobierno británico.12  LEY SOX: Ley Sarbanes-Oxley (SOX), de EE.UU, nombrado así en referencia de sus creadores, nace producto de los escándalos financieros 10 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío- Bío, Chile, 2008. Cap. “Estándares para Asegurar la Información” p. 237. 11 Para mayor información: http://www.isaca.org/spanish/Pages/default.aspx 12 Para mayor información : http://www.it-institute.org/
de falsificación ocurridos en el 2002. Esta ley obliga a llevar un control y almacenamiento informático estricto de su actividad. Obliga a las empresas públicas nacionales de dicho país, así como todos los extranjeros inscritos en la Securities and Exchange Comission. Esta ley es un referente a nivel mundial especialmente para las empresas que trazan sus valores en la bolsa de EE.UU.  COSO: Está orientada principalmente al control de la administración financiera y contable de las organizaciones, su acrónico responde a The Committe of Sponsoring Organizations of the Treadway Commission´s Iternal Control – Integrated Framework. El informe COSO es un documento que contiene directivas e indicaciones para la implantación, gestión y control de un sistema de Control Interno, con alcances al área informática. Estas normas forman parte del basamento legal y normativo de control interno de la administración pública venezolana.13  ISO serie 27000: Es una serie de estándares que se encuentran desarrollo, contempla: definiciones de vocabularios (ISO 27000), requisitos para sistemas de seguridad de la gestión de seguridad de la información (ISO 27001) guía de buenas prácticas en objetivos de control y controles recomendados de seguridad de la información (ISO 27002), una guía de implementación de SGSI (Sistema de Gestión en Seguridad de la Información) junto a información de uso del esquema PDCA (Plan, Do, Check, Act) (ISO 27003); especificación de métricas para determinar la eficacia de SGISI (ISO 27004); una guía de técnicas de gestión de riesgo (ISO 27005); especificación de requisitos para acreditación de entidades de auditoria y certificación de SGSI (ISO 27006); una guía de auditoria de SGSI (ISO 27007); una guía de gestión de seguridad de la información para telecomunicaciones (ISO 27011), una guía de continuidad de negocio en cuanto a TIC (ISO 27031), guía de ciber – seguridd (ISO 27032); guía de seguridad en redes (ISO 27033), una guía de seguridad en aplicaciones (ISO 27034), y una guía de seguridad de la información en el sector sanitario (ISO 27799).14 2.3.3.-Aspectos relevantes al personal de un CPD Un buen CPD depende, de la integridad, estabilidad y lealtad de personal, por lo que es conveniente hacerle exámenes psicológicos, médicos y verificar sus antecedentes de trabajo, para contar con el personal altamente cualificado, que cumpla los códigos de éticas que rigen las tecnologías de información. Ahora bien, todo Centro de Procesamiento de Datos cuenta con una estructura mínima de distribución de trabajo que se ajusta de acuerdo a las propias necesidades de la organización, esta estructura mínima debe contemplar personal a tiempo completo y personal por turnos que permita garantizar el funcionamiento confiable y optimo del CPD. 13 Para mayor información: https://www.coso.org/Pages/default.aspx 14 Para mayor información: WWW.ISO27000.ES
CAPÍTULO 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD) El término de auditoria tiene diversas aserciones pero todas coinciden en: encontrar evidencias para evaluar el grado en que se están cumpliendo y llevando a cabo los objetivos. Al respecto consideramos destacar las siguientes: “Debe entenderse por un estándar metodológico para evaluar distintos objetivos o realidades, con mentalidad crítica, analítica e investigativa, sobre una base objetiva, independiente y ética, tendiente a emitir un informe que es el proceso final.”15 “El propósito de una auditoria es aumentar el grado de confianza de los presuntos usuarios (…) La auditoría conduce con la premisa de que la administración reconoce y entiende las responsabilidades fundamentales para la realización de esta de acuerdo con las normas, sin imponer responsabilidades. Es necesario que el auditor obtenga el acuerdo de la administración, basándose en esta premisa, como condición del desarrollo de la auditoria.”16 Considerado todo lo precedente, se entiende para el presente estudio por Auditoria en Centros de Procesamiento de Datos (CPD) como: un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física.17 Ahora bien, todo proceso de auditoria lleva inmerso una serie de fases metodológicas18 , las cuales aunado con las normas seleccionadas19 pueden constituir un referente para definir el modelo de auditoria a desarrollar en los CPD. 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD) Existen diversos tipos de auditorías que varían de acuerdo a su función para ello hemos diseñado un mapa basado en la descripción genérica presentada por 15 AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996. Cap. 1.4 “Marco Conceptual” p. 6. 16 Normas Internacionales de Auditoría. Material de Apoyo - uditool. Cap. Objetivos Generales del Auditor Independiente y Conducción de Una Auditoría, de Acuerdo con las Normas Internacionales de Auditoría. p.4 17 Para ver más definiciones se sugiere ver NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad Filosofía-Especialidad Informática Guayaquil-Ecuador. p.3 18 Las Autoras. Fases de una auditoria. Apéndice C, anexo 3. 19 Ejemplo de un Diagrama de flujo de normas ISO 19011 para la auditoria de sistemas de gestión. p.15
Penagos 201320 en su “Modulo de Gestión de Auditoria Soporte en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI” publicado por la Universidad Tecnológica de Pereira. Sin embargo para efectos del presente tema consideramos pertinente y adecuado centrarnos en lo expuesto por HERNANDO 201121 , el mismo se describe tres aspectos necesarios a considerar para la auditoria de los CPD, a continuación: 3.1.1.- Seguridad física: Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de una máquina. Busca asegurar la integridad física de los equipos almacenados, desde el interior hasta el exterior. Los CPD deben tener una seguridad física, a través del control de acceso con mecanismos de tarjetas inteligentes, para tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso adecuado es motivo de incidencia. Además mecanismos de detección y alarma como extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento, los cuales deben ser probados regularmente y que funcionan como es debido. El objetivo de la auditoria en la seguridad física, es establecer políticas de seguridad, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio del CPD, entre ellas:  El material y construcción del edificio del CPD no debe tener componentes que sean altamente inflamables, que despiden humos tóxicos o bien paredes que no estén selladas y despidan polvos.  Se considera peligroso tener el CPD en las áreas de alto tráfico de personas.  Se debe tomar precauciones en cuanto a la orientación del CPD. Entre las principales precauciones que deben revisar están:  Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo.  Contar con detectores de humo que indiquen la posible presencia de fuego.  Instalaciones de alto riesgo, debe tener equipos de fuente no interrumpible.  Verificar que existan suficientes salidas de emergencia y que estén debidamente controladas. 20 PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. Cap. 1.1 Auditoria y Tipos de Auditorias. p.16 21 HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011.
3.1.2.- Seguridad Lógica: Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información, en otra palabras todo aquello que tiene que ver con el mundo de los datos. Hay que tener en cuenta los errores humanos (ya sean provocados, por accidente, negligencia o descuido) son los responsables de gran parte de las incidencias que se producen en estos entornos. Por eso la importante de la auditoria de seguridad física, ya que evalúa el sistema de control de acceso, por lo esencial en los procesos de gestión de riesgos. 3.1.3.- Aspectos contractuales y de gestión energética: La auditoría en los aspectos contractuales alertar al negocio de muchas cosas que van más allá de los costos establecidos, lo cual puede servir para adquirir un servicio en mejores condiciones y en gestión energética, entendiendo por este último término como el estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía, su objetivo principal es combinar el ahorro con la aplicación de medidas favorables con el medio ambiente. Esta auditoria permite evaluar:  Los riesgos de un proceso que contiene información con cierto nivel de criticidad y sensibilidad  La seguridad solicitando evidencias sobre cómo se gestiona por parte del proveedor de servicios  Sugerir la inclusión de cláusulas de audibilidad.  Advertir problemas potenciales de conflicto de interés por la ausencia de controles para contratar. La labor de auditoría indagar y tener una idea clara de cómo se gestionan los contratos en un CPD, haciendo especial hincapié en niveles de servicio, condiciones, garantías y seguridad del proveedor, en los aspectos de:  Los servicios de mantenimiento de terceros, y concretamente, los niveles de servicio y condiciones de reposición de materiales y traslado de técnicos en caso de incidencias  Las condiciones para que el proveedor establezca distintos niveles de criticidad en eventos de disrupción operacional así como los tiempos de respuesta resultantes.  La ausencia de cláusulas de audibilidad en los procesos que impide realizar verificaciones de seguridad y auditoría en caso de contratarse  Las políticas de gestión de cambios (instalación de parches y actualizaciones).  La ausencia o deficiencia de mecanismos de continuidad de servicios, locales y remotos.
CONCLUSIONES Los Centros de Procesamientos de Datos son grandes instalaciones donde se centran una gran cantidad de recursos físicos, lógicos y humanos que procesan el bien más valorado actualmente por las organizaciones: Información. Como parte de la columna vertebral -así lo denomina varios autores especialistas de la tecnología y de la gestión empresarial- coge gran significación para un auditor en la era digital, el evaluar un CPD. Los Centros de Procesamiento de Datos deben estar en manos de personal idóneo que vele por el bienestar social con sentido ético, esto motivado a la gran cantidad de la población mundial que deja en manos de los grandes organismos públicos o privados toda su información personal, financiera, otras. Las auditorías de CPD permiten mantener las organizaciones con negocio con optimización y capacidad de respuesta del bien o servicio prestado. De igual forma, trasciende al campo de la comercialización, imagen, credibilidad y confianza en los usuarios y proveedores de las organizaciones objetos de auditorías de CPD. Por su parte, los estándares internacionales, facilitan la creación de modelos que se adaptan a la realidad propia de cada país y organización, existen referentes como en Chile22 en donde se han diseñado estándares de auditorías de CPD que den respuestas a los niveles de las organizaciones. Esto es un ejemplo de las bondades que se pueden obtener de las normativas y estándares internacionales, una vez consideradas para el diseño de las auditorías. Entre las normas que más nos resulta de importancia para los CPD, consideramos las Normas ISO 27000 y las normas COBIT, por ser diseñadas y especializadas sólo para el ámbito de las Tecnologías de la Información (TI). 22 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío- Bío, Chile, 2008. Este material es una propuesta desarrollada para el caso particular de Chile.
APÉNDICE A REFERENCIAS BIBLIOGRÁFICAS23 1. AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996 http://www.bdigital.unal.edu.co/41018/1/alfonsopioagudelosalazar.1996.pdf 2. BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío-Bío, Chile, 2008. http://ceur-ws.org/Vol-488/paper13.pdf 3. FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. http://www.academiadelanzarote.es/Discursos/Discurso%2034.pdf 4. HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011. http://www.sahw.com/wp/archivos/2011/12/18/auditoria-de-centros-de-procesamiento- de-datos-parte-1-seguridad-fisica/ 5. NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad Filosofía- Especialidad Informática Guayaquil-Ecuador. https://es.scribd.com/document/19233522/ERP-CRM-SAP-Monografia-Conceptos-de- Auditoria-en-Sistemas-1 6. Norma Internacional ISO 19011 Directrices para la auditoría de Sistemas de Gestión. Segunda edición. 2011. http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf 7. Normas Internacionales de Auditoría. Material de Apoyo - uditool. https://www.ccpdistritocapital.org.ve/uploads/descargas/fddcb2ae5541d5f49e87158a6b3 9a1ae4571a152.pdf 8. PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pdf ?sequence=2 9. Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos Otros Enlances  Information Technology Infrastructure Liberary (ITIL) https://www.axelos.com/best- practice-solutions/itil  Norma Internacional ISO27000 WWW.ISO27000.ES  Control Objectives for Information and related Technology (COBIT) http://www.isaca.org/spanish/Pages/default.aspx  Committee of Sponsoring Organizations of the Treadway Commission (COSO) https://www.coso.org/Pages/default.aspx 23 Todas las Referencias Bibliográficas de Internet fueron consultadas hasta la fecha 23MAR2017.
APÉNDICE B GLOSARIO DE TÉRMINOS Y DEFINICIONES Auditoría de Centros de Procesamiento (CPD) un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física. Centro de Procesamiento de Datos (Data Center) Es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa. COBITControl Objectives for Information and related Technology (Objetivos de Control para Información y Tecnologías Relacionadas). Controles el ciclo que sigue la información desde la entrada hasta la salida de la información. CPD Centro de Procesamiento de Datos. Gestión energética Se define como un estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía. ISO International Organization for Standardization (Organización Internacional de Normalización). ITIL Information Technology Infrastructure Liberary (Biblioteca de Infraestructura de Tecnologías de Información). LEY SOX Sarbanes-Oxley Act of 2002 o Ley Sarbanes-Oxley, (Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista.) Políticas de seguridad Conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática. Seguridad Física Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema. Seguridad Lógica Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
APÉNDICE C ANEXOS Anexo 1 Mapa de Contenido Diseño: Las Autores
Anexo 2 Collage de Fotos del Diseño de un CPD Diseño: Las Autores. Fuente fotográfica: Ferrer, J.
Anexo 3 Fases de una Auditoría Diseño: Las Autores. Fuente: Manual de Normas y Procedimientos en materia de Auditoría de Estado. Contraloría General de la República Bolivariana de Venezuela. 2015
Anexo 4 ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión Tomado de: Norma ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión p.15 http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf

Recomendados

Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
Eli Blas
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
luz milagros
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
Amd Cdmas
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019
Ciro Bonilla
 
Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5
Lorenzo Armenta Fonseca CAPM, MCP, MCTS
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 

Recomendados

Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
Eli Blas
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
luz milagros
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
Amd Cdmas
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019
Ciro Bonilla
 
Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5Como determinar la Capacidad de los Procesos de COBIT 5
Como determinar la Capacidad de los Procesos de COBIT 5
Lorenzo Armenta Fonseca CAPM, MCP, MCTS
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticos
carlosskovar
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
Pedro Garcia Repetto
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaJUNJI - Junta Nacional de Jardines Infantiles
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
INSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
Auditoria data center
Auditoria data centerAuditoria data center
Auditoria data centerInstituto Shana
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1
Carlos Francavilla
 
Cobit
CobitCobit
Cobit
LUIS ALBERTO GONZAGA CORTEZ
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informática
Willian Yanza Chavez
 
ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500
Edison Isla A
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
ANNY
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000
itService ®
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
Yesith Valencia
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
Giovani Roberto Gómez Millán
 
Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicacionesjuanktoalombo
 
plicaciones
plicacionesplicaciones
plicacionesheiddy89
 

Más contenido relacionado

La actualidad más candente

Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticos
carlosskovar
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
Pedro Garcia Repetto
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
INSTITUTO TÉCNICO PROFESIONAL DE TOLUCA
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1
Carlos Francavilla
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informática
Willian Yanza Chavez
 
ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500
Edison Isla A
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
ANNY
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000
itService ®
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
Yesith Valencia
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
Giovani Roberto Gómez Millán
 

La actualidad más candente (20)

Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticos
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TICUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
CUADRO COMPARATIVO DE BUENAS PRACTICAS DE GOBIERNO DE TI
 
Auditoria data center
Auditoria data centerAuditoria data center
Auditoria data center
 
COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1COBIT 5 Comparacion con COBIT 4.1
COBIT 5 Comparacion con COBIT 4.1
 
Cobit
CobitCobit
Cobit
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informática
 
ISO IEC 38500
ISO IEC 38500ISO IEC 38500
ISO IEC 38500
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de software
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 

Similar a Auditoria CPD

Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicacionesjuanktoalombo
 
plicaciones
plicacionesplicaciones
plicacionesheiddy89
 
Tendencias de la Informática y sus Incidencias
Tendencias de la Informática y sus IncidenciasTendencias de la Informática y sus Incidencias
Tendencias de la Informática y sus Incidencias
Betania Beltrán
 
BIG DATA Y LAS TIC
BIG DATA Y LAS TICBIG DATA Y LAS TIC
BIG DATA Y LAS TIC
FreenzerAOsorio
 
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOSMATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
EVASERIES
 
Byron jacome actividad1_1
Byron jacome actividad1_1Byron jacome actividad1_1
Byron jacome actividad1_1
byrman
 
Las tics presentacion
Las tics presentacionLas tics presentacion
Las tics presentacionlauriitha16
 
Las tics presentacion
Las tics presentacionLas tics presentacion
Las tics presentacionlauriitha16
 
Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018
Pegazzo177
 
Unidad 1. Recurso 1. Transformación Digital (1).pdf
Unidad 1. Recurso 1. Transformación Digital (1).pdfUnidad 1. Recurso 1. Transformación Digital (1).pdf
Unidad 1. Recurso 1. Transformación Digital (1).pdf
deuri1
 
MANUAL
MANUALMANUAL
MANUAL
Wilson Miguel Ulloa Tomas
 
Derecho informatico
Derecho informaticoDerecho informatico
Derecho informatico
Zimplemente Sanditahh Paucar
 
Investigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinInvestigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquin
Erick Estuardo Marroquín Aquino
 
INFORMÁTICA CONTABLE I.docx
INFORMÁTICA CONTABLE I.docxINFORMÁTICA CONTABLE I.docx
INFORMÁTICA CONTABLE I.docx
ZulmiAnaisGonzalesSu
 
Antología
AntologíaAntología
Antología
MARYCARMENALCORTAMER
 
Tarea 4
Tarea 4 Tarea 4
Tarea 4
Enguelbert Garcia
 
Proyecto final
Proyecto finalProyecto final
Proyecto finalraulyedgar
 
SOCIEDAD DE LA INFORMACION
SOCIEDAD DE LA INFORMACIONSOCIEDAD DE LA INFORMACION
SOCIEDAD DE LA INFORMACION
l3m.ldv
 
COMPUTACIÓN 1-P I-2023.pptx
COMPUTACIÓN 1-P I-2023.pptxCOMPUTACIÓN 1-P I-2023.pptx
COMPUTACIÓN 1-P I-2023.pptx
GroverRojasMontao
 

Similar a Auditoria CPD (20)

Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicaciones
 
plicaciones
plicacionesplicaciones
plicaciones
 
Tendencias de la Informática y sus Incidencias
Tendencias de la Informática y sus IncidenciasTendencias de la Informática y sus Incidencias
Tendencias de la Informática y sus Incidencias
 
BIG DATA Y LAS TIC
BIG DATA Y LAS TICBIG DATA Y LAS TIC
BIG DATA Y LAS TIC
 
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOSMATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
MATERIAL TECNOLOGÍA DE INFORMACIÓN PARA LOS NEGOCIOS
 
Byron jacome actividad1_1
Byron jacome actividad1_1Byron jacome actividad1_1
Byron jacome actividad1_1
 
Las tics presentacion
Las tics presentacionLas tics presentacion
Las tics presentacion
 
Las tics presentacion
Las tics presentacionLas tics presentacion
Las tics presentacion
 
Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018
 
Unidad 1. Recurso 1. Transformación Digital (1).pdf
Unidad 1. Recurso 1. Transformación Digital (1).pdfUnidad 1. Recurso 1. Transformación Digital (1).pdf
Unidad 1. Recurso 1. Transformación Digital (1).pdf
 
MANUAL
MANUALMANUAL
MANUAL
 
Tecnologías
Tecnologías Tecnologías
Tecnologías
 
Derecho informatico
Derecho informaticoDerecho informatico
Derecho informatico
 
Investigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinInvestigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquin
 
INFORMÁTICA CONTABLE I.docx
INFORMÁTICA CONTABLE I.docxINFORMÁTICA CONTABLE I.docx
INFORMÁTICA CONTABLE I.docx
 
Antología
AntologíaAntología
Antología
 
Tarea 4
Tarea 4 Tarea 4
Tarea 4
 
Proyecto final
Proyecto finalProyecto final
Proyecto final
 
SOCIEDAD DE LA INFORMACION
SOCIEDAD DE LA INFORMACIONSOCIEDAD DE LA INFORMACION
SOCIEDAD DE LA INFORMACION
 
COMPUTACIÓN 1-P I-2023.pptx
COMPUTACIÓN 1-P I-2023.pptxCOMPUTACIÓN 1-P I-2023.pptx
COMPUTACIÓN 1-P I-2023.pptx
 

Más de Sumdury

CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMSCRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
Sumdury
 
Herramientas de TI para la Selección de Personal
Herramientas de TI para la Selección de Personal Herramientas de TI para la Selección de Personal
Herramientas de TI para la Selección de Personal
Sumdury
 
Selección y Promoción de Personal Parte II
Selección y Promoción de Personal Parte IISelección y Promoción de Personal Parte II
Selección y Promoción de Personal Parte II
Sumdury
 
Selección y Promoción de Personal Parte I
Selección y Promoción de Personal Parte ISelección y Promoción de Personal Parte I
Selección y Promoción de Personal Parte I
Sumdury
 
Mayéutica = Ideas Verdaderas
Mayéutica = Ideas VerdaderasMayéutica = Ideas Verdaderas
Mayéutica = Ideas Verdaderas
Sumdury
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
Sumdury
 
Ensayo Gestion Conocimiento
Ensayo Gestion ConocimientoEnsayo Gestion Conocimiento
Ensayo Gestion Conocimiento
Sumdury
 
The India
The IndiaThe India
The India
Sumdury
 
Auditoria hc 22_05_17
Auditoria hc 22_05_17Auditoria hc 22_05_17
Auditoria hc 22_05_17
Sumdury
 
Liderazgo Empresarial
Liderazgo EmpresarialLiderazgo Empresarial
Liderazgo Empresarial
Sumdury
 
Selección y Promoción de Personal
Selección y Promoción de PersonalSelección y Promoción de Personal
Selección y Promoción de Personal
Sumdury
 
Ensayo liderazgo
Ensayo liderazgoEnsayo liderazgo
Ensayo liderazgo
Sumdury
 
Control Interno
Control InternoControl Interno
Control Interno
Sumdury
 
Ejecucion de Planes Programas y Proyectos
Ejecucion de Planes Programas y ProyectosEjecucion de Planes Programas y Proyectos
Ejecucion de Planes Programas y Proyectos
Sumdury
 
Planificación y Desarrollo en el Sector Público
Planificación y Desarrollo en el Sector PúblicoPlanificación y Desarrollo en el Sector Público
Planificación y Desarrollo en el Sector Público
Sumdury
 
Capitulo III Marco Metodológico
Capitulo III Marco MetodológicoCapitulo III Marco Metodológico
Capitulo III Marco Metodológico
Sumdury
 
Capítulo II Marco Teórico
Capítulo II Marco TeóricoCapítulo II Marco Teórico
Capítulo II Marco Teórico
Sumdury
 
Capítulo I: Planteamiento del Problema
Capítulo I: Planteamiento del ProblemaCapítulo I: Planteamiento del Problema
Capítulo I: Planteamiento del Problema
Sumdury
 
CONTRALORIA SOCIAL_SAFONACC
CONTRALORIA SOCIAL_SAFONACCCONTRALORIA SOCIAL_SAFONACC
CONTRALORIA SOCIAL_SAFONACC
Sumdury
 

Más de Sumdury (19)

CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMSCRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
CRYTOGRAPHIC THE USE OF CRYTOGRAPHIC ALGORITHMS
 
Herramientas de TI para la Selección de Personal
Herramientas de TI para la Selección de Personal Herramientas de TI para la Selección de Personal
Herramientas de TI para la Selección de Personal
 
Selección y Promoción de Personal Parte II
Selección y Promoción de Personal Parte IISelección y Promoción de Personal Parte II
Selección y Promoción de Personal Parte II
 
Selección y Promoción de Personal Parte I
Selección y Promoción de Personal Parte ISelección y Promoción de Personal Parte I
Selección y Promoción de Personal Parte I
 
Mayéutica = Ideas Verdaderas
Mayéutica = Ideas VerdaderasMayéutica = Ideas Verdaderas
Mayéutica = Ideas Verdaderas
 
Seguridad de Servidores Web
Seguridad de Servidores WebSeguridad de Servidores Web
Seguridad de Servidores Web
 
Ensayo Gestion Conocimiento
Ensayo Gestion ConocimientoEnsayo Gestion Conocimiento
Ensayo Gestion Conocimiento
 
The India
The IndiaThe India
The India
 
Auditoria hc 22_05_17
Auditoria hc 22_05_17Auditoria hc 22_05_17
Auditoria hc 22_05_17
 
Liderazgo Empresarial
Liderazgo EmpresarialLiderazgo Empresarial
Liderazgo Empresarial
 
Selección y Promoción de Personal
Selección y Promoción de PersonalSelección y Promoción de Personal
Selección y Promoción de Personal
 
Ensayo liderazgo
Ensayo liderazgoEnsayo liderazgo
Ensayo liderazgo
 
Control Interno
Control InternoControl Interno
Control Interno
 
Ejecucion de Planes Programas y Proyectos
Ejecucion de Planes Programas y ProyectosEjecucion de Planes Programas y Proyectos
Ejecucion de Planes Programas y Proyectos
 
Planificación y Desarrollo en el Sector Público
Planificación y Desarrollo en el Sector PúblicoPlanificación y Desarrollo en el Sector Público
Planificación y Desarrollo en el Sector Público
 
Capitulo III Marco Metodológico
Capitulo III Marco MetodológicoCapitulo III Marco Metodológico
Capitulo III Marco Metodológico
 
Capítulo II Marco Teórico
Capítulo II Marco TeóricoCapítulo II Marco Teórico
Capítulo II Marco Teórico
 
Capítulo I: Planteamiento del Problema
Capítulo I: Planteamiento del ProblemaCapítulo I: Planteamiento del Problema
Capítulo I: Planteamiento del Problema
 
CONTRALORIA SOCIAL_SAFONACC
CONTRALORIA SOCIAL_SAFONACCCONTRALORIA SOCIAL_SAFONACC
CONTRALORIA SOCIAL_SAFONACC
 

Último

Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
samuelvideos
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
ValeriaAyala48
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
AMADO SALVADOR
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
paulroyal74
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
IsabelQuintero36
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
IA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticulturaIA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticultura
Miguel Rebollo
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
AMADO SALVADOR
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
SERVANDOBADILLOPOLEN
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
yuki22434
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
julio05042006
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
tamarita881
 

Último (20)

Desarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdfDesarrollo de habilidades de pensamiento (2).pdf
Desarrollo de habilidades de pensamiento (2).pdf
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
Conceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdfConceptos básicos de programación 10-5.pdf
Conceptos básicos de programación 10-5.pdf
 
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaCatalogo general Ariston Amado Salvador distribuidor oficial Valencia
Catalogo general Ariston Amado Salvador distribuidor oficial Valencia
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
IA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticulturaIA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticultura
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
 
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.COMPARATIVO DE SUBESTACIONES AIS VS GIS.
COMPARATIVO DE SUBESTACIONES AIS VS GIS.
 
algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1algebra de boole teoria.pdf texto guia.1
algebra de boole teoria.pdf texto guia.1
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0 2024
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
 

Auditoria CPD

  • 1. CENTRO DE PROCESAMIENTOS DE DATOS (CPD) DINORAH MARTÍNEZ VisualSoft Solutions Consultoría Consultor Externo IDAHIR MARTÍNEZ Contraloría General de la República Bolivariana de Venezuela Dirección General de Control de Administración Nacional Descentralizada Auditor Sénior 23 DE MARZO DE 2017 Maestría en: Gerencia Técnica de la Información Cátedra: Auditoría de Sistema Prof. Carlos Patiño Universidad Santa María
  • 2. Resumen El estimado lector, encontrar en este aporte un breve Capítulo 1.-INTRODUCCIÓN, sobre las Auditorias aplicadas a los Centros Procesadores de Datos. De igual forma un Capítulo 2.-CENTRO DE PROCESAMIENTOS DE DATOS (CPD), en el que se muestran aspectos relevante para conocer ¿qué es? y ¿cómo se conforma un CPD?, Controles, principios de seguridad, personal idóneo y los referentes más importantes de estándares internacionales que regulan su diseño, control, mantenimiento, y evaluación de los CPD. Capítulo 3.- AUDITORIA DEL CPD definición y tipos. Para finalizar, se muestran algunas conclusiones y referentes bibliográfico de interés al lector. Palabras Claves “centro de procesamiento de datos”, “CPD”, “data center”, “controles”, “ISO”, “COBIT”, “ITIL”, “LEY SOX”, “COSO”, “auditoría de CPD”, “tipos de auditorías de CPD”, “seguridad física”, “seguridad lógica”, “contractuales”, “gestión energética”, “políticas de seguridad”. Agradecimientos Al estimado profesor e ingeniero Carlos Patiño por orientaciones para lograr con éxito este primer acercamiento al ámbito delas auditorías a los Centro de Procesamiento de Datos. Gracias por sus aportes en clase.
  • 3. INDICE1 Pág. Capítulo 1 Introducción………………………………………………………………... Capítulo 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) 2.1 La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD)……………………………………….……………..... 2.2 Diseño del Centro de Procesamiento de Datos………………………….. 2.3 Controles del Centro de Procesamiento de Datos………………………. 2.3.1 Principales Factores que impactan la seguridad en el CPD….. 2.3.2 Aspectos relacionados con las normativas aplicables a la seguridad de los CPD………………………………………………………………….... 2.3.3 Aspectos relevantes al personal de un CPD.…………………... Capítulo 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD)……………………………………………………………………………………… 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD)…… 3.1.1.- Seguridad física………………………………………………….. 3.1.2.- Seguridad Lógica………………………………………………… 3.1.3.- Aspectos contractuales y de gestión energética……………... Conclusiones……………………….…………………………………………………… APÉNDICE A Referencias Bibliográficas…………………………………………… APÉNDICE B Glosario de términos y Definiciones…………………………………. APÉNDICE C Anexos………………………………………………………………….. Anexo 1 Mapa de Contenido……………………………………………………. Anexo 2 Collage de Fotos del Diseño de un CPD.……….……………….…. Anexo 3 Fases de una Auditoría……………………………………………….. Anexo 4 ISO 1911:2011 Directrices para Auditoria de los Sistemas de Gestión…………………………………………………………………………………... 1 Las Autoras Mapa de Contenido. Apéndice C, anexo 1.
  • 4. CAPÍTULO 1 INTRODUCCIÓN Los Centros de Procesamiento de datos son de interés en la sociedad de la información, por ser estos los responsables del almacenamiento, resguardo, mantenimiento y disponibilidad de manera eficaz, confiable su oportuna de la información de las organizaciones, empresas, instituciones públicas o privadas. Por lo que resulta interesante plantear en el presente trabajo aspectos que nos den evidencia precisa de qué es un Centro de Procesamiento de Datos o también denominado CPD, esto haciendo énfasis a su acrónico. De igual forma es oportuno conocer cómo se constituyen qué criterios se deben considerar para su diseño, implementación y mantenimiento. Así como que las normas y estadar4es internacionales que las rigen. En este contexto la presente investigación nos muestra la importancia de las auditorias en estos CPD, que tipos de auditorías se estipulan y como esto ayuda a las organizaciones actuales. Sin más preámbulos dejamos de su agrado esta breve pero muy importante investigación para la sociedad digital de hoy.
  • 5. CAPÍTULO 2 CENTRO DE PROCESAMIENTOS DE DATOS (CPD) La era de la globalización trae consigo una demanda permanente de solicitud de información, así como la necesidad de comunicar de manera casi inmediata de las acciones que se realizan en el entorno en que se encuentre. En este aspecto conseguimos una sociedad deseosa de nuevos conocimientos, lo que trae como consecuencia la creación de espacios tecnológicos que permitan el resguardo de los datos que generan información. Lo anterior permite hacer mención a los cambios suscitados en la sociedad durante los últimos 30años y que ha dado origen al término que sea considerado digno de estudio en las diversas ciencias la "Sociedad de la Información" o también conocido como la "Revolución Informática" que nace en los últimos años del siglo XX, la masiva y acelerada difusión de las tecnologías de la información y las comunicaciones da inicio a una nueva época en donde la economía deja de ser los combustibles y la electricidad a ser la información. El Dr Ferrer 20092 , en su discurso sobre "Centro de Procesamiento de Datos: El Cerebro de Nuestra Sociedad" dado en el marco de su recepción como académico de la Academia de Ciencias e Ingenierías de Lazarote-España, realiza un exposición ejemplar en donde destaca un recorrido histórico-social de la evolución de las bases económicas que mueven y han movido el mundo, dando origen a los Centros de Procesamiento de Datos. 2.1.- La Trascendencias de la Digitalización y los Centros de Procesamiento de Datos (CPD) El Dr. Ferrer 20093 , expone que para comprender el cambio económico de los últimos 30 años en menester destacar cinco ejes que les dan vida los mismos se enuncian, a continuación:  Telecomunicaciones a escala global: El nacimiento de los teléfonos y la televisión que durante la década de los setenta se masificaron globalmente, este medio de comunicación resulto de importancia para la sociedad, en donde los satélites juegan un papel importante, para los noventa el uso del cable de fibra óptica elevó exponencialmente la capacidad de las redes de telefonía. Llegado el siglo XX el mundo contaba con una sólida red en materia de telecomunicaciones.  Nace el ordenador personal: A finales de la década de los setenta nacen los primeros ordenadores personales los cuales siguen siendo una herramienta útil de trabajo, generando consigo una reducción en los costos lo que ha sido beneficioso para quienes disponen de esta tecnología. 2 FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. Cap.1 “La Revolución del Siglo XXI”, p. 9. 3 Ídem.
  • 6.  Un sistema global basado en la información, su procesamiento y comunicación: Para los años setenta, las economías de los distintos países se relacionaron entre sí, vinculando los mercados de productos y servicios entre países, lo que da inicio a un proceso de globalización económica.  La competitividad: La globalización introduce cambios en la economía. Para que las organizaciones se mantengan en el mercado mundial, estas deben ser flexibles, creativas y ordenadas para adaptarse a las condiciones del lugar en el que desean introducir sus productos y servicios. El factor que las constituye como instancias de éxito es la capacidad de obtener y procesar toda la información de modo casi instantánea. "La información se convierte así en un recurso estratégico".  La Productividad: Para que las organizaciones puedan mantener su éxito, la globalización las obligado a aumentar su productividad, produciendo más bienes y servicios a un menor costo, para lograr esta meta las empresas han constituido como "espina dorsal" gran cantidad de redes de ordenadores y dispositivos de telecomunicaciones que hacen que sus procesos sean más expeditos y eficientes desde el ámbito administrativo hasta la producción. Permitiendo afirmar una vez más que "el recurso estratégico es la información". Lo anterior permite decir que la evolución de las comunicaciones a nivel tecnológico ha facilitado que la sociedad intercambie información de manera rápida, sin embargo a este elemento debe de igual modo incorporarse el elemento de la "Trascendencia de la Digitalización", denominado así por el Dr. Ferrer 20094 , el plantea que desde el invento de la imprenta en el siglo XV por el alemán Johann Gtenberg, la sociedad comenzó a trasladar sus ideas y conocimientos en libros (letras) de manera masiva y barata. Introduciendo así la posibilidad que el conocimiento humano perdure aún más tiempo y al alcance de muchos, estimulando el desarrollo científico, haciendo florecer la literatura, el teatro, las ideas políticas hasta el punto de provocar la caída de las monarquías para dar paso a gobiernos democráticos. La evolución de las trascendencias de las ideas, fue la base para la época de globalización digital, en donde surgen nuevas formas de operación de intercambio de conocimientos e información digital, tales como: correos electrónicos, foros de discusión en línea, las bases de datos, teléfonos portátiles, la transmisión digital de archivos o el servicio de acceso a los servidores de una organización desde cualquier parte del mundo, facilitando la nuevas formas de organización de las empresas. Por lo que el internet, es mucho más rápido, barato y fácil publicar información que reproducir o imprimir un libro. Entonces tenemos que con el internet se obtiene un mayor alcance de público por sus bondades de recepción y envío de información. Para tener una idea de que hablamos “En el año 2006 la información digital era tres millones de veces superior a la de los libros escritos”. Al respecto Dr. Ferrer 20095 ejemplifica: 4 Ídem. Cap.2 “Sociedad de la Información”, p. 13. 5 Ídem.
  • 7. ...“la población mundial se ha incrementado poco más de 55 veces desde los tiempos de la Antigüedad Grecia a la fecha, la cantidad de informaciones disponibles los hizo cerca de 100 millones de veces, o cual significa que el conocimiento universal se publicó 5 años. Ésta es una forma de hacer notar como las tecnologías de la información y comunicación se difunden y transmiten rápidamente.” Con tanta información digital generada en la Sociedad de la Información, surge la interrogante "¿dónde reside la fuente de información y la fuente del conocimiento?", plantea el Dr. Ferrer 20096 , que la información puede ubicarse en cualquier lugar del planeta gracias a las nuevas redes y la globalización. Sin embargo, continua argumentando que a pesar de la complejidad para dar respuesta a la interrogante, surge otro planteamiento aún más interesante "¿qué recursos se están viendo involucrados?", a lo que responde que solo aquellas organizaciones que tienen conciencia de la importancia de que su subsistencia radica en la fuente de información, precisan de Centros de Proceso de Datos, en ingles "Data Center". Lo cual define como: "es aquel ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. ....viene a ser básicamente un edificio o sala de gran tamaño usada para mantener en él una gran cantidad de equipamiento electrónico (servicios, sistemas de almacenamiento de datos, equipos de comunicaciones…” Es necesario decir, que dependiendo de la región o el autor el término CPD se conoce como centro de cómputo o centro de cálculo. Para efectos de esta investigación el término considerado es: Centro de Procesamiento de Datos, y se comprende como el conjunto de recursos físicos, lógicos y humanos necesarios para el control de las actividades informáticas de una organización. Expuesto esto, se hace necesario conocer un poco más de los Centros de Procesamiento de Datos, a fin de considerar los criterios usados para materialización y son insumos para las auditorias de CPD. 2.2.- Diseño del Centro de Procesamiento de Datos7 El diseño de CPD, inicia por la elección geográfica, las condiciones de construcción de la dependencia, el diseño interior, la facilidad de acceso para la instalación de los equipos y la seguridad física de las instalaciones. Una vez garantizadas las condiciones de habitabilidad de la dependencia, se procede a la instalación de los aparatos tecnológicos que le dan vida al centro, como son: Las computadores y las redes de parea local, otras. Para esta tarea se requiere un diseño lógico de redes y entornos.8 6 Ídem. Cap.2 “El Centro de Procesamiento de Datos”, p. 14. 7 Collage de Fotos del Diseño de un CPD. Apéndice C, anexo 2. 8 Las Autoras, Mapa de Contenido. Diseño de CPD. Apéndice C, anexo 1.
  • 8. Es importe, destacar que los grande servidores se ubican en “Site” o también denominados sala fría, nevera o pecera. La sala requiere un sistema específico de refrigeración para mantener una temperatura baja (entre 21 y 33 grados de Ceisus). Al respecto las normas internacionales establecen una tempera exacta debe ser 22,3 grados Ceisus.9 2.3.- Controles del Centro de Procesamiento de Datos Un CPD se diseña para estar operativo las 24 horas todos los días del año, considerando que a mayor disponibilidad mejor servicio, lo que se traduce en más producción. Esta disponibilidad requiere de una gran inversión y de controles del CPD, entendiendo por este control el ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de niveles de seguridad en el proceso que se realiza, entre algunos elementos se sugieren los siguientes:  Asegurar que todos los datos sean procesados.  Garantizar la exactitud de los datos procesados.  Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría.  Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.  Tener un sistema de control con identificación (responsable de los datos mediante el uso claves de acceso).  En caso de equipos que cuentan con sistemas en línea, los usuarios son los responsables de la captura y modificación de la información. 2.3.1.- Principales factores que impactan la seguridad en el CPD:  Aspectos de lógica y confidencialidad.  Aspectos relevantes de la seguridad en el personal.  Seguridad Física.  Seguridad en la utilización de equipamiento.  Procedimiento de respaldo en caso de desastre.  Procedimientos y controles necesarios para soportar a otras instituciones. 2.3.2.- Aspectos relacionados con las normativas aplicables a la seguridad de los CPD El área de Tecnología debe tener y observar reglas relativas al orden y cuidado del CPD, esto motivado a que un descuido puede causar dañados y pérdidas irreparables, o en costos muy elevados en la recuperación de éstos. Para ello, existen normas internacionales previamente ya abaladas y estandarizadas en el ámbito de las tecnologías de la información y comunicación, la cuales según el 9 Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 En lace: https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos
  • 9. estudio realizado por Burgos y Campos 200810 en su publicación denominado “Modelo Para Seguridad de la Información en TIC” para la Universidad de Bío – Bío –Chile, establecen tres requisitos de mayor significación para el resguardo de la información, estos son:  Confiabilidad: Descrita como la encargada de prevenir el acceso no autorizado ya sea en forma intencionada o no intencional a la información.  Integridad: Busca asegurar que no se realicen cambios en la información, es decir, que los datos sean consistentes tanto interna como externamente (durante todo el proceso).  Disponibilidad: Se dispone a asegurar la disponibilidad en el acceso de manera confiable y oportuna a los datos o recursos para el personal apropiado. Considerando estos requisitos básicos procede a realizar referencia a estándares y normas más utilizados a nivel mundial, a continuación:  ISO 17.799: Es un estándar para la administración de la seguridad de la información, plantea la implementación de una estructura documental que debe ser respaldada por la alta gerencia de la organización para alcanzar su éxito. El mismo fue publicado en el 2000 por la Organización Internacional de Estándares (Internacional Organization for Standardizacion - ISO), con el objetivo de desarrollar un marco de seguridad para la organizaciones, ofrece recomendaciones para realizar una gestión de seguridad de la información dirigida a los responsables de iniciar, implementar o mantener la seguridad de la organización.  COBIT: Es un estándar desarrollado por la Information Systems Audit and Control Foundation (ISACA), fundada en 1969 en EE.UU, esta institución orienta sus aportes a la temas de gobernabilidad, control, aseguramiento y autoridades para las TIC. El acrónico COBIT, significa Objetivos de Control para la Información y Tecnologías Relacionadas (Control Objetives for Information and Related Technology). Estas normas se consideran las más adecuadas y de mayor importancia por ser especializadas en las Tecnologías de la Información y Comunicación (TIC).11  ITIL: Information Tecnhnology Infrastructure Liberary, es una norma que agrupa las mejores prácticas a nivel mundial para la administración de servicios de Tecnologías de Información (TI), desarrolla a finales de la década de los ochenta por entidades públicas y privadas. El propietario de este estándar pertenece a la Ofice of Government Commerce, una entidad de la tesorería del gobierno británico.12  LEY SOX: Ley Sarbanes-Oxley (SOX), de EE.UU, nombrado así en referencia de sus creadores, nace producto de los escándalos financieros 10 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío- Bío, Chile, 2008. Cap. “Estándares para Asegurar la Información” p. 237. 11 Para mayor información: http://www.isaca.org/spanish/Pages/default.aspx 12 Para mayor información : http://www.it-institute.org/
  • 10. de falsificación ocurridos en el 2002. Esta ley obliga a llevar un control y almacenamiento informático estricto de su actividad. Obliga a las empresas públicas nacionales de dicho país, así como todos los extranjeros inscritos en la Securities and Exchange Comission. Esta ley es un referente a nivel mundial especialmente para las empresas que trazan sus valores en la bolsa de EE.UU.  COSO: Está orientada principalmente al control de la administración financiera y contable de las organizaciones, su acrónico responde a The Committe of Sponsoring Organizations of the Treadway Commission´s Iternal Control – Integrated Framework. El informe COSO es un documento que contiene directivas e indicaciones para la implantación, gestión y control de un sistema de Control Interno, con alcances al área informática. Estas normas forman parte del basamento legal y normativo de control interno de la administración pública venezolana.13  ISO serie 27000: Es una serie de estándares que se encuentran desarrollo, contempla: definiciones de vocabularios (ISO 27000), requisitos para sistemas de seguridad de la gestión de seguridad de la información (ISO 27001) guía de buenas prácticas en objetivos de control y controles recomendados de seguridad de la información (ISO 27002), una guía de implementación de SGSI (Sistema de Gestión en Seguridad de la Información) junto a información de uso del esquema PDCA (Plan, Do, Check, Act) (ISO 27003); especificación de métricas para determinar la eficacia de SGISI (ISO 27004); una guía de técnicas de gestión de riesgo (ISO 27005); especificación de requisitos para acreditación de entidades de auditoria y certificación de SGSI (ISO 27006); una guía de auditoria de SGSI (ISO 27007); una guía de gestión de seguridad de la información para telecomunicaciones (ISO 27011), una guía de continuidad de negocio en cuanto a TIC (ISO 27031), guía de ciber – seguridd (ISO 27032); guía de seguridad en redes (ISO 27033), una guía de seguridad en aplicaciones (ISO 27034), y una guía de seguridad de la información en el sector sanitario (ISO 27799).14 2.3.3.-Aspectos relevantes al personal de un CPD Un buen CPD depende, de la integridad, estabilidad y lealtad de personal, por lo que es conveniente hacerle exámenes psicológicos, médicos y verificar sus antecedentes de trabajo, para contar con el personal altamente cualificado, que cumpla los códigos de éticas que rigen las tecnologías de información. Ahora bien, todo Centro de Procesamiento de Datos cuenta con una estructura mínima de distribución de trabajo que se ajusta de acuerdo a las propias necesidades de la organización, esta estructura mínima debe contemplar personal a tiempo completo y personal por turnos que permita garantizar el funcionamiento confiable y optimo del CPD. 13 Para mayor información: https://www.coso.org/Pages/default.aspx 14 Para mayor información: WWW.ISO27000.ES
  • 11. CAPÍTULO 3 AUDITORIA DEL CENTRO DE PROCESAMIENTO DE DATOS (CPD) El término de auditoria tiene diversas aserciones pero todas coinciden en: encontrar evidencias para evaluar el grado en que se están cumpliendo y llevando a cabo los objetivos. Al respecto consideramos destacar las siguientes: “Debe entenderse por un estándar metodológico para evaluar distintos objetivos o realidades, con mentalidad crítica, analítica e investigativa, sobre una base objetiva, independiente y ética, tendiente a emitir un informe que es el proceso final.”15 “El propósito de una auditoria es aumentar el grado de confianza de los presuntos usuarios (…) La auditoría conduce con la premisa de que la administración reconoce y entiende las responsabilidades fundamentales para la realización de esta de acuerdo con las normas, sin imponer responsabilidades. Es necesario que el auditor obtenga el acuerdo de la administración, basándose en esta premisa, como condición del desarrollo de la auditoria.”16 Considerado todo lo precedente, se entiende para el presente estudio por Auditoria en Centros de Procesamiento de Datos (CPD) como: un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física.17 Ahora bien, todo proceso de auditoria lleva inmerso una serie de fases metodológicas18 , las cuales aunado con las normas seleccionadas19 pueden constituir un referente para definir el modelo de auditoria a desarrollar en los CPD. 3.1.- Tipos de Auditoria del Centro de Procesamiento de Datos (CPD) Existen diversos tipos de auditorías que varían de acuerdo a su función para ello hemos diseñado un mapa basado en la descripción genérica presentada por 15 AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996. Cap. 1.4 “Marco Conceptual” p. 6. 16 Normas Internacionales de Auditoría. Material de Apoyo - uditool. Cap. Objetivos Generales del Auditor Independiente y Conducción de Una Auditoría, de Acuerdo con las Normas Internacionales de Auditoría. p.4 17 Para ver más definiciones se sugiere ver NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad Filosofía-Especialidad Informática Guayaquil-Ecuador. p.3 18 Las Autoras. Fases de una auditoria. Apéndice C, anexo 3. 19 Ejemplo de un Diagrama de flujo de normas ISO 19011 para la auditoria de sistemas de gestión. p.15
  • 12. Penagos 201320 en su “Modulo de Gestión de Auditoria Soporte en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI” publicado por la Universidad Tecnológica de Pereira. Sin embargo para efectos del presente tema consideramos pertinente y adecuado centrarnos en lo expuesto por HERNANDO 201121 , el mismo se describe tres aspectos necesarios a considerar para la auditoria de los CPD, a continuación: 3.1.1.- Seguridad física: Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de una máquina. Busca asegurar la integridad física de los equipos almacenados, desde el interior hasta el exterior. Los CPD deben tener una seguridad física, a través del control de acceso con mecanismos de tarjetas inteligentes, para tener control en tiempo real de quién entra a dónde, y para qué. No encontrarse con un sistema de control de acceso adecuado es motivo de incidencia. Además mecanismos de detección y alarma como extintores, la sala de contraincendios, los sensores de humedad, de temperatura, de detección de humo y de movimiento, los cuales deben ser probados regularmente y que funcionan como es debido. El objetivo de la auditoria en la seguridad física, es establecer políticas de seguridad, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio del CPD, entre ellas:  El material y construcción del edificio del CPD no debe tener componentes que sean altamente inflamables, que despiden humos tóxicos o bien paredes que no estén selladas y despidan polvos.  Se considera peligroso tener el CPD en las áreas de alto tráfico de personas.  Se debe tomar precauciones en cuanto a la orientación del CPD. Entre las principales precauciones que deben revisar están:  Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas de polvo.  Contar con detectores de humo que indiquen la posible presencia de fuego.  Instalaciones de alto riesgo, debe tener equipos de fuente no interrumpible.  Verificar que existan suficientes salidas de emergencia y que estén debidamente controladas. 20 PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. Cap. 1.1 Auditoria y Tipos de Auditorias. p.16 21 HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011.
  • 13. 3.1.2.- Seguridad Lógica: Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información, en otra palabras todo aquello que tiene que ver con el mundo de los datos. Hay que tener en cuenta los errores humanos (ya sean provocados, por accidente, negligencia o descuido) son los responsables de gran parte de las incidencias que se producen en estos entornos. Por eso la importante de la auditoria de seguridad física, ya que evalúa el sistema de control de acceso, por lo esencial en los procesos de gestión de riesgos. 3.1.3.- Aspectos contractuales y de gestión energética: La auditoría en los aspectos contractuales alertar al negocio de muchas cosas que van más allá de los costos establecidos, lo cual puede servir para adquirir un servicio en mejores condiciones y en gestión energética, entendiendo por este último término como el estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía, su objetivo principal es combinar el ahorro con la aplicación de medidas favorables con el medio ambiente. Esta auditoria permite evaluar:  Los riesgos de un proceso que contiene información con cierto nivel de criticidad y sensibilidad  La seguridad solicitando evidencias sobre cómo se gestiona por parte del proveedor de servicios  Sugerir la inclusión de cláusulas de audibilidad.  Advertir problemas potenciales de conflicto de interés por la ausencia de controles para contratar. La labor de auditoría indagar y tener una idea clara de cómo se gestionan los contratos en un CPD, haciendo especial hincapié en niveles de servicio, condiciones, garantías y seguridad del proveedor, en los aspectos de:  Los servicios de mantenimiento de terceros, y concretamente, los niveles de servicio y condiciones de reposición de materiales y traslado de técnicos en caso de incidencias  Las condiciones para que el proveedor establezca distintos niveles de criticidad en eventos de disrupción operacional así como los tiempos de respuesta resultantes.  La ausencia de cláusulas de audibilidad en los procesos que impide realizar verificaciones de seguridad y auditoría en caso de contratarse  Las políticas de gestión de cambios (instalación de parches y actualizaciones).  La ausencia o deficiencia de mecanismos de continuidad de servicios, locales y remotos.
  • 14. CONCLUSIONES Los Centros de Procesamientos de Datos son grandes instalaciones donde se centran una gran cantidad de recursos físicos, lógicos y humanos que procesan el bien más valorado actualmente por las organizaciones: Información. Como parte de la columna vertebral -así lo denomina varios autores especialistas de la tecnología y de la gestión empresarial- coge gran significación para un auditor en la era digital, el evaluar un CPD. Los Centros de Procesamiento de Datos deben estar en manos de personal idóneo que vele por el bienestar social con sentido ético, esto motivado a la gran cantidad de la población mundial que deja en manos de los grandes organismos públicos o privados toda su información personal, financiera, otras. Las auditorías de CPD permiten mantener las organizaciones con negocio con optimización y capacidad de respuesta del bien o servicio prestado. De igual forma, trasciende al campo de la comercialización, imagen, credibilidad y confianza en los usuarios y proveedores de las organizaciones objetos de auditorías de CPD. Por su parte, los estándares internacionales, facilitan la creación de modelos que se adaptan a la realidad propia de cada país y organización, existen referentes como en Chile22 en donde se han diseñado estándares de auditorías de CPD que den respuestas a los niveles de las organizaciones. Esto es un ejemplo de las bondades que se pueden obtener de las normativas y estándares internacionales, una vez consideradas para el diseño de las auditorías. Entre las normas que más nos resulta de importancia para los CPD, consideramos las Normas ISO 27000 y las normas COBIT, por ser diseñadas y especializadas sólo para el ámbito de las Tecnologías de la Información (TI). 22 BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío- Bío, Chile, 2008. Este material es una propuesta desarrollada para el caso particular de Chile.
  • 15. APÉNDICE A REFERENCIAS BIBLIOGRÁFICAS23 1. AGUDELO A. Auditoria de Sistema en el Centro de Computo de la Universidad Nacional sede Maizales. Facultad de Ciencias y Administración. Colombia, 1996 http://www.bdigital.unal.edu.co/41018/1/alfonsopioagudelosalazar.1996.pdf 2. BURGOS J. y CAMPOS P. Modelos para Seguridad de la Información en TIC. Universidad del Bío-Bío, Chile, 2008. http://ceur-ws.org/Vol-488/paper13.pdf 3. FERRER, José. Centro de Procesamiento de Datos: El Cerebro del Nuestra Sociedad. España, 2009. http://www.academiadelanzarote.es/Discursos/Discurso%2034.pdf 4. HERNANDO, S. Blog Seguridad de la Información, Análisis Forense y Auditoría de Sistemas. Auditoría de Centros de Procesamientos de Datos. 18 diciembre 2011. http://www.sahw.com/wp/archivos/2011/12/18/auditoria-de-centros-de-procesamiento- de-datos-parte-1-seguridad-fisica/ 5. NARANJO, A. Conceptos de la Auditoría de Sistemas. Facultad Filosofía- Especialidad Informática Guayaquil-Ecuador. https://es.scribd.com/document/19233522/ERP-CRM-SAP-Monografia-Conceptos-de- Auditoria-en-Sistemas-1 6. Norma Internacional ISO 19011 Directrices para la auditoría de Sistemas de Gestión. Segunda edición. 2011. http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf 7. Normas Internacionales de Auditoría. Material de Apoyo - uditool. https://www.ccpdistritocapital.org.ve/uploads/descargas/fddcb2ae5541d5f49e87158a6b3 9a1ae4571a152.pdf 8. PENAGOS, E. Módulo de Gestión de Auditoría Soportado en TIC para la Gestión de comunicaciones, seguimiento y revisión del SGSI. Universidad Tecnológica de Pereira, Colombia 2013. http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/4191/0058P397_Anexo.pdf ?sequence=2 9. Wikipedia La enciclopedia Libre. Centro de Procesamiento de Datos. 2017 https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos Otros Enlances  Information Technology Infrastructure Liberary (ITIL) https://www.axelos.com/best- practice-solutions/itil  Norma Internacional ISO27000 WWW.ISO27000.ES  Control Objectives for Information and related Technology (COBIT) http://www.isaca.org/spanish/Pages/default.aspx  Committee of Sponsoring Organizations of the Treadway Commission (COSO) https://www.coso.org/Pages/default.aspx 23 Todas las Referencias Bibliográficas de Internet fueron consultadas hasta la fecha 23MAR2017.
  • 16. APÉNDICE B GLOSARIO DE TÉRMINOS Y DEFINICIONES Auditoría de Centros de Procesamiento (CPD) un proceso de revisión y evaluación de los sistemas de información, tecnológicos, de procedimientos, interfaz y estructura física. Centro de Procesamiento de Datos (Data Center) Es el conjunto de recursos físico, lógicos, y humanos necesarios para la organización, realización y control de las actividades informáticas de una empresa. COBITControl Objectives for Information and related Technology (Objetivos de Control para Información y Tecnologías Relacionadas). Controles el ciclo que sigue la información desde la entrada hasta la salida de la información. CPD Centro de Procesamiento de Datos. Gestión energética Se define como un estudio integro que analiza la situación actual del consumo energético e implanta sistemas de control de la energía. ISO International Organization for Standardization (Organización Internacional de Normalización). ITIL Information Technology Infrastructure Liberary (Biblioteca de Infraestructura de Tecnologías de Información). LEY SOX Sarbanes-Oxley Act of 2002 o Ley Sarbanes-Oxley, (Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista.) Políticas de seguridad Conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática. Seguridad Física Se entiende como todos los mecanismos aplicados de manera preventiva y de detección destinados a proteger físicamente (hardware) cualquier recurso del sistema. Seguridad Lógica Se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.
  • 17. APÉNDICE C ANEXOS Anexo 1 Mapa de Contenido Diseño: Las Autores
  • 18. Anexo 2 Collage de Fotos del Diseño de un CPD Diseño: Las Autores. Fuente fotográfica: Ferrer, J.
  • 19. Anexo 3 Fases de una Auditoría Diseño: Las Autores. Fuente: Manual de Normas y Procedimientos en materia de Auditoría de Estado. Contraloría General de la República Bolivariana de Venezuela. 2015
  • 20. Anexo 4 ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión Tomado de: Norma ISO 19011:2011 Directrices para la Auditoría de los Sistemas de Gestión p.15 http://www.umc.edu.ve/pdf/calidad/normasISO/Norma_ISO_19011-2011_Espanol.pdf