SlideShare una empresa de Scribd logo

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

Descargar como PPTX, PDF
Carlos Escobar
Carlos Escobar

Auditoría de sistemas.Controles a nivel de entidad y seguridad física.

Tecnología
1 de 28
AUDITORÍA DE SISTEMAS Controles a nivel de entidad Centros de datos y recuperación Isis Lay 12003204 Carlos Escobar 12003202 Auditoría de Sistemas Postgrado en Sistemas de Información
Índice • Introducción • Control Interno • Controles a nivel de entidad • Centros de datos y recuperación • Infraestructura de Sistemas • Acceso Físico • Controles Ambientales • Operaciones • Conclusiones • Recomendaciones • Bibliografía Auditoría de Sistemas Postgrado en Sistemas de Información
Introducción • El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades. • Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques. • Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT. • El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía. • Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
AUDITORÍA DE SISTEMAS Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Control Interno: Qué? Para qué? En qué nivel? CONTROL INTERNO Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal. Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Eficacia y eficiencia de las operaciones. Confiabilidad de la Información Financiera. Cumplimiento de las Leyes y normas establecidas. Eficacia Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Características: Es un proceso. Lo llevan a cabo las personas. Facilita la consecución de objetivos. Sólo puede aportar un grado razonable de seguridad. Auditoría de Sistemas Postgrado en Sistemas de Información
Control interno • Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI. • Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá. Auditoría de Sistemas Postgrado en Sistemas de Información
• Integridad y valores éticos. • Estructura organizativa. • Política de Recursos Humanos. • Manuales, procedimientos y disposiciones legales y reglamentarias. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
• Objetivos de la Entidad. • Identificación y evaluación de riesgos. • Seguimiento y control de riesgos. • Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. • Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
• Coordinación entre las áreas y documentación. • Niveles definidos de autorización y separación de tareas. • Rotación del personal en las tareas claves. • Indicadores del desempeño. • Control de las tecnologías de la información. • Acceso restringido a los recursos, activos y registros. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
Controles a nivel de entidad • Checklist Maestro Auditoría de Sistemas Postgrado en Sistemas de Información
AUDITORÍA DE SISTEMAS Centros de datos y recuperación Auditoría de Sistemas Postgrado en Sistemas de Información
Infraestructura de sistemas Procesos del negocio Aplicaciones Bases de datos Sistemas Operativos Redes Centro de datos Gestión de riesgos y controles Auditoría de Sistemas Postgrado en Sistemas de Información
Amenazas • Naturales • Clima • Inundaciones • Terremotos • Incendios • Causadas por el hombre • Terrorismo • Disturbios • Robo • Sabotaje • Peligros ambientales • Altas temperaturas • Exceso de humedad • Interrupción de servicios • Energía eléctrica • Telecomunicaciones Auditoría de Sistemas Postgrado en Sistemas de Información
Controles del Centro de Datos Cumplimiento de estándares Acceso físico Controles ambientales Operaciones del centro de datos Energía ininterrumpida y alta disponibilidad Respaldos y recuperación ante desastres Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico • Ubicación de servidores, routers y UPS • Puertas, ventanas, paredes, techo y piso • Mecanismos de autenticación – Biométricos – Ingreso de password, código de seguridad o PIN – Tarjetas de proximidad – Chapas y llaves • Alarmas y sistemas de vigilancia – Infrarrojos, de audio y de apertura de puertas – Circuito cerrado de Televisión (CCTV) • Bitácoras de entradas al Centro de Datos Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía. • Divulgación o fuga de información crítica o sensible para la compañía Objetivo de los controles: • Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
Controles ambientales • Temperatura constante aire acondicionado • Detectores y alarmas de – Temperatura – Calor, humo y fuego – Agua y humedad • Paredes, puertas y piso anti incendios • Sistemas de supresión automática de incendios • Extinguidores • Manejo de materiales inflamables Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles: • Evitar daño físico a los servidores y otro hardware por incendios e inundaciones Auditoría de Sistemas Postgrado en Sistemas de Información
Controles ambientales Auditoría de Sistemas Postgrado en Sistemas de Información
Operaciones del Centro de Datos • Monitoreo de alarmas e indicadores • Monitoreo de redes, BD, SO y aplicaciones • Roles y responsabilidades del personal • Adecuada segregación de funciones • Procedimientos de respuesta • Mantenimiento del equipo centro de datos • Personal competente y entrenado • Gestión de la capacidad • Gestión de activos del centro de datos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Energía ininterrumpida y alta disponibilidad • Fuentes de poder redundantes • Conexiones a tierra • Supresión de picos de voltaje • Sistema de alimentación ininterrumpida (UPS) • Generadores y plantas eléctricas • Verificación del cableado • Redundancia del hardware • Redundancia de las comunicaciones Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Respaldos y recuperación ante desastres • Respaldos periódicos de la información • Pruebas de recuperación de Backups • Almacenamiento adecuado en sitio y fuera de sitio • Gestión de la continuidad del negocio (BCM) • Plan de recuperación ante desastres (DRP) • Actualización y pruebas de los DRPs • Planes de contingencia ante diversos escenarios de desastres • Sitios alternos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores. Objetivo de los controles: • Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Estándares y normas • Uptime Institute Tier certification: Alta disponibilidad • TIA-943 : Infraestructura de telecomunicaciones • ISO/IEC 24764: Diseño del centro de datos • BICSI-002: Diseño de centro de datos • ICREA Std-131-2011: Construcción de centros de datos • ISO/IEC 11801: cableado estructurado Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Asegurar la continuidad y disponibilidad de los servicios de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
Conclusiones • El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos. • Es responsabilidad de la administración y todos los niveles. • Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos. • Los riesgos no existen sólo a nivel del software. • Existe muchos riesgos físicos y para mitigarlos existe una variedad de dispositivos, controles y marcos metodológicos. Auditoría de Sistemas Postgrado en Sistemas de Información
Recomendaciones • Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza. • Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad. • El monitoreo de actividades críticas es fundamental. • En caso de identificar problemas en los controles, se deben tomar acciones concisas. • Las soluciones deben ser permanentes y no superficiales. • Debe darse la adecuada importancia a la seguridad física y resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes. Auditoría de Sistemas Postgrado en Sistemas de Información
Bibliografía • IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw- Hill, 2nd Edition, 2011. • http://elpais.com/diario/1991/08/01/economia/680997619 _850215.html • http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr% C3%A9dito_y_Comercio • http://www.gerencie.com/el-informe-coso.html • http://www.fasor.com.sv/whitepapers/whitepapers/Whitep apers%20del%202010/Seguridad_fisica_en_instalacion es_de_mision_critica.pdf Auditoría de Sistemas Postgrado en Sistemas de Información
Preguntas 1. ¿Qué entiende por control interno? 2. Mencione 1 de los componentes de COSO. 3. Indique 2 tipos de controles del centro de datos. 4. Explique en que consisten los controles de acceso físico. 5. Explique en que consisten los controles de operaciones del centro de datos. Auditoría de Sistemas Postgrado en Sistemas de Información

Recomendados

Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdfDemsshillCoutino
 
Identity Governance: Not Just For Compliance
Identity Governance: Not Just For ComplianceIdentity Governance: Not Just For Compliance
Identity Governance: Not Just For ComplianceIBM Security
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Marco teórico
Marco teóricoMarco teórico
Marco teóricoDeimer Segura Lopez
 
Diapositivas delito informatico
Diapositivas delito informaticoDiapositivas delito informatico
Diapositivas delito informaticoDach Porta
 

Recomendados

Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones webJuan Carlos Pérez Pardo
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdfDemsshillCoutino
 
Identity Governance: Not Just For Compliance
Identity Governance: Not Just For ComplianceIdentity Governance: Not Just For Compliance
Identity Governance: Not Just For ComplianceIBM Security
 
Panorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaPanorama actual de la ciberseguridad en España
Panorama actual de la ciberseguridad en EspañaThe Cocktail Analysis
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Marco teórico
Marco teóricoMarco teórico
Marco teóricoDeimer Segura Lopez
 
Diapositivas delito informatico
Diapositivas delito informaticoDiapositivas delito informatico
Diapositivas delito informaticoDach Porta
 
Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)Leidy Juliana
 
Conservación de documentos
Conservación de documentosConservación de documentos
Conservación de documentosdianarios26
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdfChristianAquino52
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacionCristian Bailey
 
Gestión documental presentacion
Gestión documental presentacionGestión documental presentacion
Gestión documental presentacionAndres Grisales
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019Ivanti
 
Etapas de un Programa de Gestión Documental
Etapas de un Programa de Gestión DocumentalEtapas de un Programa de Gestión Documental
Etapas de un Programa de Gestión DocumentalSandra Paola López Vargas
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
 
Tecnicas de archivo administrativos y judiciales
Tecnicas de archivo administrativos y judicialesTecnicas de archivo administrativos y judiciales
Tecnicas de archivo administrativos y judicialesSociedad Colombiana de Archivistas
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
IDS, IPS, IDPS
IDS, IPS, IDPSIDS, IPS, IDPS
IDS, IPS, IDPSMinhaz A V
 
Integrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source ToolsIntegrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source ToolsAll Things Open
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Identity & Access Governance
Identity & Access GovernanceIdentity & Access Governance
Identity & Access GovernanceHorst Walther
 
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICOPRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICOcaritol12345
 
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y CiberguerraJoel A. Gómez Treviño
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere零壹科技股份有限公司
 
Presentación - "Firma Digital y Sistemas de Información"
Presentación - "Firma Digital y Sistemas de Información"Presentación - "Firma Digital y Sistemas de Información"
Presentación - "Firma Digital y Sistemas de Información"Sisem Soluciones de Información S.A
 
F5 Networks: architecture and risk management
F5 Networks: architecture and risk managementF5 Networks: architecture and risk management
F5 Networks: architecture and risk managementAEC Networks
 
Ciclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosCiclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosErick Paul Lozada Peñarreta
 
Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsVictor Holman
 

Más contenido relacionado

La actualidad más candente

Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)Leidy Juliana
 
Conservación de documentos
Conservación de documentosConservación de documentos
Conservación de documentosdianarios26
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacionCristian Bailey
 
Gestión documental presentacion
Gestión documental presentacionGestión documental presentacion
Gestión documental presentacionAndres Grisales
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019Ivanti
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsLuis Fernando
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
IDS, IPS, IDPS
IDS, IPS, IDPSIDS, IPS, IDPS
IDS, IPS, IDPSMinhaz A V
 
Integrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source ToolsIntegrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source ToolsAll Things Open
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Identity & Access Governance
Identity & Access GovernanceIdentity & Access Governance
Identity & Access GovernanceHorst Walther
 
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICOPRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICOcaritol12345
 
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y CiberguerraJoel A. Gómez Treviño
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
F5 Networks: architecture and risk management
F5 Networks: architecture and risk managementF5 Networks: architecture and risk management
F5 Networks: architecture and risk managementAEC Networks
 

La actualidad más candente (20)

Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)Ensayo sobre la importancia de la administración del documento (1)
Ensayo sobre la importancia de la administración del documento (1)
 
Conservación de documentos
Conservación de documentosConservación de documentos
Conservación de documentos
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdf
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
 
Gestión documental presentacion
Gestión documental presentacionGestión documental presentacion
Gestión documental presentacion
 
Patch Management Best Practices 2019
Patch Management Best Practices 2019Patch Management Best Practices 2019
Patch Management Best Practices 2019
 
Etapas de un Programa de Gestión Documental
Etapas de un Programa de Gestión DocumentalEtapas de un Programa de Gestión Documental
Etapas de un Programa de Gestión Documental
 
Seguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web appsSeguridad 004 arquitecturas y tecnologías de web apps
Seguridad 004 arquitecturas y tecnologías de web apps
 
Tecnicas de archivo administrativos y judiciales
Tecnicas de archivo administrativos y judicialesTecnicas de archivo administrativos y judiciales
Tecnicas de archivo administrativos y judiciales
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
IDS, IPS, IDPS
IDS, IPS, IDPSIDS, IPS, IDPS
IDS, IPS, IDPS
 
Integrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source ToolsIntegrating Linux Systems with Active Directory Using Open Source Tools
Integrating Linux Systems with Active Directory Using Open Source Tools
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Identity & Access Governance
Identity & Access GovernanceIdentity & Access Governance
Identity & Access Governance
 
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICOPRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
PRIMER EJE TEMÁTICO: EL DOCUMENTO ELECTRÓNICO
 
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
(H)ac(k)tivismo, Ciberterrorismo y Ciberguerra
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere
 
Presentación - "Firma Digital y Sistemas de Información"
Presentación - "Firma Digital y Sistemas de Información"Presentación - "Firma Digital y Sistemas de Información"
Presentación - "Firma Digital y Sistemas de Información"
 
F5 Networks: architecture and risk management
F5 Networks: architecture and risk managementF5 Networks: architecture and risk management
F5 Networks: architecture and risk management
 

Destacado

Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsVictor Holman
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Tendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilTendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilCarlos Escobar
 
Seguridad fã­sica pa
Seguridad fã­sica paSeguridad fã­sica pa
Seguridad fã­sica paLoveBEP
 
Iso27002es
Iso27002esIso27002es
Iso27002esaglone
 
Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)vverdu
 
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Simone Silva, MS, MBA
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosMel Maldonado
 
Inteligencia de Negocios
Inteligencia de NegociosInteligencia de Negocios
Inteligencia de NegociosCIMA IT
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointMeinzul ND
 

Destacado (20)

Ciclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negociosCiclo de vida de la inteligencia de negocios
Ciclo de vida de la inteligencia de negocios
 
Developing and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and DashboardsDeveloping and Implementing Scorecards and Dashboards
Developing and Implementing Scorecards and Dashboards
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Riesgos de auditoría
Riesgos de auditoríaRiesgos de auditoría
Riesgos de auditoría
 
Tendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvilTendencias en la integración de sistemas y desafíos en la integración móvil
Tendencias en la integración de sistemas y desafíos en la integración móvil
 
Seguridad fã­sica pa
Seguridad fã­sica paSeguridad fã­sica pa
Seguridad fã­sica pa
 
Presentación dpto seguridad
Presentación dpto seguridadPresentación dpto seguridad
Presentación dpto seguridad
 
Iso27002es
Iso27002esIso27002es
Iso27002es
 
Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)Unidad 2 - Seguridad Pasiva (old)
Unidad 2 - Seguridad Pasiva (old)
 
Fundamentos de BI
Fundamentos de BIFundamentos de BI
Fundamentos de BI
 
fundamentos de inteligencia de negocios
fundamentos de inteligencia de negociosfundamentos de inteligencia de negocios
fundamentos de inteligencia de negocios
 
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
Manage Supplier Risk - Drive Superior Supplier Quality Outcomes (CEB Webinar)
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negocios
 
Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemas
 
Inteligencia de Negocios
Inteligencia de NegociosInteligencia de Negocios
Inteligencia de Negocios
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
 
COSO Y COSO ERM
COSO Y COSO ERMCOSO Y COSO ERM
COSO Y COSO ERM
 
Que es El analisis FODA
Que es El analisis FODAQue es El analisis FODA
Que es El analisis FODA
 

Similar a Auditoría de sistemas. Controles a nivel de entidad y seguridad física

E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionjhonsu1989
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxGerenciaEfran
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...AmirCalles1
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel CONTROL
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
Auditoria informática copia
Auditoria informática copiaAuditoria informática copia
Auditoria informática copiaLoly Morante
 
Monitoreo de una red
Monitoreo de una redMonitoreo de una red
Monitoreo de una redDylan Real G
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptrogergrefa1
 

Similar a Auditoría de sistemas. Controles a nivel de entidad y seguridad física (20)

E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Auditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptxAuditoria de redes, herramientas CASE .pptx
Auditoria de redes, herramientas CASE .pptx
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
Guia-practica-para-la-informatizacion-de-procesos-en-entornos-regulados-Oqote...
 
Sistel Control Profile [ES]
Sistel Control Profile [ES]Sistel Control Profile [ES]
Sistel Control Profile [ES]
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Monitoreo de Red
Monitoreo de RedMonitoreo de Red
Monitoreo de Red
 
Auditoria CDP
Auditoria CDPAuditoria CDP
Auditoria CDP
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Auditoria informática copia
Auditoria informática copiaAuditoria informática copia
Auditoria informática copia
 
Monitoreo de una red
Monitoreo de una redMonitoreo de una red
Monitoreo de una red
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Clase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.pptClase 2 - Construccion de los SI.ppt
Clase 2 - Construccion de los SI.ppt
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
Anchali2
Anchali2Anchali2
Anchali2
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Último (16)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

Auditoría de sistemas. Controles a nivel de entidad y seguridad física

  • 1. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Centros de datos y recuperación Isis Lay 12003204 Carlos Escobar 12003202 Auditoría de Sistemas Postgrado en Sistemas de Información
  • 2. Índice • Introducción • Control Interno • Controles a nivel de entidad • Centros de datos y recuperación • Infraestructura de Sistemas • Acceso Físico • Controles Ambientales • Operaciones • Conclusiones • Recomendaciones • Bibliografía Auditoría de Sistemas Postgrado en Sistemas de Información
  • 3. Introducción • El sistema de control interno tiene como propósito fundamental lograr la eficiencia, eficacia y transparencia en el ejercicio de las funciones de las entidades. • Una adecuada implementación de control interno permite a la administración minimizar el riesgo desde diferentes enfoques. • Los controles a nivel de entidad son a alto nivel, de los cuales surgen una serie de controles administrativos como los son controles de aplicación, controles generales de IT. • El resguardo y protección de los servidores es muy importante ya que en ellos residen los sistemas e información críticos para las operaciones de la compañía. • Es por ello que el marco de gestión de riesgos contempla la seguridad física y los controles ambientales del Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 4. AUDITORÍA DE SISTEMAS Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 5. Control interno • Control Interno: Qué? Para qué? En qué nivel? CONTROL INTERNO Proceso efectuado por la Dirección, por la alta Gerencia y el resto del personal. Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos. Eficacia y eficiencia de las operaciones. Confiabilidad de la Información Financiera. Cumplimiento de las Leyes y normas establecidas. Eficacia Auditoría de Sistemas Postgrado en Sistemas de Información
  • 6. Control interno • Características: Es un proceso. Lo llevan a cabo las personas. Facilita la consecución de objetivos. Sólo puede aportar un grado razonable de seguridad. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 7. Control interno • Orígenes: El modelo de control COSO (Committee of Sponsoring Organizations of the Treadway Commission) surgió como una respuesta de la profesión contable al escándalo del BCCI. • Banco Internacional de Crédito y Comercio cuyas siglas son BCCI, fue uno de los principales bancos internacionales de la década de 1970 y 1980. El BCCI se dio a conocer mundialmente por sufrir una estrepitosa quiebra en 1991. Se le asoció a diversas actividades delictivas, en particular al blanqueo de dinero procedente de los carteles colombianos de la droga y del General Noriega en Panamá. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 8. • Integridad y valores éticos. • Estructura organizativa. • Política de Recursos Humanos. • Manuales, procedimientos y disposiciones legales y reglamentarias. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 9. • Objetivos de la Entidad. • Identificación y evaluación de riesgos. • Seguimiento y control de riesgos. • Es un proceso llevado a cabo para verificar la calidad de desempeño del control interno a través del tiempo. • Los sistemas de información deben identificar, recopilar y comunicar información pertinente en tiempo y forma tal que permitan cumplir a cada empleado con sus responsabilidades. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 10. • Coordinación entre las áreas y documentación. • Niveles definidos de autorización y separación de tareas. • Rotación del personal en las tareas claves. • Indicadores del desempeño. • Control de las tecnologías de la información. • Acceso restringido a los recursos, activos y registros. Controles a nivel de entidad Auditoría de Sistemas Postgrado en Sistemas de Información
  • 11. Controles a nivel de entidad • Checklist Maestro Auditoría de Sistemas Postgrado en Sistemas de Información
  • 12. AUDITORÍA DE SISTEMAS Centros de datos y recuperación Auditoría de Sistemas Postgrado en Sistemas de Información
  • 13. Infraestructura de sistemas Procesos del negocio Aplicaciones Bases de datos Sistemas Operativos Redes Centro de datos Gestión de riesgos y controles Auditoría de Sistemas Postgrado en Sistemas de Información
  • 14. Amenazas • Naturales • Clima • Inundaciones • Terremotos • Incendios • Causadas por el hombre • Terrorismo • Disturbios • Robo • Sabotaje • Peligros ambientales • Altas temperaturas • Exceso de humedad • Interrupción de servicios • Energía eléctrica • Telecomunicaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  • 15. Controles del Centro de Datos Cumplimiento de estándares Acceso físico Controles ambientales Operaciones del centro de datos Energía ininterrumpida y alta disponibilidad Respaldos y recuperación ante desastres Auditoría de Sistemas Postgrado en Sistemas de Información
  • 16. Acceso físico • Ubicación de servidores, routers y UPS • Puertas, ventanas, paredes, techo y piso • Mecanismos de autenticación – Biométricos – Ingreso de password, código de seguridad o PIN – Tarjetas de proximidad – Chapas y llaves • Alarmas y sistemas de vigilancia – Infrarrojos, de audio y de apertura de puertas – Circuito cerrado de Televisión (CCTV) • Bitácoras de entradas al Centro de Datos Riesgos: • Acceso no autorizado a extraer información crítica o sensible de la compañía. • Divulgación o fuga de información crítica o sensible para la compañía Objetivo de los controles: • Asegurar que únicamente el personal autorizado posea acceso al Centro de Datos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 17. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  • 18. Acceso físico Auditoría de Sistemas Postgrado en Sistemas de Información
  • 19. Controles ambientales • Temperatura constante aire acondicionado • Detectores y alarmas de – Temperatura – Calor, humo y fuego – Agua y humedad • Paredes, puertas y piso anti incendios • Sistemas de supresión automática de incendios • Extinguidores • Manejo de materiales inflamables Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores Objetivo de los controles: • Evitar daño físico a los servidores y otro hardware por incendios e inundaciones Auditoría de Sistemas Postgrado en Sistemas de Información
  • 20. Controles ambientales Auditoría de Sistemas Postgrado en Sistemas de Información
  • 21. Operaciones del Centro de Datos • Monitoreo de alarmas e indicadores • Monitoreo de redes, BD, SO y aplicaciones • Roles y responsabilidades del personal • Adecuada segregación de funciones • Procedimientos de respuesta • Mantenimiento del equipo centro de datos • Personal competente y entrenado • Gestión de la capacidad • Gestión de activos del centro de datos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 22. Energía ininterrumpida y alta disponibilidad • Fuentes de poder redundantes • Conexiones a tierra • Supresión de picos de voltaje • Sistema de alimentación ininterrumpida (UPS) • Generadores y plantas eléctricas • Verificación del cableado • Redundancia del hardware • Redundancia de las comunicaciones Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Garantizar la continuidad y disponibilidad de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 23. Respaldos y recuperación ante desastres • Respaldos periódicos de la información • Pruebas de recuperación de Backups • Almacenamiento adecuado en sitio y fuera de sitio • Gestión de la continuidad del negocio (BCM) • Plan de recuperación ante desastres (DRP) • Actualización y pruebas de los DRPs • Planes de contingencia ante diversos escenarios de desastres • Sitios alternos Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. • Pérdida parcial o total de la información almacenada en los servidores. Objetivo de los controles: • Reducir el tiempo de caída (downtime) de los servicios y operaciones de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 24. Estándares y normas • Uptime Institute Tier certification: Alta disponibilidad • TIA-943 : Infraestructura de telecomunicaciones • ISO/IEC 24764: Diseño del centro de datos • BICSI-002: Diseño de centro de datos • ICREA Std-131-2011: Construcción de centros de datos • ISO/IEC 11801: cableado estructurado Riesgos: • Interrupción temporal o permanente de los servicios y operaciones de los sistemas. Objetivo de los controles: • Asegurar la continuidad y disponibilidad de los servicios de los sistemas Auditoría de Sistemas Postgrado en Sistemas de Información
  • 25. Conclusiones • El control interno es el recurso que aplican las organizaciones para asegurar de forma razonable el cumplimiento de sus metas y objetivos. • Es responsabilidad de la administración y todos los niveles. • Una adecuada implementación del control interno, previene riesgos que pueden impedir el logro de metas y objetivos. • Los riesgos no existen sólo a nivel del software. • Existe muchos riesgos físicos y para mitigarlos existe una variedad de dispositivos, controles y marcos metodológicos. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 26. Recomendaciones • Cada entidad debe elaborar su propio código de ética de acuerdo con su naturaleza. • Se debe discutir sobre temas éticos con todos los funcionarios. Si se requiere alguna guía adicional, será necesaria la elaboración de otros lineamientos de conducta que sean de fácil comprensión, los que serán distribuidos luego entre todo el personal de la entidad. • El monitoreo de actividades críticas es fundamental. • En caso de identificar problemas en los controles, se deben tomar acciones concisas. • Las soluciones deben ser permanentes y no superficiales. • Debe darse la adecuada importancia a la seguridad física y resguardo del hardware, realizando una adecuada evaluación de riesgos físicos e implementando los controles pertinentes. Auditoría de Sistemas Postgrado en Sistemas de Información
  • 27. Bibliografía • IT-Auditing: Using Controls to Protect Information Assets Chris Davis, Mike Schiller with Kevin Wheeler, McGraw- Hill, 2nd Edition, 2011. • http://elpais.com/diario/1991/08/01/economia/680997619 _850215.html • http://es.wikipedia.org/wiki/Banco_Internacional_de_Cr% C3%A9dito_y_Comercio • http://www.gerencie.com/el-informe-coso.html • http://www.fasor.com.sv/whitepapers/whitepapers/Whitep apers%20del%202010/Seguridad_fisica_en_instalacion es_de_mision_critica.pdf Auditoría de Sistemas Postgrado en Sistemas de Información
  • 28. Preguntas 1. ¿Qué entiende por control interno? 2. Mencione 1 de los componentes de COSO. 3. Indique 2 tipos de controles del centro de datos. 4. Explique en que consisten los controles de acceso físico. 5. Explique en que consisten los controles de operaciones del centro de datos. Auditoría de Sistemas Postgrado en Sistemas de Información

Notas del editor

  1. Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO): Es una organización privada, establecida en los Estados Unidos, dedicada a proporcionar orientación para la gestión ejecutiva y el gobierno de las empresas en aspectos críticos de gobierno corporativo, ética empresarial, control interno, gestión de riesgo empresarial (ERM), fraude e información financiera. COSO ha establecido un modelo común de control interno que las entidades y compañías pueden emplear para evaluar y contrastar sus propios sistemas de control interno. La National Commission on Fraudulent Financial Reporting es conocida como “comisión Treadway” porque es el apellido de uno de sus creadores y su primer presidente: James C. Treadway.
  2. Un centro de datos es una instalación que está diseñado para albergar los sistemas críticos de una organización, que comprenden hardware, sistemas operativos y aplicaciones. Las aplicaciones se aprovechan para apoyar los procesos de negocio específicos, como el cumplimiento de pedidos, gestión de relaciones con clientes (CRM) y la contabilidad. Los centros de datos de hoy en día proporcionan la infraestructura física de control de acceso, controles ambientales, el poder y la conectividad de red, sistemas de extinción de incendios y sistemas de alarma. Esta infraestructura de centro de datos está diseñado para mantener un entorno informático óptimo constante.
  3. El papel del auditor es verificar y validar que todos los sistemas y procedimientos necesarios están presentes y funcionando correctamente para proteger la confidencialidad, integridad y disponibilidad de los sistemas y los datos de la empresa.
  4. Paredes techo y piso reforzados con acero. Puertas y ventanas externas resistentes. Guardias de seguridad
  5. Los sistemas biométricos son los mas confiables y costosas de las tres. Las llaves de metal son las más débiles y deben ser evitadas, no permiten saber quién entró al Data Center.
  6. Temperatura: de 18 a 21 grados centígrados. Humedad: entre 45% y 55% El fuego se detiene en las paredes y puertas resistentes o piso sellados para evitar su propagación. Sistemas de mangueras contra incendios de tuberías verticales para proporcionar un suministro de agua para la extinción de incendios. Ubicación, mantenimiento y tipo de los extinguidores. Material inflamable se almacena lejos del centro de datos, en ubicaciones adecuadas.
  7. Mantenimiento y pruebas periódicos de los sistemas de energía redundantes, UPS, generadores y plantas eléctricas. Suficiente combustible para los generadores y plantas.
  8. Roles, responsabilidades y comunicaciones claramente definidos en DRPs Procedimientos de salvamento, recuperación y reconstrucción Recovery time objective (RTO) y Recovery Point Objective (RPO)