Académique Documents
Professionnel Documents
Culture Documents
TABLA DE CONTENIDO
PAG.
2.2.6. Qu es necesario tener en un datacenter? ................................................ 18 2.3 OBSERVACIONES ................................................................................................... 18 2.4 PROGRAMA DE AUDITORIA ................................................................................. 19 a. Investigacin Preliminar.......................................................................................... 19 b. Identificacin y Agrupacin de Riesgos ............................................................... 19 c. Evaluacin de la Seguridad en la empresa objeto de la Auditora................... 19 d. Diseo de Pruebas de Auditora ........................................................................... 19 e. Ejecutar Pruebas de Auditora ............................................................................... 21 f. Elaboracin de Informe de Auditora ..................................................................... 21 g. Seguimiento. ............................................................................................................. 22
entidad durante y despus de una interrupcin a los procesos crticos del negocio. Un Plan de Continuidad del Negocio o BCP debe considerar todas las reas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mnimos requeridos para continuar con la operacin del negocio. El contar con un plan de esta naturaleza significa que la organizacin est preparada adecuadamente para cualquier eventualidad, continuando con su operacin e impactando lo menos posible la salud financiera de la empresa. Las primeras 72 horas despus de la interrupcin, son vitales para saber si el negocio soportar o morir debido a la contingencia que se presenta. Morir, no ser un acto inmediato, sino que puede ser un proceso irreversible y lento porque no se tuvieron las respuestas inmediatas para adaptarse al entorno que se presenta. Un BCP contempla la continuidad de los procesos y servicios crticos del negocio y se integra bajo las dimensiones de organizacin (recursos humanos, materiales y lneas de mando), operaciones (polticas y procedimientos), Tecnologas de Informacin e instalaciones, analizados bajo el marco de referencia de la continuidad. Las caractersticas que debe tener un BCP son: Claridad Ser de fcil entendimiento Concreto
El BCP es para toda la organizacin, y no debe descansar slo en el nivel directivo, ya que quien opera es el grupo que debe estar ms inmerso en el entendimiento y aplicacin del mismo. Bajo esta premisa, el capital humano tiene un peso relevante, ya que es el responsable de su aplicacin y operacin, por lo que debe existir un adecuado proceso de capacitacin. 1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio En la figura siguiente, se observa una versin completa de los diferentes tipos de planes, relacionados con la atencin de emergencias, y que se interrelacionan con un Plan de Continuidad del Negocio (BCP, DRP).
Se desprende la conveniencia de que un Plan de Continuidad del Negocio se complemente con otros planes que ayudan a su efectividad. Sin embargo, debido a la carencia de definiciones estndar para estos tipos de planes, en algunos casos, el alcance de los mismos puede variar entre las diferentes organizaciones. Estos planes son: 1. Plan de comunicacin de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los dems planes para asegurar que slo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al pblico. 2. Planes de evacuacin por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalacin o facilidad en el evento en que una situacin se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podran incluir fuego, terremoto, huracn, ataque criminal o una emergencia mdica.
3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las funciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, la fbrica, el almacn de ventas) en una sede alterna y realizar aquellas funciones por un perodo mximo de 30 das antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y ejecutado independientemente del BCP. Interrupciones menores que no requieren reubicacin en una sede alterna tpicamente no son cubiertas en un COOP. 4. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnologa Informtica (TI) de una entidad. Estos procedimientos son diseados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cmputo maliciosos tales como: Acceso no autorizado a un sistema o dato, Negacin de servicio, Cambios no autorizados a HW, SW o datos. 5. Planes de contingencia de TI: orientado a ofrecer un mtodo alterno para sistemas de soporte general y para aplicaciones importantes Debido a que un Plan de contingencia de TI debe ser desarrollado por sistema de soporte general y por cada aplicacin importante, existirn mltiples planes de contingencia. 6. Plan de recuperacin de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastrficos que niegan el acceso a la facilidad normal por un perodo extendido. Frecuentemente, el DRP se refiere a un plan enfocado en TI diseado para restaurar la operabilidad del sistema, aplicacin o facilidad de cmputo objetivo en un sitio alterno despus de una emergencia. El alcance de un DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el DRP es ms amplio en alcance y no cubre interrupciones menores que no requieren reubicacin. 7. Plan de recuperacin del negocio: Permite restaurar un proceso de negocio despus de una emergencia, pero al contrario del BCP, carece de procedimientos para asegurar la continuidad de procesos crticos durante una emergencia o interrupcin. Productos que componen el Plan de Continuidad (BCP, DRP) El Plan de Continuidad del Negocio incluye los siguientes productos: 1. 2. 3. 4. 5. 6. Impacto de Anlisis del Negocio. Evaluacin o Valoracin de Riesgos. Estrategias de Continuidad. Roles, responsabilidades y procedimientos. Procesos y Procedimientos de Continuidad. Plan de Pruebas del Plan de Continuidad.
1.3 OBSERVACIONES
En caso, de que su empresa no cuente con un Plan de Continuidad de Negocios, nuestra recomendacin es reflexionar sobre los 4 aspectos mnimos que apoyen la implantacin de un plan contingente hasta que pase la crisis: 1. Crear un Comit de Crisis Este Comit deber estar integrado por los principales ejecutivos de la empresa que representen el 100% de la operacin. Este rgano ser el nico que tomar decisiones mientras dure la crisis y ser el responsable de construir un plan para atacar la contingencia. 2. Crear un vnculo de comunicacin permanente con la organizacin El Comit de Crisis deber de contar con un vnculo de comunicacin entre ste y todos los miembros de la organizacin. Se deber crear un Plan de Comunicacin bien estructurado, permanente y continuo para mantener a la organizacin y sus colaboradores bien informados. 3. Desde el punto de vista de operaciones: Identificar los procesos/actividades del negocio vitales en la operacin y su interrelacin con los procesos totales del negocio. Definicin de prioridades y marcos de referencia en el tiempo. Definicin de alternativas para la continuidad de servicios crticos. Descripcin de plan de recuperacin para los escenarios de interrupcin ms comunes. Minimizar la toma de decisiones durante la crisis. 4. Desde el punto de vista de requerimientos: Seleccionar y definir equipos de trabajo con personal comprometido y experiencia funcional. Definir recursos mnimos requeridos para mantener la operacin y comunicacin de toda la organizacin, como pueden ser: lap tops, enlace a Internet, VPN, telfonos celulares, concentracin de grupos crticos, etc. Definir requerimientos de recuperacin de los procesos considerados no crticos, para estabilizar la operacin. Definir esquemas de reporte y seguimiento diario a la operacin mediante los grupos focales, definidos en etapas anteriores.
3. 4. 5. 6. 7.
Evaluacin de la Seguridad en la empresa objeto de la Auditora Diseo de Pruebas de Auditora Ejecutar Pruebas de Auditora Elaboracin de Informe de Auditora Seguimiento.
1. Investigacin preliminar
En esta etapa se determinar si la empresa cuenta con un Plan de Continuidad del Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisin general y una visita a la empresa, para definir los pasos a seguir. Se conocer de manera global los planes que conforman el Plan de Continuidad del Negocio y que tan completo estn con el fin de definir a que se le har Auditoria e identificar los elementos que apoyan dichos planes. Consideraciones Conocimiento global de la empresa en cuanto a: Planes de mitigacin de Riegos, rea de sistemas, Estructura organizacional y personal. Conocimiento global de los sistemas, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administracin. a. Conocimiento de los planes existentes en la empresa: Recopilacin de informacin referente a los riesgos y estrategias que se definen en cada plan con el fin de identificar el nivel de preparacin en el cual se encuentra la organizacin referente a situaciones que puedan provocar el paro de sus operaciones. Para esto se debe solicitar: Plan de mitigacin de Riesgos. Plan de Recuperacin de Desastres Plan de Continuidad de Operaciones Plan de comunicacin de crisis Plan de contingencia de TI Plan de recuperacin del Negocio
b. Importancia de los planes de contingencia de riesgos para garantizar la continuidad de las operaciones de la empresa. c. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigacin preliminar son: Entrevistas previas con el cliente.
Revisin de las instalaciones donde se realizara la auditoria. Investigacin de los funcionarios que analizaron y elaboraron el plan de continuidad del negocio Revisin de documentacin proporcionada por la empresa. Estudio y evaluacin del sistema de control interno.
AudiTextiles Catheryne Patio Cardona Astrid Vannessa Castro Cortes Guia de Auditoria Encuesta
No.
Observacin
un
plan
de
El administrador y coordinador del plan es responsable en mantiene dicho plan al da? Existe un equipo para la recuperacin de desastres que reaccionen a una emergencia en medidas de accin inmediatas? Dnde est el sitio de instalacin de copia de seguridad? El plan indica claramente las prioridades para la restauracin de los sistemas de la empresa, basados en el riesgo para el negocio en particular? Tienen su empleados en la empresa una copia del plan de la organizacin de recuperacin de desastres? Se tiene en la empresa una copia actual del organigrama? Se realiza dentro de la empresa una lista de inventario de todos los activos que se
poseen en la empresa? Se tienen acuerdos relativos a la seguridad en el uso de las instalaciones de la empresa?
No. 1 2
PREGUNTAS ABIERTAS Pregunta Si existe un plan, cuando fue la ltima vez que se actualizo? Indique cuales son los procedimientos para la actualizacin del Plan de Continuidad del Negocio? Quien es el encargado en su empresa de la administracin o la coordinacin del plan? Donde se encuentra almacenado el plan de recuperacin de desastres en su empresa? Donde esta la lista almacenada de los contactos del equipo de recuperacin de desastres? Qu sistemas crticos estn cubiertos por el plan?
Respuesta
efectivo en caso de su ejecucin y si se puede decir que se han alineado las Tecnologas de la informacin con los objetivos del negocio.
7. Seguimiento.
Se verificar que los objetivos del BCP de la empresa se estn cumpliendo y que estos contribuyen a minimizar la prdida financiera de la compaa, y que se garantiza la calidad del servicio a los clientes. As mismo se evaluar que la organizacin este bien preparada adecuadamente Y que toda la organizacin tiene conocimiento de las operaciones y de todos y cada uno de quienes participan en cada proceso crtico para cualquier eventualidad, continuando con su operacin e impactando lo menos posible la salud financiera de la empresa.
1.5. CONCLUSIONES
En el entorno actual, en materia de costos es ms efectivo prevenir que recuperar. Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y generar mejores resultados. Los beneficios de actuar bajo un plan son: Anlisis claro y preciso, y conocimiento consistente y continuo sobre la situacin del negocio y la efectividad de la estrategia de continuidad definida. Evaluacin tcnica de riesgos asociados a la continuidad y evaluacin de alternativas y estrategias de minimizacin de riesgos. Mapeo crtico de los recursos mnimos requeridos en la continuidad de los procesos del negocio. Control del impacto financiero y operacional, causado por la interrupcin de la operacin natural del negocio Anlisis y reduccin del nivel de riesgo al cual se encuentra expuesta la entidad. Decisiones rpidas y acertadas para subsanar posibles riesgos inherentes a la situacin y esquema de operacin en el que se encuentra el negocio Desarrollo de cultura y personal mejor capacitado y sensibilizado en la importancia de la continuidad en la entidad.
2. DATA CENTER
2.1 INTRODUCCIN.
El trmino de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluacin cuyo nico fin es detectar errores y sealar fallas. El concepto de auditora es mucho ms amplio. Es un anlisis crtico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc. Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados de forma tal de obtener un modelo de referencia a implementar. La auditoria en un Data Center tiene el objetivo de mejorar el rendimiento operacional y la calidad de la energa, dicha auditoria debe estar orientada a generar valor a sus clientes a travs de un minucioso estudio en sistemas elctricos y de climatizacin, identificando deficiencias y oportunidades de mejora y ahorro. El centro de datos es considerado un generador de mucho valor para la compaa pero por su actividad crtica, es tambin generador de mucho gasto e inversin tanto a nivel de capital como de gastos operativos. En este sentido, es muy importante que su diseo y crecimiento est dirigido a buenas prcticas que optimicen su funcionamiento y que aplique las polticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organizacin.
El concepto de virtualizacin est ntimamente ligado a los Data Center; virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas de informacin, reduciendo el nmero de mquinas fsicas y consiguiendo optimizar los recursos que se necesitan para la administracin, gestin y mantenimiento de las mismas. Los nuevos Data Center estn cambiando la percepcin que se tiene de las infraestructuras de proceso, almacenamiento y transmisin de la informacin, lo que est llevando a que hoy en da tanto las capacidades de procesamiento, como las de almacenamiento y de comunicaciones, se consideren un servicio y como tal se vendan. Lo que verdaderamente importa es disponer de una infraestructura tecnolgica que permita que los servicios de TI estn alineados con el negocio y aporten valor al mismo. La auditoria en Data Center consta de un detallado anlisis de la composicin, uso y desempeo del centro de datos, que implica el despliegue de destacados profesionales y personal tcnico especializado en una labor de campo para el levantamiento de informacin sobre la instalacin elctrica y de climatizacin, la evaluacin de puntos crticos y puntos de fallas, la identificacin de oportunidades, el diagnstico y el rediseo, a fin de reducir significativamente los gastos operativos por parte de los usuarios, acercando el Data Center a un modelo ptimo, capaz de soportar nuevas implementaciones y preparado para continuar con su crecimiento. 2.2.1. Auditoria Seguridad de Centro de Cmputos (Data Centers) basados en las normas NFPA75, TIA 942. La auditoria de Seguridad de Centro de Cmputos (Data Centers) est basada en las normas NFPA75 y TIA 942. El propsito del estndar TIA 942 es proveer los requerimientos y las guas para el diseo e instalacin de Centros de Cmputo (Data Centers). Se auditar la planificacin de la ubicacin, sistemas de cableado y diseo de la red, topologa del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc. TIA-942 permite que el diseo del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectnicas sobre distintos esfuerzos en el rea de diseo, promoviendo as la cooperacin entre las fases de su construccin. El estndar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construccin con computadoras necesitando proteccin contra incendios y edificacin, habitaciones, reas, o ambientes operacionales especiales. La aplicacin esta basada en consideraciones de riesgo tal como los aspectos de interrupcin de negocio de la funcin o amenazas de fuego a la instalacin.
2.2.2.2. Estudio de Factibilidad Criterio de Diseo En esta etapa, se lleva a cabo la definicin del proyecto y la preparacin de los requerimientos tcnicos de Diseo. Se estable una matriz en donde se clasifican los posibles alcances o proyecciones a alcanzar en un Centro de Dato y se realiza la recomendacin segn los estndares internacionales. Se debe desarrollar un Criterio Tcnico de Diseo, para el rea de Telecomunicaciones, Arquitectnica/Civil, Elctrica y Mecnica. Estudios preliminares y Seleccin del Sitio.
Norma de Facto: Especificacin tcnica que ha sido desarrollada por una o varias compaas y que ha adquirido importancia debido a las condiciones del mercado (TIER, BICSI, IEEE). Norma de Jure: Especificacin tcnica aprobada por un rgano de normalizacin reconocido para la aplicacin de la misma (ISO, IEC, UL).
En 16001: Eficiencia energtica/ Comprometidos con el uso eficiente de la energa. 2.2.5.1 Normas y Mejores Prcticas LEED NFPA BICSI ASHRAE IEEE
2.2.5.2. Tipos de Auditoras Auditorias de Eficiencia. Auditorias Electromecnica. Auditoras de la Gestin de los sistemas (ISO) Auditoras de Riesgo Operacional (Conjunto de Auditoras Anteriores).
2.3 OBSERVACIONES
En general, la funcin de Auditora Informtica en la empresa es garantizar que los sistemas de ordenador salvaguardan los bienes de la organizacin, mantienen la integridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz y efectivo. Aunque esta definicin es extensible a los Centros de Proceso de Datos, en estos se deben de tener en cuenta algunas consideraciones especiales, dado que en ellos se concentran datos y aplicaciones informticas en espacios muy reducidos, lo que los hace excepcionalmente propensos a problemas potenciales, tanto lgicos como fsicos, que pueden afectar a su seguridad y funcionamiento.
a. Investigacin Preliminar.
En esta etapa se llevar a cabo la definicin de la preparacin de los requerimientos tcnicos de diseo de un Data Center. Se establecer una matriz en donde se clasificaran los posibles alcances o proyecciones en un centro de Datos. Identificar si se dispone de una infraestructura tecnolgica que permita que los servicios de TI estn alineados con el negocio y aporten valor al mismo.
AudiTextiles Catheryne Patio Cardona Astrid Vannessa Castro Cortes Guia de Auditoria Encuesta
No.
Observacin
La empresa realiza mantenimiento preventivo y eficaz a sus equipos? Cundo se producen problemas con los equipos, estos son atendidos con el fin de minimizar los impactos que pueda ocasionar al negocio? Todos los empleados de la empresa son tratados con equidad en el uso de los equipos? La confidencialidad de los datos y correos que administran sus equipos es confiable y no puede ser vulnerada? Explique. Los medios magnticos que ustedes intercambian con sus clientes y proveedores son seguros? Ustedes como empresa pueden garantizar que los medios que intercambian con sus clientes y proveedores, son seguros? Si es afirmativa expliquen cmo. Los soportes magnticos que utiliza estn siendo administrados de manera de no
comprar insumos innecesarios y estar disponibles para el momento en que son necesarios? 9 Tiene posibilidades de recurrir a un back up en caso de situaciones de gran criticidad?
La informacin impresa que generan sus sistemas es la mnima y necesaria para 10 evitar costos en papelera y distribucin innecesaria as como el riesgo por robo de informacin? Existen acuerdos formalizados y con mtricas concretas para determinar el nivel 11 de servicio pactado entre su Data Center y las gerencias de su Negocio? La gente que maneja tanto la informacin como los equipos est al tanto de 12 novedades y en condiciones de responder a las exigencias del puesto? PREGUNTAS ABIERTAS Pregunta Qu procedimientos siguen para evitar que las bases de datos de sus clientes no sean copiadas ni llevadas por personal no autorizado? Qu controles se siguen en la empresa para garantizar que nadie pueda acceder a sus equipos fsicamente ni mediante equipos de comunicaciones? Los contratos con los proveedores que le ayudan con la administracin de Data Center como hacen para satisfacer sus necesidades y proteger sus intereses?
No. 1
Respuesta
sistemas elctricos y de climatizacin que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro.
g. Seguimiento.
Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que da a da se logre reducir el nmero de mquinas fsicas, consiguiendo optimizar los recursos que se necesitan para la administracin, gestin y mantenimiento de las mismas.