2010

BCP (PLANEACION DE CONTINUIDAD DEL NEGOCIO) Y DATA CENTER

AUDITORIA ESPECIFICA
PRESENTADO POR: Catheryne Patio Cardona Astrid Vannessa Castro Cortes

Chauditoria Universidad de Caldas 19/11/2010

TABLA DE CONTENIDO
PAG.

1. BCP: PLANEACIN DE LA CONTINUIDAD DEL NEGOCIO . 4

1.1 INTRODUCCIN ......................................................................................................... 4 1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO) .... 4 1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio .............. 5 1.3 OBSERVACIONES ..................................................................................................... 8 1.4 PROGRAMA DE AUDITORIA ................................................................................... 8 1. Investigacin preliminar ............................................................................................ 9 2. Identificacin y Agrupacin de Riesgos ............................................................... 10 3. Evaluacin de la Seguridad en la empresa objeto de la Auditora .................. 10 4. Diseo de Pruebas de Auditora ........................................................................... 10 5. Ejecutar Pruebas de Auditora ............................................................................... 12 6. Elaboracin de Informe de Auditora ................................................................... 12 7. Seguimiento. ............................................................................................................. 13 1.5. CONCLUSIONES ..................................................................................................... 13

2. DATA CENTER .......................................................................14

2.1 INTRODUCCIN. ...................................................................................................... 14 2.2 DEFINICION DE DATA CENTER ........................................................................... 14 2.2.1. Auditoria Seguridad de Centro de Cmputos (Data Centers) basados en las normas NFPA75, TIA 942. ................................................................................... 15 2.2.2. Normas, Estndares y Auditoria en un DC ................................................... 16 2.2.2.1 Proceso de Implementacin ...................................................................... 16 2.2.2.2. Estudio de Factibilidad .............................................................................. 16 2.2.3. Estndares y Normas Tipos ......................................................................... 16 2.2.4. Aplicacin de Normas en un Centro de Datos ............................................. 17 2.2.5. Normas asociados a Centros de Datos ....................................................... 17 2.2.5.1 Normas y Mejores Prcticas ..................................................................... 17 2.2.5.2. Tipos de Auditoras .................................................................................... 18

2.2.6. Qu es necesario tener en un datacenter? ................................................ 18 2.3 OBSERVACIONES ................................................................................................... 18 2.4 PROGRAMA DE AUDITORIA ................................................................................. 19 a. Investigacin Preliminar.......................................................................................... 19 b. Identificacin y Agrupacin de Riesgos ............................................................... 19 c. Evaluacin de la Seguridad en la empresa objeto de la Auditora................... 19 d. Diseo de Pruebas de Auditora ........................................................................... 19 e. Ejecutar Pruebas de Auditora ............................................................................... 21 f. Elaboracin de Informe de Auditora ..................................................................... 21 g. Seguimiento. ............................................................................................................. 22

1. BCP: PLANEACIN DE LA CONTINUIDAD DEL NEGOCIO

1.1 INTRODUCCIN
La Continuidad del Negocio es un concepto que abarca tanto la Planeacin para Recuperacin de Desastres (DRP) como la Planeacin para el Restablecimiento del Negocio. La Recuperacin de Desastres es la capacidad para responder a una interrupcin de los servicios mediante la implementacin de un plan para restablecer las funciones crticas de la organizacin. El establecimiento de procedimientos y medidas de seguridad estn destinados a salvaguardar la unidad administrativa, el centro de cmputo y su estructura fsica, al personal, sus procedimientos operacionales, la informacin y documentacin generada contra cualquier evento natural o humano que de forma intencional o por accidente puedan afectarlos. Un programa efectivo de administracin de la continuidad del negocio constituye un aspecto crtico para las organizaciones de hoy. La experiencia nos dice que cerca del 50% de las organizaciones que han experimentado un desastre sin contar con un plan efectivo de continuidad, dejarn de operar a los doce meses como mximo e inclusive aquellas organizaciones que ejecutaron un plan no muy bien diseado ni probado sufrirn prdidas a largo plazo. La necesidad de contar con capacidades de recuperacin y continuidad de negocios nunca fue tan fuerte dado que actualmente se requiere operar en forma continua, a la vez que la dependencia del negocio en la tecnologa informtica es cada vez mayor. Sin embargo, hay que reconocer que la velocidad y las dependencias de los negocios de hoy en da hacen que la planeacin de la continuidad del negocio se convierta en una tarea compleja para las compaas. Se debe considerar a la gente, las instalaciones, la tecnologa y los socios de negocios involucrados, se debe preparar la respuesta a la crisis y adems se debe tener la capacidad de coordinar su respuesta con muchas partes externas. Para administrar este desafo se requiere un enfoque integral, que incorpore un anlisis detallado de los requerimientos del negocio, la sensibilizacin de los usuarios, el uso de herramientas tecnolgicas y sobre todo se debe concebir fundamentalmente a la continuidad del negocio como un proceso permanente ms que la suma de soluciones puntuales.

1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO)

El BCP es un plan de procedimientos alternativos a la forma tradicional de operar de la empresa y es una herramienta que ayuda a que los procesos que se consideran crticos para la organizacin continen funcionando en una situacin extraordinaria, a pesar de una situacin incontrolable en el entorno. Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una

entidad durante y despus de una interrupcin a los procesos crticos del negocio. Un Plan de Continuidad del Negocio o BCP debe considerar todas las reas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mnimos requeridos para continuar con la operacin del negocio. El contar con un plan de esta naturaleza significa que la organizacin est preparada adecuadamente para cualquier eventualidad, continuando con su operacin e impactando lo menos posible la salud financiera de la empresa. Las primeras 72 horas despus de la interrupcin, son vitales para saber si el negocio soportar o morir debido a la contingencia que se presenta. Morir, no ser un acto inmediato, sino que puede ser un proceso irreversible y lento porque no se tuvieron las respuestas inmediatas para adaptarse al entorno que se presenta. Un BCP contempla la continuidad de los procesos y servicios crticos del negocio y se integra bajo las dimensiones de organizacin (recursos humanos, materiales y lneas de mando), operaciones (polticas y procedimientos), Tecnologas de Informacin e instalaciones, analizados bajo el marco de referencia de la continuidad. Las caractersticas que debe tener un BCP son: Claridad Ser de fcil entendimiento Concreto

El BCP es para toda la organizacin, y no debe descansar slo en el nivel directivo, ya que quien opera es el grupo que debe estar ms inmerso en el entendimiento y aplicacin del mismo. Bajo esta premisa, el capital humano tiene un peso relevante, ya que es el responsable de su aplicacin y operacin, por lo que debe existir un adecuado proceso de capacitacin. 1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio En la figura siguiente, se observa una versin completa de los diferentes tipos de planes, relacionados con la atencin de emergencias, y que se interrelacionan con un Plan de Continuidad del Negocio (BCP, DRP).

Se desprende la conveniencia de que un Plan de Continuidad del Negocio se complemente con otros planes que ayudan a su efectividad. Sin embargo, debido a la carencia de definiciones estndar para estos tipos de planes, en algunos casos, el alcance de los mismos puede variar entre las diferentes organizaciones. Estos planes son: 1. Plan de comunicacin de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los dems planes para asegurar que slo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al pblico. 2. Planes de evacuacin por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalacin o facilidad en el evento en que una situacin se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podran incluir fuego, terremoto, huracn, ataque criminal o una emergencia mdica.

3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las funciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, la fbrica, el almacn de ventas) en una sede alterna y realizar aquellas funciones por un perodo mximo de 30 das antes de retornar a las operaciones normales. Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y ejecutado independientemente del BCP. Interrupciones menores que no requieren reubicacin en una sede alterna tpicamente no son cubiertas en un COOP. 4. Plan de respuesta a ciber-incidentes: Establece procedimientos para responder a los ataques en el ciberespacio contra un sistema de Tecnologa Informtica (TI) de una entidad. Estos procedimientos son diseados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes de cmputo maliciosos tales como: Acceso no autorizado a un sistema o dato, Negacin de servicio, Cambios no autorizados a HW, SW o datos. 5. Planes de contingencia de TI: orientado a ofrecer un mtodo alterno para sistemas de soporte general y para aplicaciones importantes Debido a que un Plan de contingencia de TI debe ser desarrollado por sistema de soporte general y por cada aplicacin importante, existirn mltiples planes de contingencia. 6. Plan de recuperacin de desastres (DRP): Orientado a responder a eventos importantes, usualmente catastrficos que niegan el acceso a la facilidad normal por un perodo extendido. Frecuentemente, el DRP se refiere a un plan enfocado en TI diseado para restaurar la operabilidad del sistema, aplicacin o facilidad de cmputo objetivo en un sitio alterno despus de una emergencia. El alcance de un DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el DRP es ms amplio en alcance y no cubre interrupciones menores que no requieren reubicacin. 7. Plan de recuperacin del negocio: Permite restaurar un proceso de negocio despus de una emergencia, pero al contrario del BCP, carece de procedimientos para asegurar la continuidad de procesos crticos durante una emergencia o interrupcin. Productos que componen el Plan de Continuidad (BCP, DRP) El Plan de Continuidad del Negocio incluye los siguientes productos: 1. 2. 3. 4. 5. 6. Impacto de Anlisis del Negocio. Evaluacin o Valoracin de Riesgos. Estrategias de Continuidad. Roles, responsabilidades y procedimientos. Procesos y Procedimientos de Continuidad. Plan de Pruebas del Plan de Continuidad.

1.3 OBSERVACIONES
En caso, de que su empresa no cuente con un Plan de Continuidad de Negocios, nuestra recomendacin es reflexionar sobre los 4 aspectos mnimos que apoyen la implantacin de un plan contingente hasta que pase la crisis: 1. Crear un Comit de Crisis Este Comit deber estar integrado por los principales ejecutivos de la empresa que representen el 100% de la operacin. Este rgano ser el nico que tomar decisiones mientras dure la crisis y ser el responsable de construir un plan para atacar la contingencia. 2. Crear un vnculo de comunicacin permanente con la organizacin El Comit de Crisis deber de contar con un vnculo de comunicacin entre ste y todos los miembros de la organizacin. Se deber crear un Plan de Comunicacin bien estructurado, permanente y continuo para mantener a la organizacin y sus colaboradores bien informados. 3. Desde el punto de vista de operaciones: Identificar los procesos/actividades del negocio vitales en la operacin y su interrelacin con los procesos totales del negocio. Definicin de prioridades y marcos de referencia en el tiempo. Definicin de alternativas para la continuidad de servicios crticos. Descripcin de plan de recuperacin para los escenarios de interrupcin ms comunes. Minimizar la toma de decisiones durante la crisis. 4. Desde el punto de vista de requerimientos: Seleccionar y definir equipos de trabajo con personal comprometido y experiencia funcional. Definir recursos mnimos requeridos para mantener la operacin y comunicacin de toda la organizacin, como pueden ser: lap tops, enlace a Internet, VPN, telfonos celulares, concentracin de grupos crticos, etc. Definir requerimientos de recuperacin de los procesos considerados no crticos, para estabilizar la operacin. Definir esquemas de reporte y seguimiento diario a la operacin mediante los grupos focales, definidos en etapas anteriores.

1.4 PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria especfica referente a BCP, se llevara a cabo el siguiente programa de Auditoria: 1. Investigacin Preliminar. 2. Identificacin y Agrupacin de Riesgos

3. 4. 5. 6. 7.

Evaluacin de la Seguridad en la empresa objeto de la Auditora Diseo de Pruebas de Auditora Ejecutar Pruebas de Auditora Elaboracin de Informe de Auditora Seguimiento.

1. Investigacin preliminar
En esta etapa se determinar si la empresa cuenta con un Plan de Continuidad del Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una revisin general y una visita a la empresa, para definir los pasos a seguir. Se conocer de manera global los planes que conforman el Plan de Continuidad del Negocio y que tan completo estn con el fin de definir a que se le har Auditoria e identificar los elementos que apoyan dichos planes. Consideraciones Conocimiento global de la empresa en cuanto a: Planes de mitigacin de Riegos, rea de sistemas, Estructura organizacional y personal. Conocimiento global de los sistemas, evaluando las herramientas que proporciona como apoyo a la seguridad y a la administracin. a. Conocimiento de los planes existentes en la empresa: Recopilacin de informacin referente a los riesgos y estrategias que se definen en cada plan con el fin de identificar el nivel de preparacin en el cual se encuentra la organizacin referente a situaciones que puedan provocar el paro de sus operaciones. Para esto se debe solicitar: Plan de mitigacin de Riesgos. Plan de Recuperacin de Desastres Plan de Continuidad de Operaciones Plan de comunicacin de crisis Plan de contingencia de TI Plan de recuperacin del Negocio

b. Importancia de los planes de contingencia de riesgos para garantizar la continuidad de las operaciones de la empresa. c. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigacin preliminar son: Entrevistas previas con el cliente.

 Revisin de las instalaciones donde se realizara la auditoria. Investigacin de los funcionarios que analizaron y elaboraron el plan de continuidad del negocio Revisin de documentacin proporcionada por la empresa. Estudio y evaluacin del sistema de control interno.

2. Identificacin y Agrupacin de Riesgos

Identificar y clasificar los riesgos a los que esta expuesto la empresa que pueden afectar la continuidad del negocio. A continuacin se listaran los riesgos que pueden afectar a la organizacin. Desastres naturales inesperados dentro de la organizacin. Amenazas a los recursos de TI que comprenden el uso de informacin vital dentro de la empresa. Amenazas a la infraestructura Arquitectnica/Civil y de TI.

3. Evaluacin de la Seguridad en la empresa objeto de la Auditora

Se determinara si el Plan de Continuidad del Negocio o BCP considera todas las reas de la empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con los elementos mnimos requeridos para continuar con la operacin del negocio.
Se examinar si existe apoyo a los procesos que se consideran crticos para que la organizacin contine funcionando en una situacin extraordinaria, a pesar de una situacin incontrolable en el entorno.

4. Diseo de Pruebas de Auditora

Se determinarn en trminos generales los instrumentos y tcnicas a utilizar para llevar a cabo la verificacin del cumplimiento adecuado de los procesos necesarios para garantizar que dentro de la organizacin se maneja un plan de continuidad de negocio esencial para asegurar la vida de la compaa ante cualquier tipo de contingencia y que para conseguir su efectividad, se sigue como mnimo los siguientes aspectos:
El plan de continuidad de negocio est basado en directrices marcadas por la direccin. A travs de un anlisis de impacto de negocio y una gestin del riesgo se consiguen los fundamentos para un efectivo BCP. El Plan de Continuidad del Negocio esta peridicamente actualizado para reflejar y responder a los cambios que se vayan produciendo en la compaa. 1. Tcnicas: Revisin documental

2. Instrumentos Cuestionario, revisin documental y observacin

FECHA: EMPRESA: AUDITORES: TECNICA USADA: HERRAMIENTA USADA:

AudiTextiles Catheryne Patio Cardona Astrid Vannessa Castro Cortes Guia de Auditoria Encuesta

No.

PREGUNTAS CERRADAS Pregunta Si No Ns

Observacin

Existe en su empresa recuperacin de desastres?

un

plan

de

El administrador y coordinador del plan es responsable en mantiene dicho plan al da? Existe un equipo para la recuperacin de desastres que reaccionen a una emergencia en medidas de accin inmediatas? Dnde est el sitio de instalacin de copia de seguridad? El plan indica claramente las prioridades para la restauracin de los sistemas de la empresa, basados en el riesgo para el negocio en particular? Tienen su empleados en la empresa una copia del plan de la organizacin de recuperacin de desastres? Se tiene en la empresa una copia actual del organigrama? Se realiza dentro de la empresa una lista de inventario de todos los activos que se

poseen en la empresa? Se tienen acuerdos relativos a la seguridad en el uso de las instalaciones de la empresa?

No. 1 2

PREGUNTAS ABIERTAS Pregunta Si existe un plan, cuando fue la ltima vez que se actualizo? Indique cuales son los procedimientos para la actualizacin del Plan de Continuidad del Negocio? Quien es el encargado en su empresa de la administracin o la coordinacin del plan? Donde se encuentra almacenado el plan de recuperacin de desastres en su empresa? Donde esta la lista almacenada de los contactos del equipo de recuperacin de desastres? Qu sistemas crticos estn cubiertos por el plan?

Respuesta

5. Ejecutar Pruebas de Auditora

Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se est llevando en la administracin del Plan de Continuidad del Negocio.

6. Elaboracin de Informe de Auditora

El informe de auditora busca comunicar a la organizacin los resultados de la evaluacin y las pruebas ejecutadas, proporcionando mayor valor a la organizacin, informando si el Plan de Continuidad de Negocio es realmente

efectivo en caso de su ejecucin y si se puede decir que se han alineado las Tecnologas de la informacin con los objetivos del negocio.

7. Seguimiento.
Se verificar que los objetivos del BCP de la empresa se estn cumpliendo y que estos contribuyen a minimizar la prdida financiera de la compaa, y que se garantiza la calidad del servicio a los clientes. As mismo se evaluar que la organizacin este bien preparada adecuadamente Y que toda la organizacin tiene conocimiento de las operaciones y de todos y cada uno de quienes participan en cada proceso crtico para cualquier eventualidad, continuando con su operacin e impactando lo menos posible la salud financiera de la empresa.

1.5. CONCLUSIONES
En el entorno actual, en materia de costos es ms efectivo prevenir que recuperar. Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y generar mejores resultados. Los beneficios de actuar bajo un plan son: Anlisis claro y preciso, y conocimiento consistente y continuo sobre la situacin del negocio y la efectividad de la estrategia de continuidad definida. Evaluacin tcnica de riesgos asociados a la continuidad y evaluacin de alternativas y estrategias de minimizacin de riesgos. Mapeo crtico de los recursos mnimos requeridos en la continuidad de los procesos del negocio. Control del impacto financiero y operacional, causado por la interrupcin de la operacin natural del negocio Anlisis y reduccin del nivel de riesgo al cual se encuentra expuesta la entidad. Decisiones rpidas y acertadas para subsanar posibles riesgos inherentes a la situacin y esquema de operacin en el que se encuentra el negocio Desarrollo de cultura y personal mejor capacitado y sensibilizado en la importancia de la continuidad en la entidad.

2. DATA CENTER
2.1 INTRODUCCIN.
El trmino de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluacin cuyo nico fin es detectar errores y sealar fallas. El concepto de auditora es mucho ms amplio. Es un anlisis crtico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc. Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados de forma tal de obtener un modelo de referencia a implementar. La auditoria en un Data Center tiene el objetivo de mejorar el rendimiento operacional y la calidad de la energa, dicha auditoria debe estar orientada a generar valor a sus clientes a travs de un minucioso estudio en sistemas elctricos y de climatizacin, identificando deficiencias y oportunidades de mejora y ahorro. El centro de datos es considerado un generador de mucho valor para la compaa pero por su actividad crtica, es tambin generador de mucho gasto e inversin tanto a nivel de capital como de gastos operativos. En este sentido, es muy importante que su diseo y crecimiento est dirigido a buenas prcticas que optimicen su funcionamiento y que aplique las polticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organizacin.

2.2 DEFINICION DE DATA CENTER

Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refirindonos a la ubicacin donde se concentran todos los recursos necesarios para el procesamiento de informacin de una organizacin. Tambin se conoce como centro de cmputo (Iberoamrica) o centro de clculo (Espaa). La integracin de las infraestructuras tecnolgicas en un Data Center, permite automatizar la gestin de los recursos y convertir unas infraestructuras caticas en algo gestionable y altamente automatizado con el consiguiente ahorro de recursos econmicos. Por ejemplo: Los costes de administracin y gestin que le supone a una organizacin, tener sus servidores dispersos por diferentes localizaciones fsicas, sin un control y administracin central, es mucho mayor que si dichos servidores se encuentran en un CDP, con un nico equipo de gestin y administracin. Los Data Center diseados segn las nuevas especificaciones, permiten llevar a cabo una gestin del consumo de energa de las infraestructuras, lo que nos permite alcanzar una eficiencia energtica, lo que supone una disminucin de los costos del funcionamiento del Data Center.

El concepto de virtualizacin est ntimamente ligado a los Data Center; virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas de informacin, reduciendo el nmero de mquinas fsicas y consiguiendo optimizar los recursos que se necesitan para la administracin, gestin y mantenimiento de las mismas. Los nuevos Data Center estn cambiando la percepcin que se tiene de las infraestructuras de proceso, almacenamiento y transmisin de la informacin, lo que est llevando a que hoy en da tanto las capacidades de procesamiento, como las de almacenamiento y de comunicaciones, se consideren un servicio y como tal se vendan. Lo que verdaderamente importa es disponer de una infraestructura tecnolgica que permita que los servicios de TI estn alineados con el negocio y aporten valor al mismo. La auditoria en Data Center consta de un detallado anlisis de la composicin, uso y desempeo del centro de datos, que implica el despliegue de destacados profesionales y personal tcnico especializado en una labor de campo para el levantamiento de informacin sobre la instalacin elctrica y de climatizacin, la evaluacin de puntos crticos y puntos de fallas, la identificacin de oportunidades, el diagnstico y el rediseo, a fin de reducir significativamente los gastos operativos por parte de los usuarios, acercando el Data Center a un modelo ptimo, capaz de soportar nuevas implementaciones y preparado para continuar con su crecimiento. 2.2.1. Auditoria Seguridad de Centro de Cmputos (Data Centers) basados en las normas NFPA75, TIA 942. La auditoria de Seguridad de Centro de Cmputos (Data Centers) est basada en las normas NFPA75 y TIA 942. El propsito del estndar TIA 942 es proveer los requerimientos y las guas para el diseo e instalacin de Centros de Cmputo (Data Centers). Se auditar la planificacin de la ubicacin, sistemas de cableado y diseo de la red, topologa del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc. TIA-942 permite que el diseo del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectnicas sobre distintos esfuerzos en el rea de diseo, promoviendo as la cooperacin entre las fases de su construccin. El estndar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construccin con computadoras necesitando proteccin contra incendios y edificacin, habitaciones, reas, o ambientes operacionales especiales. La aplicacin esta basada en consideraciones de riesgo tal como los aspectos de interrupcin de negocio de la funcin o amenazas de fuego a la instalacin.

2.2.2. Normas, Estndares y Auditoria en un DC

2.2.2.1 Proceso de Implementacin

2.2.2.2. Estudio de Factibilidad Criterio de Diseo En esta etapa, se lleva a cabo la definicin del proyecto y la preparacin de los requerimientos tcnicos de Diseo. Se estable una matriz en donde se clasifican los posibles alcances o proyecciones a alcanzar en un Centro de Dato y se realiza la recomendacin segn los estndares internacionales. Se debe desarrollar un Criterio Tcnico de Diseo, para el rea de Telecomunicaciones, Arquitectnica/Civil, Elctrica y Mecnica. Estudios preliminares y Seleccin del Sitio.

2.2.3. Estndares y Normas Tipos

Norma o Estndar: Por definicin son sinnimos, no existe diferencia entre ellos, y existen normas establecidas por Organismos Internacionales, Organismos Regionales y Organizaciones Privadas.

 Norma de Facto: Especificacin tcnica que ha sido desarrollada por una o varias compaas y que ha adquirido importancia debido a las condiciones del mercado (TIER, BICSI, IEEE). Norma de Jure: Especificacin tcnica aprobada por un rgano de normalizacin reconocido para la aplicacin de la misma (ISO, IEC, UL).

2.2.4. Aplicacin de Normas en un Centro de Datos

Normas Regionales: Se debe de cumplir con lo que indican los entes de cada regin, por ejemplo Cdigos Ssmicos, Normas Elctricas, generalmente se establecen mediante decretos y son de cumplimiento obligatorio. Normas Internacionales: Son aquellas normas generadas por un grupo de organizaciones regionales y aunque no son de cumplimiento obligatorio, se asumen como necesarias. Normas de Organizaciones: Son esquemas de Buenas Prcticas y recomendaciones (TIER, BICSI, etc.), generalmente certificados solamente por el ente que las emiti.

2.2.5. Normas asociados a Centros de Datos

Normas ISO y BSBS25999: Continuidad de la actividad comercial/ La gestin de continuidad de la actividad comercial (BCM) se ha concebido para ayudar a las organizaciones a minimizar el riesgo de interrupciones. ISO/IEC 20000: Gestin de Servicios de TI/ Prestacin de servicios de TI de gran calidad. ISO/IEC 27001: Seguridad de informacin, el activo ms valioso. la informacin/Proteccin de la

En 16001: Eficiencia energtica/ Comprometidos con el uso eficiente de la energa. 2.2.5.1 Normas y Mejores Prcticas LEED NFPA BICSI ASHRAE IEEE

2.2.5.2. Tipos de Auditoras Auditorias de Eficiencia. Auditorias Electromecnica. Auditoras de la Gestin de los sistemas (ISO) Auditoras de Riesgo Operacional (Conjunto de Auditoras Anteriores).

2.2.6. Qu es necesario tener en un datacenter?

Acometidas elctricas. Sistemas para prevenir y controlar incendios e inundaciones como: drenajes y extintores. Vas de evacuacin. Puertas y pinturas ignfugas (que protegen contra fuego) Aire acondicionado. UPS (Sistema de alimentacin de energa ininterrumpido) Pisos y techos falsos. Instalacin de alarmas. Control de temperatura y humedad con avisos. Cerraduras electromagnticas Cmaras de seguridad o CCTV (Circuito cerrado de televisin) Detectores de movimiento Tarjetas de identificacin. Bitcoras de acceso manual y electrnicas. Botn de apagado de emergencia (EPO por sus siglas en ingls Emergency Power Outage) Los requerimientos variarn entre cada uno, puesto que no son los mismos riesgos en cada uno y su localizacin tambin vara.

2.3 OBSERVACIONES
En general, la funcin de Auditora Informtica en la empresa es garantizar que los sistemas de ordenador salvaguardan los bienes de la organizacin, mantienen la integridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz y efectivo. Aunque esta definicin es extensible a los Centros de Proceso de Datos, en estos se deben de tener en cuenta algunas consideraciones especiales, dado que en ellos se concentran datos y aplicaciones informticas en espacios muy reducidos, lo que los hace excepcionalmente propensos a problemas potenciales, tanto lgicos como fsicos, que pueden afectar a su seguridad y funcionamiento.

2.4 PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria referente a Data Center, se llevar a cabo el siguiente programa de Auditoria.

a. Investigacin Preliminar.
En esta etapa se llevar a cabo la definicin de la preparacin de los requerimientos tcnicos de diseo de un Data Center. Se establecer una matriz en donde se clasificaran los posibles alcances o proyecciones en un centro de Datos. Identificar si se dispone de una infraestructura tecnolgica que permita que los servicios de TI estn alineados con el negocio y aporten valor al mismo.

b. Identificacin y Agrupacin de Riesgos

Consta de un anlisis de la composicin, uso y desempeo del centro de datos y el posterior levantamiento de informacin sobre la instalacin elctrica y de climatizacin, la evaluacin de puntos crticos y puntos de fallas, la identificacin de oportunidades, el diagnstico y rediseo, a fin de identificar los riesgos para cada grupo identificado y disear instrumentos que permitan evaluar los aspectos planeados.

c. Evaluacin de la Seguridad en la empresa objeto de la Auditora

Se determinara si el diseo y crecimiento existentes en la empresa, estn dirigidos a buenas prcticas que optimicen su funcionamiento y que aplique las polticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organizacin.

d. Diseo de Pruebas de Auditora

Se determinarn en trminos generales los instrumentos y tcnicas a utilizar para llevar a cabo la verificacin del cumplimiento adecuado de los procesos necesarios para garantizar las correctas prcticas de optimizacin del funcionamiento y de aplicacin de polticas normativas e internacionales en la implantacin de Data Centers en la organizacin. 1. Tcnicas: Revisin documental

2. Instrumentos Cuestionario, revisin documental y observacin

FECHA: EMPRESA: AUDITORES: TECNICA USADA: HERRAMIENTA USADA:

AudiTextiles Catheryne Patio Cardona Astrid Vannessa Castro Cortes Guia de Auditoria Encuesta

No.

PREGUNTAS CERRADAS Pregunta Si No Ns

Observacin

En la empresa conoce la ubicacin, cantidad y la garanta de sus equipos?

La empresa realiza mantenimiento preventivo y eficaz a sus equipos? Cundo se producen problemas con los equipos, estos son atendidos con el fin de minimizar los impactos que pueda ocasionar al negocio? Todos los empleados de la empresa son tratados con equidad en el uso de los equipos? La confidencialidad de los datos y correos que administran sus equipos es confiable y no puede ser vulnerada? Explique. Los medios magnticos que ustedes intercambian con sus clientes y proveedores son seguros? Ustedes como empresa pueden garantizar que los medios que intercambian con sus clientes y proveedores, son seguros? Si es afirmativa expliquen cmo. Los soportes magnticos que utiliza estn siendo administrados de manera de no

comprar insumos innecesarios y estar disponibles para el momento en que son necesarios? 9 Tiene posibilidades de recurrir a un back up en caso de situaciones de gran criticidad?

La informacin impresa que generan sus sistemas es la mnima y necesaria para 10 evitar costos en papelera y distribucin innecesaria as como el riesgo por robo de informacin? Existen acuerdos formalizados y con mtricas concretas para determinar el nivel 11 de servicio pactado entre su Data Center y las gerencias de su Negocio? La gente que maneja tanto la informacin como los equipos est al tanto de 12 novedades y en condiciones de responder a las exigencias del puesto? PREGUNTAS ABIERTAS Pregunta Qu procedimientos siguen para evitar que las bases de datos de sus clientes no sean copiadas ni llevadas por personal no autorizado? Qu controles se siguen en la empresa para garantizar que nadie pueda acceder a sus equipos fsicamente ni mediante equipos de comunicaciones? Los contratos con los proveedores que le ayudan con la administracin de Data Center como hacen para satisfacer sus necesidades y proteger sus intereses?

No. 1

Respuesta

e. Ejecutar Pruebas de Auditora

Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de los cuestionarios y de esta manera verificar el control que se est llevando en los Data Centers.

f. Elaboracin de Informe de Auditora

Comunicar a la organizacin los resultados de la auditoria, proporcionando mayor valor a la organizacin a travs de un minucioso estudio de los

sistemas elctricos y de climatizacin que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro.

g. Seguimiento.
Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que da a da se logre reducir el nmero de mquinas fsicas, consiguiendo optimizar los recursos que se necesitan para la administracin, gestin y mantenimiento de las mismas.