Asignatura Datos del alumno Fecha

Apellidos: Jenner Noé

Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

Actividades

Trabajo: Estructuración de un Centro de Proceso de Datos e

implantación de controles generales

La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de

Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según
normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos
controles en las áreas identificadas.

Realiza los siguientes puntos:

¿Qué organigrama funcional deberá existir para cumplir con estos estándares
internacionales y conseguir los objetivos de negocio, para así lograr una adecuada
gestión de los SI?

Tienes que establecer un organigrama funcional contemplando, entre otros, el área

de control interno informático.

Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase

Establecer qué controles generales hay que incorporar, valorando la importancia de

los activos más críticos para la empresa y sus riesgos.

Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el

mínimo número de personas que deben realizar las funciones en este CPD, sin
perder eficiencia y eficacia.

¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base
de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de
Proceso de Datos (área de desarrollo/mantenimiento y área de
Explotación/Producción).?

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

En el organigrama del primer punto ¿cómo se contempla la segregación de

funciones y segregación de entornos?

Se considerarán ejercicios válidos si contestas a todos los apartados razonando

debidamente cada decisión tomada.

Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

CONTENIDO

INTRODUCCION..............................................................................................................3
ORGANIGRAMA...............................................................................................................3
CONTROLES GENERALES..............................................................................................4
UBICACIONES DE AREAS...............................................................................................6
SEGREGACION DE FUNCIONES....................................................................................6
CONCLUSIONES...............................................................................................................7
BIBLIOGRAFIA.................................................................................................................8

INTRODUCCION

Con el presente trabajo se pretende establecer la mejora del centro de procesamiento

de datos (CPD) de CityCorp por lo cual se realizó un estudio de los estándares y normas
internacionales de ISACA e ISO, donde se detallan Controles Generales de TI que son
necesarios en todo CPD, al igual que las ubicaciones estratégicas de cada área del CPD y
de igual forma la segregación de funciones que debe existir y permitir el buen
funcionamiento de la institución.

ORGANIGRAMA
¿Qué organigrama funcional deberá existir para cumplir con estos
estándares internacionales y conseguir los objetivos de negocio, para así
lograr una adecuada gestión de los SI?

Un CPD es un espacio donde se concentran todos los recursos críticos de las compañías
tanto físicos, lógicos como humanos, es ahí donde se procesa toda la información
transaccional de la compañía.
A medida que la tecnología crece, se incrementan más los usuarios que usan de ella y
por ende aumenta la transaccionalidad y con ello aumentan las amenazas por lo que se
hace necesario que los CPD sean escalables y seguros, esto debe empezar desde la
planeación de la estructura y ubicación física de cada uno de los departamentos dentro
de un CPD.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

Figura 1. Organigrama de Centro de Procesamiento de Datos

Fuente: UNIR (2019)

CONTROLES GENERALES
Establecer qué controles generales hay que incorporar, valorando la
importancia de los activos más críticos para la empresa y sus riesgos.

A continuación detallamos los Controles Generales de TI que se deben implementar en

el CPD para un mejor y seguro funcionamiento. Basado en ISO 27001:

Seguridad física y del entorno:

A.11.1.1 perímetro de seguridad física
Se deben construir perímetros de seguridad como muros o puertas fortificadas con
puestos manuales de recepción.

A.11.1.2 Controles físicos de entrada

Deben establecerse controles seguros de entrada de personal, como biométricos o
tarjetas inteligentes, para que solo el personal autorizado tengan acceso a la entrada.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

Políticas de seguridad de la información

A.5.1.1 políticas para la seguridad de la información
Deben definirse un conjunto de políticas claras y aprobadas por la dirección que sirvan
de guía a todo el personal de la compañía.

Organización de la seguridad de la información

A.6.1.2 Segregación de funciones
Las funciones y ares deben estar bien definidas y hacerse responsables para evitar
modificaciones no autorizadas.

Gestión de activos
A.8.1.1 Inventario de activos
Se debe elaborar un inventario de todos los activos de la compañía especialmente de los
activos críticos y periódicamente revisarlos y actualizarlos.

Clasificación de la información
A.8.2.1 Clasificación de la información
Se debe clasificar la información en su orden de importancia como; pública, privada,
confidencia, etc.

Control de acceso al sistema y aplicaciones

A.9.4.1 Restricciones del acceso a la información
Se debe restringir el acceso a la información para que cada usuario tenga acceso, solo a
ver la información que esté autorizado a ver, según su puesto o cargo.

Copias de seguridad
A.12.3.1 Copias de seguridad de la información
Se deben realizar respaldos periódicos de la información, sistemas y bases de datos los
cuales se deben verificar periódicamente.

Registro y supervisión
A.12.4.1 Registro de eventos
Se deben registras todas las actividades de los usuarios así como todas las excepciones y
fallas de las aplicaciones, las cuales deben ser monitoreadas y revisadas por el personal
autorizado.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

UBICACIONES DE AREAS
¿Dónde situarías y por qué las áreas de técnica de sistemas, administración
de Base de Datos, y Telecomunicaciones (redes) para que den un mejor
servicio al Centro de Proceso de Datos (área de desarrollo/mantenimiento
y área de Explotación/Producción).?

Técnica de sistemas
Esta área debería estar ubicada debajo del área de explotación y más específicamente
debajo del área del centro de atención al usuario (CAU), ya que el área técnica de
sistema es la encargada de detectar los principales problemas técnicos de hardware y
software, cuando el CAU no puede resolverlos.

Administración de base de datos

Esta área se ubicaría debajo del área técnica de sistemas ya que dicha área también es
la encargada de darle mantenimiento a las bases de datos y realizar estudios y
evaluaciones de necesidades y rendimientos de los sistemas.

Telecomunicaciones
Al igual que el área de administración y gestión de bases de datos, el área de
telecomunicaciones también se ubicaría debajo del área técnica de sistemas, ya que
dicha área también es la encargada del mantenimiento de los sistemas de
comunicación, conexión y redes.

SEGREGACION DE FUNCIONES
En el organigrama del primer punto ¿cómo se contempla la segregación de
funciones y segregación de entornos?

En un CPD es totalmente necesario que se contemple y materialice una total y eficiente

segregación de funciones tanto física como lógica. Podemos observar en la figura 1,
donde el área de desarrollo está separada físicamente del área de producción, estas son
las áreas más críticas de un CPD, donde debe existir una planificada segregación de
funciones, al igual que debe haber una segregación lógica, no deben estar en el mismo
segmento de red. Se deben crear por lo menos tres entornos separados uno de
desarrollo, otro de pruebas y el de producción. Se deben crear las políticas y
procedimientos de solicitud, desarrollo, pruebas y pase a producción de los sistemas.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

CONCLUSIONES
Detallar conclusiones del estudio y determinar en el futuro, cual puede ser
el mínimo número de personas que deben realizar las funciones en este
CPD, sin perder eficiencia y eficacia.

Después de haber realizado este estudio de investigación para la mejora y

reorganización del Centro de Procesamiento de Datos de CityCorp, en base a normas y
estándares internacionales como son los estándares ISO, podemos concluir que se ha
realizado con éxito dicho estudio el cual estructura un conjunto de mejoras que
empieza por la organización de un organigrama funcional de las áreas de un CPD con la
respectiva segregación de áreas y la estructura de controles tanto físicos como lógicos
que ayudará a un eficiente funcionamiento del procesamiento de la información de la
compañía.

A continuación detallamos el número mínimo de personas que deberán ejercer sus

funciones dentro del CPD:

1. Director de sistemas de información

2. Director del CPD
3. Director de control interno de tecnología de la información
4. Administrador de la seguridad lógica y física
5. Administrador de control de sistemas
6. Administrador de garantía de calidad
7. Administrador de control de calidad
8. Jefe big data
9. Jefe de desarrollo
10. Jefe de proyectos
11. Analista programador 1
12. Analista programador 2
13. Jefe de explotación
14. Jefe de centro de atención al usuario
15. Atención al usuario 1
16. Atención al usuario 2
17. Jefe técnico de sistemas

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Jenner Noé
Auditoría de la
08/12/2019
Seguridad
Nombre: Sandoval Coello

18. Técnico de sistemas 1

19. Técnico de sistemas 2
20. Administrador de sistemas operativos
21. Administrador de la base de datos
22. Administrador de telecomunicaciones
23. Jefe de sala
24. Operador 1
25. Operador 2
26. Operador 3
27. Operador 4
28. Operador 5

BIBLIOGRAFIA

Van B. Niekerk and P. Jacobs, Toward a Secure Data Center Model, ISACA J., vol. 3,
no. 1, pp. 1–10, 2015.

ISO/IEC 27001(2013), Information technology — Security Techniques — Information

security management systems — Requirements.

ISO/IEC 27002(2013), Information technology — Security Techniques — Code of

practice for information security controls.

ISO/IEC 22237-7(2018), Information technology — Data centre facilities and

infrastructures – Management and operational information.

Universidad Internacional de la Rioja. (2019). Tema 2: Controles internos de los

sistemas de información.

TEMA 2 – Actividades