Actividad 1 CPD - Master Seguridad Informática PDF

Preview

Summary

Master Seguridad Informática...

Description

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: 3//2018 Nombre:

A ctividades Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles generales La empresa X (Banca de Inversión) quiere mejorar su Centro de Proceso de Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos controles en las áreas identificadas.  ¿Qué organigrama funcional deberá existir para cumplir con estos estándares internacionales y conseguir los objetivos de negocio, para así lograr una adecuada gestión de los SI? La reorganización del CPD implica la adaptación al nuevo sistema normativo por lo que es importante contar con personal con la competencia y los conocimientos suficientes como para poder asumir este cambio. Para ello será necesario: 1. Incluir personal que conozca o formada en la nueva normativa ISACA-ISO, ya sea contratada para la reorganización o reasignada a otros puestos (previo aviso y detalle de sus nuevas competencias), que asumirá el proceso de implantación y si no tienen la competencia adecuada, asegurarse de que así sea, basándose en educación, formación y experiencia previas. 2. Personal que examine su cumplimiento tras el proceso de readaptación. Basándonos en el esquema facilitado en la materia, se proponen las siguientes modificaciones, siguiendo el organigrama según responsabilidades:

- Dirección. El CIO define las líneas estratégicas de la implantación de la nueva organización para que sus decisiones estén alineadas con el nuevo esquema planteado y la línea de negocio de la empresa. Los responsables que dependen del CIO asumirán la puesta en marcha operativa y/o técnica. - C.I.T.I. Los responsables de las 4 divisiones deberán estar formados e informados en detalle acerca de las características de la nueva estructura, además de proporcionar

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: 3//2018 Nombre:

formación y asesoramiento en sus respectivas áreas a todos los integrantes que así lo soliciten. - Revisión desde la alta dirección. El CIO deberá designar un auditor externo a la empresa que revise el correcto cumplimiento de los estándares y a nivel interno, desde el C.I.T.I., una persona del Departamento de Calidad se encargará de estar al corriente de la nueva reorganización, garantizando el cumplimiento de sus estándares a través de los controles implementados a nivel interno. La alta dirección debe asegurarse de que las responsabilidades y autoridades para los roles pertinentes a la seguridad de la información se asignen dentro de la organización e informar al CIO sobre el comportamiento dentro de la organización. - Además de las tareas asignadas a nivel directivo, como lo que se quiere reestructurar es el propio CPD, hemos considerado la posibilidad de incluir: - En el área de desarrollo y mantenimiento: 2 analistas programadores más. - Área de Explotación: 1 técnico de sistemas - Personal del mismo CPD: 3 personas. Establecer y tener muy claros cuáles van a ser los canales de comunicación

TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos:

Auditoría de la Seguridad

3//2018 Nombre:

 Establecer qué controles generales hay que incorporar, valorando la importancia de los activos más críticos para la empresa y sus riesgos. Antes de definir los controles, debemos identificar cuáles son los activos más críticos de la empresa. Siguiendo los pasos de la norma ISO 27001, dada la relevancia de la reestructuración, es llevar a cabo un inventario de los activos de información que tengan valor para la empresa para protegerlos. La reestructuración conlleva una serie de cambios que habrá que controlar: Activos de información pura: -

Datos digitales: personales, financieros (clientes), estratégicos, comerciales, correo electrónico, bases de datos, unidades lógicas y copias de seguridad.

-

Software de aplicación: Propietario desarrollado por la entidad, de clientes, planificación de recursos, gestión de la información, bases de datos, etc.

-

Sistemas operativos: servidores, ordenadores centrales, Red, etc. (en este caso, salvo reordenación o asignación de puestos de trabajo), no habrá apenas cambios.

Activos físicos: -

Infraestructura TI: CPD, autentificación, control de accesos al personales, habilitaciones de equipos y seguridad.

-

Controles

del

entorno

TI:

sistemas

de

alimentación

ininterrumpida,

refrigeradores, alimentación de potencia, etc. -

Activos de servicio TI: administración de procesos, servidores de red, proxy, spyware, IDS, servicios web, soporte, etc.

Activos humanos

TEMA 2 – Actividades

Asignatura

Datos del alumno Apellidos:

Auditoría de la Seguridad

-

Fecha 3//2018

Nombre:

Reorganización de nuevos cargos, personal y directivos, administradores de sistemas, nuevos empleados, usuarios con poder y los externos, sobre todo, posible contratación de empleados temporales, consultor externo o proveedores.

En relación a los riesgos de actividad: posibles fugas de información, pérdida y destrucción de los mimos, alteración, no disponibilidad o manipulaciones hacia los propietarios de los activos, así como su posible uso en operaciones no autorizadas por éstos. Por otra parte, la corrupción de estos datos podría derivarse en pérdidas monetarias o fraudes económicos, tanto para los propietarios de los activos, como para la propia empresa. Tipos de controles: 1. Controles de organización y operación. Alineación del plan estratégico de la empresa y plan estratégico informático: El CIO, junto con otros directivos de la empresa a cargo de la definición estratégica de la misma, definirán los procesos corporativos que se verán afectados por esta reorganización funcional, así como su posible impacto

en

la

organización.

También

se

realiza

una

estimación

presupuestaria de la adaptación. Esta información se traslada al C.I.T.I., donde se definirán a nivel técnico cómo traducir estas normativas definidas a alto nivel.

Organización departamental informática: El C.I.T.I. ha de procurar la formación y soporte necesarios para trasladar eficientemente los cambios a las áreas más técnicas de la organización. Se pretende garantizar la máxima independencia dentro de la reestructuración.

Garantizar la separación de entornos: A pesar de su interdependencia, se hará una división a alto nivel de los diferentes departamentos de desarrollo, prueba y explotación de los sistemas de información del CPD, y su correspondiente traslación a más bajo nivel. 2. Controles de desarrollo de sistemas y documentación.

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: 3//2018 Nombre:

Metodologías de ciclo de vida de desarrollo de software: En el entorno denominado “factoría” se definirá la nueva metodología, coherente con la reorganización funcional de la empresa, para garantizar la alineación estratégica con la operacional. Estándares y nomenclatura: Las decisiones tomadas a este respecto a alto nivel, deberán ser posteriormente traducidas posteriormente de manera específica y coherente con cada uno de los departamentos de la empresa. Procedimientos: Detallar específicamente los procedimientos y roles específicos que involucren directamente al personal de la organización, sobre todo aquellos a los que se les encomiende o cambie la tarea que tenían encomendada.

3. Controles de hardware y software de sistemas. Seguridad lógica y física: Desde el departamento de calidad del C.I.T.I. se tendrán que revisar, controlar y verificar que se cumplen las medidas y los cambios adaptativos de bajo nivel establecidas para garantizar la seguridad de la información sobre los activos definidos como críticos, por tanto, su confidencialidad, integridad y disponibilidad. 4. Control presupuestario. A través de las auditorías internas y externas se hará un seguimiento de desviaciones financieras y posibles cambios en este ámbito, que puedan afectar de forma global al proyecto o a la empresa en su conjunto.  Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el mínimo número de personas que deben realizar las funciones en este CPD, sin perder eficiencia y eficacia. Como se ha detallado con anterioridad, se trata de una reestructuración funcional con aumento de la carga de trabajo, por lo que la dirección estratégica y puesta en marcha operativa puede ser asumida por un mismo departamento o persona. Sin embargo, es necesario incluir algún perfil profesional más para que la calidad y los resultados de nuestra integración sean positivos. Siguiendo la estructura de la primera pregunta podríamos definir como figuras imprescindibles las siguientes: TEMA 2 – Actividades

Asignatura

Datos del alumno

Fecha

Apellidos:

Auditoría de la Seguridad

3//2018 Nombre:



CIO



Creación del Director del CPD.



Responsables del C.I.T.I. (al menos uno para cada una de las categorías definidas).



Responsable de Desarrollo y mantenimiento, jefe de proyecto y al menos 3 analistas programadores.



Responsable de explotación, dos técnicos de atención al cliente y dos técnicos de sistemas.



Responsable del Data Center, al menos tres encargados entre los que se dividan las cinco áreas de producción, un jefe de sala y tres operadores.



Web Master/Community Manager



Técnico de ofimática

En total, 27 perfiles profesionales para que nuestro CPD funcione correctamente.  ¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de Proceso de Datos (área de desarrollo/mantenimiento y área de Explotación/Producción).? Según se muestra en el organigrama propuesto, las tres se englobarían dentro del departamento de explotación/producción, ya que se corresponden con ámbitos técnicos de producción, y que, aunque también podría plantearse su dependencia del área de desarrollo/mantenimiento, esto disminuiría la seguridad del sistema al no trabajar directamente sobre el ámbito de aplicación. Además, estas tres áreas deberían conservar su independencia, de modo que en ambas áreas pueda retroalimentarse, de manera directa o indirecta, de las aportaciones de cada uno, sin interferir en sus tareas o funciones.  En el organigrama del primer punto ¿cómo se contempla la segregación de funciones y segregación de entornos? La segregación de funciones y entornos son positivas para la organización, trabajando con mayor independencia. De este modo, se puede identificar mejor las

TEMA 2 – Actividades

Asignatura Auditoría de la Seguridad

Datos del alumno

Fecha

Apellidos: 3//2018 Nombre:

carencias y un fallo en alguno de esos entornos no afecta al resto, siendo menos costoso de corregir posibles deficiencias de implementación o resultados. Por ese mismo motivo, se recomiendan también las ya mencionadas revisiones de auditores externos a la empresa, siendo inevitables en aquellas empresas en las que por dimensión no es posible llevar a cabo tal segregación de funciones, y en las que actuarán como control compensatorio para mitigar los riesgos derivados del inevitable cruce de funciones.

TEMA 2 – Actividades...