Ejemplo Actividad Estruct CPD PDF
| Title | Ejemplo Actividad Estruct CPD |
|---|---|
| Author | Cinthia Pissani |
| Course | Informática |
| Institution | Universidad Internacional de La Rioja |
| Pages | 8 |
| File Size | 393.4 KB |
| File Type | |
| Total Downloads | 6 |
| Total Views | 149 |
Summary
dwqd...
Description
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
Estructuración funcional de un centro de proceso de datos e implantación de controles generales I. Antecedentes Banco Ventura, es un grupo financiero con sede Orizaba, Veracruz y su principal objetivo es ofrecer el mejor servicio al cliente solucionando con procesos firmes, la Institución está adoptando los lineamientos de carácter normativo, orientados a cumplir las leyes y regulaciones dentro de su Centro de Procesamiento de Datos (CPD), por tal motivo, se contrató a un auditor externo para ayudar a evaluar y dar su recomendación respecto a cinco controles con base en ISO-27002. Banco Hispano requiere garantizar diez controles en relación con ISO 27002 (2017), actualmente cuenta con cinco controles, los cuales ya han sido auditados por el área control interno de la organización, adicional a los controles existentes requiere implementar cinco controles a continuación mencionados:
El grupo financiero cuenta con un Nivel II en base en la certificación ICREA-Std-131-
© Universidad Internacional de La Rioja (UNIR)
2019 ya que cuenta con redundancia y capacidad de enfriamiento N+1, dos controles de acceso de entrada para el CPD, redundancia de cableado, techos y pisos falsos, puertas y muros con resistencia al fuego (ICREA-International, 2019).
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
1
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
II. Organigrama funcional en cumplimiento y análisis de la segregación En la figura 1, el organigrama nos permite representar de manera gráfica la jerarquía que existe entre las diferentes áreas de TI que conforma la empresa Banco Ventura, con base en la situación planteada y tratando de buscar la mejora del CPD.
El (CPD) con el fin de lograr una adecuada gestión de los sistemas de información, puede
© Universidad Internacional de La Rioja (UNIR)
aumentar y disminuir áreas importantes para un correcto y buen funcionamiento.
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
2
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
III. Ubicación funcional de las áreas técnicas Dirección de las TIC: Gerencia que se encarga de tomar las decisiones finales con respecto a las TIC. Área de Control Interno Informático: Se encarga de controlar diariamente que todas las actividades sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de las TIC. Área de Desarrollo TIC: Responsable de planear, desarrollar y entregar nuevos productos TIC asegurando su eficiencia, eficacia e integración con otros productos, así como la confidencialidad e integridad de datos. Área de Infraestructura TIC: Encargada de administrar (actualizar, adquirir e implantar) la infraestructura de la empresa sobre la cual operan y desarrollarán servicios y productos TIC; asegurar la eficiencia y confiabilidad en la operación y la utilización de la capacidad instalada, así como administrar y controlar los activos de información y la gestión de la configuración. Área de Operaciones TIC: Sus principales labores son monitoreo y control de la operación de los servicios prestados por la Dirección de las TIC, así como la gestión de requerimientos de usuarios y de la mesa de servicios. Área de Seguridad Informática: Responsable de planear, implementar y mantener la seguridad y continuidad de los activos de información de los productos TIC que soportan los procesos administrativos de la empresa. Así mismo, es la responsable de proponer nuevas políticas de seguridad informática y de velar por su cumplimiento, basándose en estándares para la gestión y el tratamiento de riesgos. Considerando que el área el CPD es la base del funcionamiento del Banco Ventura, sería bueno crear una nueva jefatura que administre solo el CPD, y esta contaría con un presupuesto propio, de esta manera se podría segregar funciones tales como: Operador de centro de datos, soporte técnico, help desk.
© Universidad Internacional de La Rioja (UNIR)
Las demás áreas que colaboran con el soporte y administración del CPD (áreas técnicas de sistemas, administración de Base de Datos, y Telecomunicaciones), deben estar cercanas, es decir, a sus alrededores, para en caso de cualquier eventualidad puedan acudir de manera rápida y logren solventar los inconvenientes que puedan existir.
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
3
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
IV. Controles generales En relación con ISO 27001 (ISO 27002:2013) se estarán modificando los controles 8.1.1, 9.1.2 y 12.1.2 presentados en la primera sección (ver Tabla 1), adicional a lo anterior se considera incorporar los controles no existentes (ver Tabla 1). Para poder generar estos controles primero tenemos que identificar, analizar y evaluar los riesgos a los que se enfrentan los activos críticos de la organización (ISO, 2018-02). Las siguientes tablas nos ayudaran con está identificación:
Una vez analizado los activos y los riesgos, se procederá a modificar y agregar los controles que soportaran al negocio y apoyaran a mitigar riesgos.
© Universidad Internacional de La Rioja (UNIR)
8.1.1 Inventario de activos: para poder llegar a un nivel de madurez optimizado se debe ser aprobado y formalizado por la dirección de seguridad, se debe medir su eficiencia periódicamente mediante indicadores además de contar con un sistema automatizado que lleve la gestión del inventario. Lo anterior mencionado con objetivo de apoyar a la dirección de seguridad a mitigar los riesgos asociados a los activos y así poder cumplir con la normativa de certificación ICREA-Std-131-2019 en su punto 420.15.7 donde nos menciona que se debe contar con refacciones en sitio de acuerdo con las recomendaciones del fabricante. 9.1.2 Control de acceso a las redes y servicios asociados: en igual manera que el control anterior debe ser aprobado y formalizado por la dirección de seguridad, se debe medir su eficiencia periódicamente, además de contar con un sistema automatizado que lleve los registros y la gestión de acceso a las redes.
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
4
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
Este control ayudara a poder gestionar los riesgos asociados al acceso a las bases de datos, acceso a la manipulación de la información y el acceso a los sistemas informáticos, y a su vez nos a poder cumplir con la normativa ICREA-Std-131-2019 en su punto 440.3 donde el nivel III requiere contar con un sistema automático de control de acceso a base de tarjetas de proximidad o biométrico. 12.1.2 Gestión de cambios: es importante llevar un control de cambios en el área tecnológica y de sistemas de información a base de una mesa asesora de cambios (CABChange advisory board), además de contar con un sistema automatizado que lleve el control en cada componente, lo anterior con el fin de prevenir cualquier modificación accidental o deliberado en los datos o sistemas informáticos. El objetivo final del control es poder dar un servicio y soporte adecuado a los sistemas, clientes y proveedores finales. 12.3.1 Copias de seguridad de la información: para poder mitigar los riesgos asociados a la información, las bases de datos y los sistemas, de acuerdo con NIST-SP-800-209 (2020) en su punto 4.1 seguridad del almacenamiento físico recomienda contar con copias de seguridad las cuales se generen periódicamente y se resguarden en una localidad diferente a la copia original. 12.6.1 Gestión de vulnerabilidades técnicas: actualmente no se cuenta con este control y como nos muestra la Tabla 4 los riesgos de vulnerabilidades atribuidos a los sistemas, bases de datos y la información deben ser mitigados, el programa de gestión de vulnerabilidades se debe realizar periódicamente y debe estar a cargo del área de seguridad lógica y evaluado por el área de control interno.
© Universidad Internacional de La Rioja (UNIR)
13.1.3 Segregación de redes: el área de infraestructura se debe encargar de la segregación de redes para poder evitar que futuras inconsistencias del sistema y pueda interrumpir las funciones de varias áreas al mismo tiempo. Con base en ISO 27002 (2017) se recomienda que la segregación está basada en niveles de confianza (por ejemplo, dominios públicos, dominios de usuarios, dominios de servidores) y en combinación con unidades organizativas (por ejemplo, finanzas, tecnología, comercial), tomando en consideración la sensibilidad o criticidad de los sistemas o datos a trabajar. 16.1.5 Respuesta a los incidentes de seguridad: para poder completar el ciclo de mitigación de riesgos y de acuerdo con ISO 27002 (2017) se debe contar con el procedimiento de respuesta a incidentes. Desde el punto de vista de NIST-SP-800-61r2 (2012) en su punto 2.3.2 nos establece que adicional al procedimiento debe existir una política y un plan de elementos el cual contenga misión, estrategias, métodos de comunicación al resto de la organización, así como métricas de medición de la capacidad de respuesta a incidentes y su efectividad, el cual se tiene que revisar al menos una vez por año para asegurar el nivel de madurez del plan.
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
5
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
18.1.4 Protección de datos y privacidad de la información personal: para poder mitigar y controlar la perdida de datos, y el incumplimiento de regulaciones ISO 27002 (2017) se recomienda la creación de una política de privacidad y protección de información de carácter personal la cual debe ser comunicada a todo personal que trate con datos privados.
© Universidad Internacional de La Rioja (UNIR)
Adicional a lo anterior, la normativa mexicana con base en la Ley general de protección de datos personales en posesión de sujetos obligados (LGPDPPSO) en su artículo 31, nos menciona que el responsable del tratamiento de datos deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico, y técnico necesarias para la protección de los datos personales (UNIÓN, 2017).
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
6
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
IV. Conclusiones del estudio y personal a cargo De acuerdo con Uptime Institude (2021) se estima que un centro de procesamientos de datos demanda más de 230 especialistas de tiempo completo, los mismos divididos en dominios funcionales, por ejemplo: diseño, construcción, ingenieros de operaciones, infraestructura, monitoreo, operaciones, etc. Sin embargo, el número depende también del tamaño de la organización y los clientes a soportas. Se identificaron puntos importantes que son parte de una auditoria desde la identificación de activos, sus riesgos y controles que ayudan a mitigar y como esto apoya a incrementar la fiabilidad del negocio en cumplir sus objetivos de negocio que son reforzar sus procesos en el CPD. Se puede concluir que los CPD´s son únicos, sin embargo, todos comparten una misión en común: proteger la información más importante y relevante de la empresa, por lo que este debe ser un entorno especializado que cuide la información, los equipos y la propiedad intelectual más valiosa de la empresa, ya que es la encargada o responsable de procesar todas las transacciones, mantener los registros financieros y contables, almacenar datos, hospedar los sitios web, encaminar los correos, mantener las comunicaciones; es decir, es el cerebro de la empresa.
© Universidad Internacional de La Rioja (UNIR)
Por consiguiente, una correcta implementación de controles de seguridad bajo la norma ISO/IEC 270022:2013, tanto en el sistema de climatización, sistema eléctrico, sistemas de control de accesos, evitará gastos y enormes pérdidas futuras. Asimismo, La aplicación de normas y estándares es de vital importancia, debido a que facilitará la gestión de los elementos que lo conforman siendo más sencillo y por tanto reducirá costos en la administración y tiempo.
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
7
Asignatura
Datos del alumno
Auditoría de seguridad
Apellidos: Sentecal Guerrero Nombre: Sergio
Fecha
Noviembre 2021
Referencias ICREA-International. (08 de 2019). Criterios generales de Certificación ICREA 2017. Recuperado el 17 de noviembre de 2021, de https://icrea-international.org/wp-content/uploads/2019/02/certificacion-icrea.pdf INCIBE. (30 de noviembre de 2016). CEO, CISO, CIO… ¿Roles en ciberseguridad? Recuperado el 17 de noviembre de 2021, de https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad ISO, O. I. (febrero de 2018-02). ISO 31000:2018 Gestión del riesgo - Directrices. Recuperado el 17 de noviembre de 2021, de https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es Normalización., O. I. (mayo de 2017). UNE-EN ISO/IEC 27002:2017. Recuperado el 17 de noviembre de 2021, de https://static.eoi.es/inline/une-en_iso-iec_27002_norma_mincotur.pdf Samuels, M. (20 de junio de 2020). What is a Chief Technology Officer? Everything you need to know about the CTO. Recuperado el 17 de noviembre de 2021, de https://www.zdnet.com/article/what-is-a-chief-technology-officer-everything-you-need-toknow-about-the-cto/ Technology., N. I. (agosto de 2012). Computer Security Incident Handling Guide. Recuperado el 17 de noviembre de 2021, de https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf Technology., N. I. (7 de julio de 2020). NICE Framework Supplemental Material. Recuperado el 17 de noviembre de 2021, de https://www.nist.gov/document/supplementnicespecialtyareasandworkroleksasandtasksxl sx Technology., N. I. (octubre de 2020). Security Guidelines for Storage Infrastructure. Recuperado el 17 de noviembre de 2021, de https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-209-draft.pdf
© Universidad Internacional de La Rioja (UNIR)
UNIÓN, C. D. (26 de 01 de 2017). LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS. Recuperado el 17 de noviembre de 2021, de http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
Estructuración funcional de un centro de proceso de datos e implantación de controles generales
8...
Similar Free PDFs
Ejemplo Actividad Estruct CPD
- 8 Pages
Ejemplo DE Actividad Integradora
- 3 Pages
Unid31 Estruct Dat - Algoritmos
- 14 Pages
CPD Unplanned Reflection Form
- 1 Pages
2019 CPD Calendar
- 12 Pages
REFERAT OBGYN CPD
- 1 Pages
Ventajas Y Desventajas CPD
- 2 Pages
Diseño de un CPD
- 9 Pages
EJEMPLO ACTIVIDAD: Linea de vida
- 4 Pages
Diseño del CPD Año 2020
- 20 Pages
Popular Institutions
- Tinajero National High School - Annex
- Politeknik Caltex Riau
- Yokohama City University
- SGT University
- University of Al-Qadisiyah
- Divine Word College of Vigan
- Techniek College Rotterdam
- Universidade de Santiago
- Universiti Teknologi MARA Cawangan Johor Kampus Pasir Gudang
- Poltekkes Kemenkes Yogyakarta
- Baguio City National High School
- Colegio san marcos
- preparatoria uno
- Centro de Bachillerato Tecnológico Industrial y de Servicios No. 107
- Dalian Maritime University
- Quang Trung Secondary School
- Colegio Tecnológico en Informática
- Corporación Regional de Educación Superior
- Grupo CEDVA
- Dar Al Uloom University
- Centro de Estudios Preuniversitarios de la Universidad Nacional de Ingeniería
- 上智大学
- Aakash International School, Nuna Majara
- San Felipe Neri Catholic School
- Kang Chiao International School - New Taipei City
- Misamis Occidental National High School
- Institución Educativa Escuela Normal Juan Ladrilleros
- Kolehiyo ng Pantukan
- Batanes State College
- Instituto Continental
- Sekolah Menengah Kejuruan Kesehatan Kaltara (Tarakan)
- Colegio de La Inmaculada Concepcion - Cebu