auditorías específicas: bcp, datacenter, bai04 · pdf filefrecuentemente, el drp...
TRANSCRIPT
AUDITORÍAS ESPECÍFICAS: BCP, DATACENTER, BAI04
Andrés Quintero AriasCódigo: 1701020289
AUDITORÍA INFORMÁTICAUNIVERSIDAD DE CALDAS
2015
1. BCP: PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO
1.1 INTRODUCCIÓN
La Continuidad del Negocio es un concepto que abarca tanto la Planeación paraRecuperación de Desastres (DRP) como la Planeación para el Restablecimientodel Negocio. La Recuperación de Desastres es la capacidad para responder a unainterrupción de los servicios mediante la implementación de un plan pararestablecer las funciones críticas de la organización.
El establecimiento de procedimientos y medidas de seguridad están destinados asalvaguardar la unidad administrativa, el centro de cómputo y su estructura física,al personal, sus procedimientos operacionales, la información y documentacióngenerada contra cualquier evento natural o humano que de forma intencional o poraccidente puedan afectarlos.
Un programa efectivo de administración de la continuidad del negocio constituyeun aspecto crítico para las organizaciones de hoy. La experiencia nos dice quecerca del 50% de las organizaciones que han experimentado un desastre sincontar con un plan efectivo de continuidad, dejarán de operar a los doce mesescomo máximo e inclusive aquellas organizaciones que ejecutaron un plan no muybien diseñado ni probado sufrirán pérdidas a largo plazo.
La necesidad de contar con capacidades de recuperación y continuidad denegocios nunca fue tan fuerte dado que actualmente se requiere operar en formacontinua, a la vez que la dependencia del negocio en la tecnología informática escada vez mayor. Sin embargo, hay que reconocer que la velocidad y lasdependencias de los negocios de hoy en día hacen que la planeación de lacontinuidad del negocio se convierta en una tarea compleja para las compañías.Se debe considerar a la gente, las instalaciones, la tecnología y los socios denegocios involucrados, se debe preparar la respuesta a la crisis y además se debetener la capacidad de coordinar su respuesta con muchas partes externas.
Para administrar este desafío se requiere un enfoque integral, que incorpore unanálisis detallado de los requerimientos del negocio, la sensibilización de losusuarios, el uso de herramientas tecnológicas y sobre todo se debe concebirfundamentalmente a la continuidad del negocio como un proceso permanente másque la suma de soluciones puntuales.
1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO)
El BCP es un plan de procedimientos alternativos a la forma tradicional de operarde la empresa y es una herramienta que ayuda a que los procesos que seconsideran críticos para la organización continúen funcionando en una situaciónextraordinaria, a pesar de una situación incontrolable en el entorno. Un plan decontinuidad del negocio, se enfoca en sostener las funciones del negocio de una
Entidad durante y después de una interrupción a los procesos críticos del negocio.Un Plan de Continuidad del Negocio o BCP debe considerar todas las áreas de laempresa de manera integral incluso desde la estrategia, incorporando el DRP enconjunto con los elementos mínimos requeridos para continuar con la operacióndel negocio. El contar con un plan de esta naturaleza significa que la organización estápreparada adecuadamente para cualquier eventualidad, continuando con suoperación e impactando lo menos posible la salud financiera de la empresa. Las primeras 72 horas después de la interrupción, son vitales para saber si elnegocio soportará o morirá debido a la contingencia que se presenta. Morir, noserá un acto inmediato, sino que puede ser un proceso irreversible y lento porqueno se tuvieron las respuestas inmediatas para adaptarse al entorno que sepresenta. Un BCP contempla la continuidad de los procesos y servicios críticos del negocio yse integra bajo las dimensiones de organización (recursos humanos, materiales ylíneas de mando), operaciones (políticas y procedimientos), Tecnologías deInformación e instalaciones, analizados bajo el marco de referencia de lacontinuidad. Las características que debe tener un BCP son:
Claridad Ser de fácil entendimiento Concreto
El BCP es para toda la organización, y no debe descansar sólo en el niveldirectivo, ya que quien opera es el grupo que debe estar más inmerso en elentendimiento y aplicación del mismo. Bajo esta premisa, el capital humano tiene un peso relevante, ya que es elresponsable de su aplicación y operación, por lo que debe existir un adecuadoproceso de capacitación.
1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio En la figura siguiente, se observa una versión completa de los diferentes tipos deplanes, relacionados con la atención de emergencias, y que se interrelacionan conun Plan de Continuidad del Negocio (BCP, DRP).
Se desprende la conveniencia de que un Plan de Continuidad del Negocio secomplemente con otros planes que ayudan a su efectividad. Sin embargo, debidoa la carencia de definiciones estándar para estos tipos de planes, en algunoscasos, el alcance de los mismos puede variar entre las diferentes organizaciones.Estos planes son: 1. Plan de comunicación de crisis: documento que contiene los procedimientosinternos y externos que las organizaciones deben preparar ante un desastre. Esteplan debe estar coordinado con los demás planes para asegurar que sólocomunicados aprobados sean divulgados y que solamente personal autorizadosea el responsable de responder las diferentes inquietudes y de diseminar losreportes de estado al personal y al público.
2. Planes de evacuación por edificio: contiene los procedimientos que debenseguir los ocupantes de una instalación o facilidad en el evento en que unasituación se convierta en una amenaza potencial a la salud y seguridad delpersonal, el ambiente o la propiedad. Tales eventos podrían incluir fuego,terremoto, huracán, ataque criminal o una emergencia médica.
3. Plan de continuidad de operaciones (COOP): Orientado a restaurar lasfunciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, lafábrica, el almacén de ventas) en una sede alterna y realizar aquellas funcionespor un período máximo de 30 días antes de retornar a las operaciones normales.Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado yejecutado independientemente del BCP. Interrupciones menores que no requierenreubicación en una sede alterna típicamente no son cubiertas en un COOP.
4. Plan de respuesta a ciber-incidentes: Establece procedimientos pararesponder a los ataques en el ciberespacio contra un sistema de TecnologíaInformática (TI) de una entidad. Estos procedimientos son diseñados parapermitirle al personal de seguridad identificar, mitigar y recuperarse de incidentesde cómputo maliciosos tales como: Acceso no autorizado a un sistema o dato,Negación de servicio, Cambios no autorizados a HW, SW o datos.
5. Planes de contingencia de TI: orientado a ofrecer un método alterno parasistemas de soporte general y para aplicaciones importantes Debido a que un Plande contingencia de TI debe ser desarrollado por sistema de soporte general y porcada aplicación importante, existirán múltiples planes de contingencia.
6. Plan de recuperación de desastres (DRP): Orientado a responder a eventosimportantes, usualmente catastróficos que niegan el acceso a la facilidad normalpor un período extendido. Frecuentemente, el DRP se refiere a un plan enfocadoen TI diseñado para restaurar la operabilidad del sistema, aplicación o facilidad decómputo objetivo en un sitio alterno después de una emergencia. El alcance de unDRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, elDRP es más amplio en alcance y no cubre interrupciones menores que norequieren reubicación.
7. Plan de recuperación del negocio: Permite restaurar un proceso de negociodespués de una emergencia, pero al contrario del BCP, carece de procedimientospara asegurar la continuidad de procesos críticos durante una emergencia ointerrupción. Productos que componen el Plan de Continuidad (BCP, DRP)
El Plan de Continuidad del Negocio incluye los siguientes productos: 1. Impacto de Análisis del Negocio. 2. Evaluación o Valoración de Riesgos. 3. Estrategias de Continuidad. 4. Roles, responsabilidades y procedimientos. 5. Procesos y Procedimientos de Continuidad. 6. Plan de Pruebas del Plan de Continuidad.
1.3 OBSERVACIONES
En caso, de que su empresa no cuente con un Plan de Continuidad de Negocios,nuestra recomendación es reflexionar sobre los 4 aspectos mínimos que apoyen laimplantación de un plan contingente hasta que pase la crisis:
1. Crear un Comité de Crisis
Este Comité deberá estar integrado por los principales ejecutivos de la empresaque representen el 100% de la operación. Este órgano será el único que tomarádecisiones mientras dure la crisis y será el responsable de construir un plan paraatacar la contingencia.
2. Crear un vínculo de comunicación permanente con la organización
El Comité de Crisis deberá de contar con un vínculo de comunicación entre éste ytodos los miembros de la organización. Se deberá crear un Plan de Comunicaciónbien estructurado, permanente y continuo para mantener a la organización y suscolaboradores bien informados.
3. Desde el punto de vista de operaciones:
Identificar los procesos/actividades del negocio vitales en la operación y suinterrelación con los procesos totales del negocio. Definición de prioridades ymarcos de referencia en el tiempo. Definición de alternativas para la continuidadde servicios críticos. Descripción de plan de recuperación para los escenarios deinterrupción más comunes. Minimizar la toma de decisiones durante la crisis.
4. Desde el punto de vista de requerimientos:
Seleccionar y definir equipos de trabajo con personal comprometido y experienciafuncional. Definir recursos mínimos requeridos para mantener la operación ycomunicación de toda la organización, como pueden ser: lap tops, enlace aInternet, VPN, teléfonos celulares, concentración de grupos críticos, etc. Definirrequerimientos de recuperación de los procesos considerados no críticos, paraestabilizar la operación. Definir esquemas de reporte y seguimiento diario a laoperación mediante los grupos focales, definidos en etapas anteriores.
1.4 PROGRAMA DE AUDITORIA
Con el fin de llevar a cabo la auditoria específica referente a BCP, se llevara acabo el siguiente programa de Auditoria: 1. Investigación Preliminar. 2. Identificación y Agrupación de Riesgos
3. Evaluación de la Seguridad en la empresa objeto de la Auditoría 4. Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de Auditoría 6. Elaboración de Informe de Auditoría 7. Seguimiento.
1. Investigación preliminar
En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad delNegocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo unarevisión general y una visita a la empresa, para definir los pasos a seguir. Se conocerá de manera global los planes que conforman el Plan de Continuidaddel Negocio y que tan completo están con el fin de definir a que se le haráAuditoria e identificar los elementos que apoyan dichos planes.
Consideraciones Conocimiento global de la empresa en cuanto a: Planes de mitigación de Riegos,Área de sistemas, Estructura organizacional y personal. Conocimiento global delos sistemas, evaluando las herramientas que proporciona como apoyo a laseguridad y a la administración.
a. Conocimiento de los planes existentes en la empresa: Recopilación de información referente a los riesgos y estrategias que se definenen cada plan con el fin de identificar el nivel de preparación en el cual seencuentra la organización referente a situaciones que puedan provocar el paro desus operaciones. Para esto se debe solicitar:
Plan de mitigación de Riesgos. Plan de Recuperación de Desastres Plan de Continuidad de Operaciones Plan de comunicación de crisis Plan de contingencia de TI Plan de recuperación del Negocio
b. Importancia de los planes de contingencia de riesgos para garantizar lacontinuidad de las operaciones de la empresa.
c. Alcance de la Auditoria. Las herramientas y mecanismos a utilizar para llevar a cabo esta investigaciónpreliminar son:
Entrevistas previas con el cliente. Revisión de las instalaciones donde se realizara la auditoria.
Investigación de los funcionarios que analizaron y elaboraron el plan de continuidad del negocio.
Revisión de documentación proporcionada por la empresa. Estudio y evaluación del sistema de control interno.
2. Identificación y Agrupación de Riesgos
Identificar y clasificar los riesgos a los que está expuesto la empresa que puedenafectar la continuidad del negocio. A continuación se listaran los riesgos quepueden afectar a la organización.
Desastres naturales inesperados dentro de la organización. Amenazas a los recursos de TI que comprenden el uso de información vital
dentro de la empresa. Amenazas a la infraestructura Arquitectónica/Civil y de TI.
3. Evaluación de la Seguridad en la empresa objeto de la Auditoría
Se determinara si el Plan de Continuidad del Negocio o BCP considera todas lasáreas de la empresa de manera integral incluso desde la estrategia, incorporandoel DRP en conjunto con los elementos mínimos requeridos para continuar con laoperación del negocio. Se examinará si existe apoyo a los procesos que se consideran críticos para quela organización continúe funcionando en una situación extraordinaria, a pesar deuna situación incontrolable en el entorno.
4. Diseño de Pruebas de Auditoría
Se determinarán en términos generales los instrumentos y técnicas a utilizar parallevar a cabo la verificación del cumplimiento adecuado de los procesosnecesarios para garantizar que dentro de la organización se maneja un plan decontinuidad de negocio esencial para asegurar la vida de la compañía antecualquier tipo de contingencia y que para conseguir su efectividad, se sigue comomínimo los siguientes aspectos:
El plan de continuidad de negocio está basado en directrices marcadas porla dirección.
A través de un análisis de impacto de negocio y una gestión del riesgo seconsiguen los fundamentos para un efectivo BCP.
El Plan de Continuidad del Negocio esta periódicamente actualizado parareflejar y responder a los cambios que se vayan produciendo en lacompañía.
PREGUNTAS CERRADAS
No pregunta Si No Ns Observación
1 ¿Existe en su empresa un plan de recuperación de desastres?
2 ¿El administrador y coordinador del plan es responsable enmantener dicho plan al día?
3 ¿Existe un equipo para la recuperación de desastres quereaccionen a una emergencia en medidas de acción inmediatas?
4 ¿Dónde está el sitio de instalación de copia de seguridad?
5¿El plan indica claramente las prioridades para la restauración delos sistemas de la empresa, basados en el riesgo para el negocio
en particular?
6 ¿Tienen sus empleados en la empresa una copia del plan de laorganización de recuperación de desastres?
7 ¿Se tiene en la empresa una copia actual del organigrama?
8 ¿Se realiza dentro de la empresa una lista de inventario de todoslos activos que se poseen en la empresa?
9 ¿Se tienen acuerdos relativos a la seguridad en el uso de lasinstalaciones de la empresa?
10 ¿Tiene respaldos de la información?
11 ¿Posee un plan para gestionar los riesgos?
12 ¿Tiene una identificación de los procesos críticos del negocio?
13 ¿Posee políticas de seguridad para garantizar la continuidad delnegocio?
14 ¿Posee políticas de seguridad para proteger la información?
15 ¿Actualiza el plan de recuperación de desastres de maneracontinua?
16 ¿Hay un grupo encargado del plan de recuperación?
17 ¿Los miembros del grupo de recuperación poseen copias del plande recuperación?
18 ¿Realiza backups continuamente?
19 ¿Los sistemas críticos son cubiertos por el plan?
20 ¿Tiene equipos que no son cubiertos por el plan?
21 ¿Posee procedimientos formales para la realización de backups?
22 ¿Posee procedimientos formales para el proceso de restauración?
23 ¿Las nuevas soluciones informáticas garantizan la continuidad delnegocio?
24¿Los usuarios de los sistemas informáticos y el hardware recibenCapacitación para desempeñar nuevas funciones y garantizar la
continuidad del negocio?
25 ¿Evalúa el desempeño de la empresa con relación a loscompetidores?
PREGUNTAS ABIERTAS
No pregunta Respuesta
1¿Si existe un plan, cuando fue la última vez que seactualizo?
2¿Indique cuáles son los procedimientos para la actualizacióndel Plan de Continuidad del Negocio?
3¿Quién es el encargado en su empresa de la administracióno la coordinación del plan?
4¿Dónde se encuentra almacenado el plan de recuperaciónde desastres en su empresa?
5¿Dónde está la lista almacenada de los contactos del equipode recuperación de desastres?
6 ¿Qué sistemas críticos están cubiertos por el plan?
7¿Cuál es el grado de madurez que tiene la empresa al poseer un sitio para las copias de seguridad?
8 ¿Bajo qué paramentos ha seleccionado el sitio?
9 ¿Con qué modalidad ha contratado el sitio?
10 ¿Realizan pruebas al plan?
11 ¿Qué pruebas realizan y con cuanta periodicidad?
LISTA DE VERIFICACIÓN
No pregunta Cumple No cumple Observación
1 Se cuenta con un plan para gestionar losriesgos?
2 Se identifican los procesos críticos del negocio?
3Se cuenta con políticas de seguridad para garantizar la continuidad del negocio?
4Posee políticas de seguridad para proteger lainformación?
5Se cuenta con un plan de recuperación de desastres?
6Se cuenta con un responsable de administrar o coordinar el plan?
7Hay un grupo encargado del plan de recuperación
8Los miembros del grupo de recuperación poseen copias del plan de recuperación
9 Realiza backups continuamente?
10 Tiene equipos que no son cubiertos por el plan
11Posee procedimientos formales para la realización de backups
12Posee procedimientos formales para el proceso de restauración?
13
Los usuarios de los sistemas informáticos y el hardware reciben capacitación para desempeñar nuevas funciones y garantizar la continuidad del negocio?
14Garantiza el cumplimiento de las leyes y regulaciones?
5. Ejecutar Pruebas de Auditoría
Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soportedocumental de las respuestas de los cuestionarios y de esta manera verificar elcontrol que se está llevando en la administración del Plan de Continuidad delNegocio.
6. Elaboración de Informe de Auditoría
El informe de auditoría busca comunicar a la organización los resultados de laevaluación y las pruebas ejecutadas, proporcionando mayor valor a laorganización, informando si el Plan de Continuidad de Negocio es realmenteefectivo en caso de su ejecución y si se puede decir que se han alineado lasTecnologías de la información con los objetivos del negocio.
7. Seguimiento.
Se verificará que los objetivos del BCP de la empresa se están cumpliendo y queestos contribuyen a minimizar la pérdida financiera de la compañía, y que segarantiza la calidad del servicio a los clientes. Así mismo se evaluará que la organización este bien preparada adecuadamente Yque toda la organización tiene conocimiento de las operaciones y de todos y cadauno de quienes participan en cada proceso crítico para cualquier eventualidad,continuando con su operación e impactando lo menos posible la salud financierade la empresa.
1.5. CONCLUSIONES
En el entorno actual, en materia de costos es más efectivo prevenir que recuperar.Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor eneste momento analizar, planear, ordenar y ejecutar, para mitigar el impacto ygenerar mejores resultados.
Los beneficios de actuar bajo un plan son:
Análisis claro y preciso, y conocimiento consistente y continuo sobre lasituación del negocio y la efectividad de la estrategia de continuidaddefinida.
Evaluación técnica de riesgos asociados a la continuidad y evaluación dealternativas y estrategias de minimización de riesgos.
Mapeo crítico de los recursos mínimos requeridos en la continuidad de losprocesos del negocio.
Control del impacto financiero y operacional, causado por la interrupción dela operación natural del negocio
Análisis y reducción del nivel de riesgo al cual se encuentra expuesta laentidad.
Decisiones rápidas y acertadas para subsanar posibles riesgos inherentes ala situación y esquema de operación en el que se encuentra el negocio
Desarrollo de cultura y personal mejor capacitado y sensibilizado en laimportancia de la continuidad en la entidad.
2. DATA CENTER
2.1 INTRODUCCIÓN.
El término de Auditoria es empleado incorrectamente con frecuencia ya que seconsidera como una evaluación cuyo único fin es detectar errores y señalar fallas.El concepto de auditoría es mucho más amplio. Es un análisis crítico que serealiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de undepartamento, un organismo, una entidad, etc. Con el fin de proporcionar la información que la empresa necesita para alcanzarsus objetivos, los recursos de TI deben ser administrados por un conjunto deprocesos de TI agrupados de forma tal de obtener un modelo de referencia aimplementar. La auditoría en un Data Center tiene el objetivo de mejorar el rendimientooperacional y la calidad de la energía, dicha auditoria debe estar orientada agenerar valor a sus clientes a través de un minucioso estudio en sistemaseléctricos y de climatización, identificando deficiencias y oportunidades de mejoray ahorro. El centro de datos es considerado un generador de mucho valor para la compañíapero por su actividad crítica, es también generador de mucho gasto e inversióntanto a nivel de capital como de gastos operativos. En este sentido, es muyimportante que su diseño y crecimiento esté dirigido a buenas prácticas queoptimicen su funcionamiento y que aplique las políticas y normativasinternacionales, impulsando y respaldando el constante desarrollo de laorganización.
2.2 DEFINICION DE DATA CENTER
Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamosrefiriéndonos a la ubicación donde se concentran todos los recursos necesariospara el procesamiento de información de una organización. También se conocecomo centro de cómputo (Iberoamérica) o centro de cálculo (España). La integración de las infraestructuras tecnológicas en un Data Center, permiteautomatizar la gestión de los recursos y convertir unas infraestructuras caóticas enalgo gestionable y altamente automatizado con el consiguiente ahorro de recursoseconómicos. Por ejemplo: Los costes de administración y gestión que le supone auna organización, tener sus servidores dispersos por diferentes localizacionesfísicas, sin un control y administración central, es mucho mayor que si dichosservidores se encuentran en un CDP, con un único equipo de gestión yadministración. Los Data Center diseñados según las nuevas especificaciones, permiten llevar acabo una gestión del consumo de energía de las infraestructuras, lo que nospermite alcanzar una eficiencia energética, lo que supone una disminución de loscostos del funcionamiento del Data Center.
El concepto de virtualización está íntimamente ligado a los “Data Center”;virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas deinformación, reduciendo el número de máquinas físicas y consiguiendo optimizarlos recursos que se necesitan para la administración, gestión y mantenimiento delas mismas. Los nuevos Data Center están cambiando la percepción que se tiene de lasinfraestructuras de proceso, almacenamiento y transmisión de la información, loque está llevando a que hoy en día tanto las capacidades de procesamiento, comolas de almacenamiento y de comunicaciones, se consideren un servicio y como talse vendan. Lo que verdaderamente importa es disponer de una infraestructura tecnológicaque permita que los servicios de TI estén alineados con el negocio y aporten valoral mismo. La auditoría en Data Center consta de un detallado análisis de la composición, usoy desempeño del centro de datos, que implica el despliegue de destacadosprofesionales y personal técnico especializado en una labor de campo para ellevantamiento de información sobre la instalación eléctrica y de climatización, laevaluación de puntos críticos y puntos de fallas, la identificación de oportunidades,el diagnóstico y el rediseño, a fin de reducir significativamente los gastosoperativos por parte de los usuarios, acercando el Data Center a un modeloóptimo, capaz de soportar nuevas implementaciones y preparado para continuarcon su crecimiento.
2.2.1. Auditoria Seguridad de Centro de Cómputos (Data Centers) basados enlas normas NFPA75, TIA 942.
La auditoría de Seguridad de Centro de Cómputos (Data Centers) está basada enlas normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer losrequerimientos y las guías para el diseño e instalación de Centros de Cómputo(Data Centers). Se auditará la planificación de la ubicación, sistemas de cableadoy diseño de la red, topología del piso para lograr el balance apropiado entreseguridad, densidad de racks, etc. TIA-942 permite que el diseño del Data Center sea considerado desde el procesode desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobredistintos esfuerzos en el área de diseño, promoviendo así la cooperación entre lasfases de su construcción. El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton yestablece los requisitos para la construcción con computadoras necesitandoprotección contra incendios y edificación, habitaciones, áreas, o ambientesoperacionales especiales. La aplicación está basada en consideraciones de riesgotal como los aspectos de interrupción de negocio de la función o amenazas defuego a la instalación.
2.2.2. Normas, Estándares y Auditoria en un DC2.2.2.1 Proceso de Implementación
2.2.2.2. Estudio de Factibilidad
Criterio de Diseño
En esta etapa, se lleva a cabo la definición del proyecto y la preparación de losrequerimientos técnicos de Diseño.Se estable una matriz en donde se clasifican los posibles alcances o proyeccionesa alcanzar en un Centro de Datos y se realiza la recomendación según losestándares internacionales.Se debe desarrollar un Criterio Técnico de Diseño, para el área deTelecomunicaciones, Arquitectónica/Civil, Eléctrica y Mecánica. Estudiospreliminares y Selección del Sitio.
2.2.3. Estándares y Normas – Tipos
Norma o Estándar: Por definición son sinónimos, no existe diferencia entreellos, y existen normas establecidas por Organismos Internacionales, OrganismosRegionales y Organizaciones Privadas.
Norma de Facto: Especificación técnica que ha sido desarrollada por una ovarias compañías y que ha adquirido importancia debido a las condiciones delmercado (TIER, BICSI, IEEE).
Norma de Jure: Especificación técnica aprobada por un órgano denormalización reconocido para la aplicación de la misma (ISO, IEC, UL).
2.2.4. Aplicación de Normas en un Centro de Datos
Normas Regionales: Se debe de cumplir con lo que indican los entes decada región, por ejemplo Códigos Sísmicos, Normas Eléctricas,generalmente se establecen mediante decretos y son de cumplimientoobligatorio.
Normas Internacionales: Son aquellas normas generadas por un grupo deorganizaciones regionales y aunque no son de cumplimiento obligatorio, seasumen como necesarias.
Normas de Organizaciones: Son esquemas de Buenas Prácticas yrecomendaciones (TIER, BICSI, etc.), generalmente certificados solamentepor el ente que las emitió.
2.2.5. Normas asociados a Centros de Datos
Normas ISO y BSBS25999: Continuidad de la actividad comercial/ Lagestión de continuidad de la actividad comercial (BCM) se ha concebidopara ayudar a las organizaciones a minimizar el riesgo de interrupciones.
ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de servicios de TI degran calidad.
ISO/IEC 27001: Seguridad de la información/Protección de la información,el activo más valioso.
En 16001: Eficiencia energética/ Comprometidos con el uso eficiente de laenergía.
2.2.5.1 Normas y Mejores Prácticas LEED
NFPA
BICSI
ASHRAE
IEEE
2.2.5.2. Tipos de Auditorías Auditorias de Eficiencia.
Auditorias Electromecánica.
Auditorías de la Gestión de los sistemas (ISO)
Auditorías de Riesgo Operacional (Conjunto de Auditorías Anteriores).
2.2.6. ¿Qué es necesario tener en un data center?
Acometidas eléctricas. Sistemas para prevenir y controlar incendios e inundaciones como:
drenajes y extintores. Vías de evacuación. Puertas y pinturas ignífugas (que protegen contra fuego) Aire acondicionado. UPS (Sistema de alimentación de energía ininterrumpido) Pisos y techos falsos. Instalación de alarmas. Control de temperatura y humedad con avisos. Cerraduras electromagnéticas Cámaras de seguridad o CCTV (Circuito cerrado de televisión) Detectores de movimiento Tarjetas de identificación. Bitácoras de acceso manual y electrónicas. Botón de apagado de emergencia (EPO por sus siglas en inglés Emergency
Power Outage)
Los requerimientos variarán entre cada uno, puesto que no son los mismosriesgos en cada uno y su localización también varía.
2.3 OBSERVACIONES
En general, la función de Auditoría Informática en la empresa es garantizar que lossistemas de ordenador salvaguardan los “bienes” de la organización, mantienen laintegridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz yefectivo. Aunque esta definición es extensible a los Centros de Proceso de Datos, en estosse deben de tener en cuenta algunas consideraciones especiales, dado que enellos se concentran datos y aplicaciones informáticas en espacios muy reducidos,lo que los hace excepcionalmente propensos a problemas potenciales, tantológicos como físicos, que pueden afectar a su seguridad y funcionamiento.
2.4 PROGRAMA DE AUDITORIA Con el fin de llevar a cabo la auditoria referente a Data Center, se llevará a cabo elsiguiente programa de Auditoria. a. Investigación Preliminar. En esta etapa se llevará a cabo la definición de la preparación de losrequerimientos técnicos de diseño de un Data Center. Se establecerá una matrizen donde se clasificaran los posibles alcances o proyecciones en un centro deDatos. Identificar si se dispone de una infraestructura tecnológica que permita que losservicios de TI estén alineados con el negocio y aporten valor al mismo.
b. Identificación y Agrupación de Riesgos
Consta de un análisis de la composición, uso y desempeño del centro de datos yel posterior levantamiento de información sobre la instalación eléctrica y declimatización, la evaluación de puntos críticos y puntos de fallas, la identificaciónde oportunidades, el diagnóstico y rediseño, a fin de identificar los riesgos paracada grupo identificado y diseñar instrumentos que permitan evaluar los aspectosplaneados.
c. Evaluación de la Seguridad en la empresa objeto de la Auditoría
Se determinara si el diseño y crecimiento existentes en la empresa, están dirigidosa buenas prácticas que optimicen su funcionamiento y que aplique las políticas ynormativas internacionales, impulsando y respaldando el constante desarrollo dela organización.
d. Diseño de Pruebas de Auditoría
Se determinarán en términos generales los instrumentos y técnicas a utilizar parallevar a cabo la verificación del cumplimiento adecuado de los procesosnecesarios para garantizar las correctas prácticas de optimización delfuncionamiento y de aplicación de políticas normativas e internacionales en laimplantación de Data Centers en la organización.
LISTAS DE CHEQUEO
No Pregunta CumpleNo
CumpleObservación
1Consideración de un Data Center en elPETI
2 Identificación de riesgos del Data Center
3Inversiones planeadas para el Data Center
4Mantenimiento preventivo y correctivo eficiente y eficaz
5 Equipos funcionando correctamente
6 Conocimiento de la ubicación de los equipos informáticos.
7 Conoce el número de equipos del DataCenter.
8 Conoce las garantías que poseen los equipos.
9La confidencialidad de los datos y correos que administran sus equipos es confiable y no puede ser vulnerada
10Los medios magnéticos que se intercambian con los clientes y proveedores, son seguros
11Las bases de datos de sus clientes NOpueden ser copiadas, llevadas, por personal no autorizado.
12
Los soportes magnéticos que utiliza están siendo administrados de maneraque no se compren insumos innecesarios y estos se encuentren disponibles para el momento en que son necesarios
13Tiene posibilidades de recurrir a un backup en caso de situaciones tremendamente críticas
14
La información impresa que generan sus sistemas es la mínima y necesariapara evitar costos en papelería y distribución innecesaria así como el riesgo por robo de información
15
Posee mecanismos para controlar el acceso a sus equipos, tanto físicamente o mediante equipos decomunicaciones
16
La gente que maneja tanto la información como los equipos está al tanto de novedades y en condiciones de responder a las exigencias del puesto
17 Los contratos con los proveedores que
le ayudan con los aspectos críticos desu operación, contemplan sus necesidades y lo protegen
18
Sus sistemas operativos aseguran determinado nivel de seguridad en los accesos y operaciones delnegocio
19 Posee UPS’s al interior del Data Center
20Su sistema genera alarmas ante cualquier fallo que pueda afectar al negocio
21 Posee sistemas de redundancia eléctrica
22 el Data Center es tolerante a fallos según las normas y leyes
PREGUNTAS ABIERTAS
No Pregunta Respuesta
1¿Cuáles son las posibilidades de recurrir a
un backup en caso de situacionestremendamente críticas?
2
¿La información impresa que generan sussistemas es la mínima y necesaria paraevitar costos en papelería y distribución
innecesaria así como el riesgo por robo deinformación? Justifique
3
¿La información impresa que generan sussistemas es la mínima y necesaria paraevitar costos en papelería y distribución
innecesaria así como el riesgo por robo deinformación? Justifique
4
¿Cuáles son los mecanismos paracontrolar el acceso a sus equipos, tanto
físicamente o mediante equipos decomunicaciones?
5
¿La gente que maneja tanto la informacióncomo los equipos está al tanto de
novedades y en condiciones de respondera las exigencias del puesto? Justifique
6
¿Los contratos con los proveedores que leayudan con los aspectos críticos de su
operación, contemplan sus necesidades ylo protegen?
7¿Cómo los sistemas operativos aseguran
determinado nivel de seguridad en losaccesos y operaciones del negocio?
8
¿Cuáles son acuerdos formalizados y conqué métricas concretas tienen determinar el
nivel de servicio pactado entre su DataCenter y las gerencias de su Negocio?
9 ¿Explique el uso de las UPS’s al interior delData Center?
10¿Su sistema genera alarmas ante cualquierfallo que pueda afectar al negocio? De qué
manera
11 ¿Considera que su Data Center estolerante a fallos? Justifique
PREGUNTAS CERRADAS
No pregunta Si No Ns Observación
1¿En la empresa conoce la ubicación,cantidad y la garantía de sus equipos?
2¿La empresa realiza mantenimientopreventivo y eficaz a sus equipos?
3
¿Cuándo se producen problemas con losequipos, estos son atendidos con el fin deminimizar los impactos que puedaocasionar al negocio?
4
¿Todos los empleados de la empresa sontratados con equidad en el uso de losequipos?
5
¿La confidencialidad de los datos y correosque administran sus equipos es confiable yno puede ser vulnerada? Explique.
6
¿Los medios magnéticos que ustedesintercambian con sus clientes yproveedores son seguros?
7
¿Ustedes como empresa puedengarantizar que los medios que intercambiancon sus clientes y proveedores, sonseguros? Si es afirmativa expliquen cómo.
8
¿Los soportes magnéticos que utiliza estánsiendo administrados de manera de nocomprar insumos innecesarios y estardisponibles para el momento en que sonnecesarios?
9
¿Tiene posibilidades de recurrir a un backup en caso de situaciones de grancriticidad?
10
¿La información impresa que generan sussistemas es la mínima y necesaria paraevitar costos en papelería y distribucióninnecesaria así como el riesgo por robo deinformación?
11 ¿Existen acuerdos formalizados y conmétricas concretas para determinar el nivelde servicio pactado entre su Data Center ylas gerencias de su Negocio?
12
¿La gente que maneja tanto la informacióncomo los equipos está al tanto denovedades y en condiciones de respondera las exigencias del puesto?
13 ¿Consideró la creación de un Data Centeren su PETI?
14¿Ha identificado los riesgos en los cualespuede incurrir su DataCenter?
15¿Las inversiones planeadas para el DataCenter son acordes con las necesidadesdel negocio?
16 ¿Realiza un mantenimiento preventivo ycorrectivo eficiente y eficaz?
17 ¿Sus equipos están siendo bienmanipulados?
18 ¿Conoce ciertamente dónde están?
19 ¿Tiene idea del número de equipos queposee el Data Center?
20 ¿Cuenta con garantías para los equipos?
21
¿Cuándo se producen problemas, losmismos son atendidos minimizando losimpactos para su negocio y al mejor bajocosto posible?
22¿La confidencialidad de los datos y correosque administran sus equipos es confiable yno puede ser vulnerada?
23¿Los medios magnéticos que ustedintercambia con sus clientes y proveedores,son seguros?
24¿Las bases de datos de sus clientespueden ser copiadas, llevadas, porpersonal no autorizado?
25
¿Los soportes magnéticos que utiliza estánsiendo administrados de manera que no secompren insumos innecesarios y estos seencuentren disponibles para el momento enque son necesarios?
e. Ejecutar Pruebas de Auditoría
Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de loscuestionarios y de esta manera verificar el control que se está llevando en los DataCenters.
f. Elaboración de Informe de Auditoría Comunicar a la organización los resultados de la auditoria, proporcionando mayorvalor a la organización a través de un minucioso estudio de los sistemas eléctricos
y de climatización que protegen al Data center, identificando deficiencias yoportunidades de mejora y ahorro. g. Seguimiento. Se verificara que el centro de procesamiento de datos o Data Center estealtamente protegido y que día a día se logre reducir el número de máquinasfísicas, consiguiendo optimizar los recursos que se necesitan para laadministración, gestión y mantenimiento de las mismas.
3. COBIT 5: BAI04 Gestión de la Disponibilidad y Capacidad
3.1 INTRODUCCÍON
Las estrategias y planes de continuidad de negocio, son hoy en día,fundamentales para la supervivencia de cualquier empresa, y están íntimamenteligados y dependientes de la continuidad de los servicios que las áreas TIC leentregan al negocio. La definición de conceptos y metas en los alcances de losprocesos de Continuidad y Disponibilidad no están debidamente alineados y setienen esfuerzos e inversiones duplicadas. Ahora bien, para que éstas puedanentregar servicios confiables y eficientes se hace necesaria la gestión adecuadade variables que muchas veces no son tenidas en cuenta como debe ser: LaDisponibilidad y la Capacidad.
La Gestión de la Disponibilidad se ocupa de optimizar y monitorear los serviciosTIC para que funcionen ininterrumpidamente de manera confiable a un costorazonable, y la Gestión de la Capacidad asegura que todos los servicios esténrespaldados por recursos físicos y lógicos correctamente dimensionados(procesamiento, almacenamiento, conectividad, etc.).
Si la disponibilidad falla posiblemente no se puedan cumplir los acuerdos deservicio firmados con los clientes y si la capacidad no está debidamentegestionada, posiblemente se haga inversiones innecesarias que impliquen gastosadicionales de administración y mantenimiento o los recursos sean insuficientes yse afecte la calidad del servicio, la disponibilidad, la continuidad y la imagen
PREGUNTAS CERRADAS
No pregunta Si No Ns Observación
1Dispone de un DBA (Administrador deBases de Datos)
2 Al momento de realizar la base datos, setuvo una arquitectura definida
3Ha tenido problemas en las cargas detrabajo del o los servidores que posee?
4
Su modelo de negocio en condicionesnormales necesita que su empresa estedisponible 24/7 con una disponibilidad del90%
5 Puede asumir una caida del sistema?
6Sabe durante cuanto tiempo puede asumirun fallo del sistema?
7Ha establecido un proceso de planeaciónde cómo utilizará la capacidad dealmacenamiento de datos?
8 Conoce que es el término RAID(conjuntoredundante de discos Independientes)
9 Revisa continuamente la capacidad y ladisponibilidad actual de sus datos?
10Tiene previsto algun plan de contigencia encaso de algun ataque DDOS (ataque dedenegación de servicio distribuido)?
11 Utiliza herramientas de monitoreo paramedir la disponibilidad y la capacidad desus datos?
12 Su sistema es facilmente escalable?
13 Hace mantenimiento y “tuning” a launidades de almacenamiento de datos?