Asignatura Datos del alumno Fecha

Apellidos
Auditoría de la
Seguridad
Nombre:

Actividades

Trabajo: Estructuración de un Centro de Proceso de Datos e

implantación de controles generales

La empresa CityCorp (Banca de Inversión) quiere mejorar su Centro de Proceso de

Datos (CPD). Para ello va a realizar un estudio de reorganización funcional según
normativa ISACA-ISO. Parte de este análisis se basa en la implantación de nuevos
controles en las áreas identificadas.

Realiza los siguientes puntos:

¿Qué organigrama funcional deberá existir para cumplir con estos estándares
internacionales y conseguir los objetivos de negocio, para así lograr una adecuada
gestión de los SI?

Tienes que establecer un organigrama funcional contemplando, entre otros, el área

de control interno informático.

Nota: como guía puedes adaptar el esquema funcional de CPD entregado en clase

Establecer qué controles generales hay que incorporar, valorando la importancia de

los activos más críticos para la empresa y sus riesgos.

Detallar conclusiones del estudio y determinar en el futuro, cual puede ser el

mínimo número de personas que deben realizar las funciones en este CPD, sin
perder eficiencia y eficacia.

¿Dónde situarías y por qué las áreas de técnica de sistemas, administración de Base
de Datos, y Telecomunicaciones (redes) para que den un mejor servicio al Centro de
Proceso de Datos (área de desarrollo/mantenimiento y área de
Explotación/Producción).?

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

En el organigrama del primer punto ¿cómo se contempla la segregación de

funciones y segregación de entornos?

Se considerarán ejercicios válidos si contestas a todos los apartados razonando

debidamente cada decisión tomada.

Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.

DESARROLLO

1.- ¿Qué organigrama funcional deberá existir para cumplir con estos
estándares internacionales y conseguir los objetivos de negocio, para así
lograr una adecuada gestión de los SÍ?

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

Cuadro Nro. 1 Organigrama Funcional de la Empresa City Corp. (Banca de Inversión)

2.- Tienes que establecer un organigrama funcional contemplando,

entre otros, el área de control interno informático.
En nuestro Organigrama, el Control Interno Informático (CITI) es el responsable de
que las TIC sean eficientes y eficaces, y estas se alinean con el negocio de la
Organización.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

Cuadro Nro. 2: Organigrama del Control Interno Informático (CITI)

3.- Establecer qué controles generales hay que incorporar, valorando la

importancia de los activos más críticos para la empresa y sus riesgos.
Los Controles Generales que se pueden establecer en nuestra Organización Bancaria,
son:

Controles de Seguridad Física y Lógica

 Perímetro de seguridad física

 Controles físicos de entrada
1) Cerraduras Biométricas
2) Cerraduras con cifrado
 Seguridad de Oficinas, despachos
 Controles de accesos a datos y programas
 Procedimiento de gestión de usuario
 Acceso a sistemas y aplicaciones
 Responsabilidad del Usuario
 Control de acceso a las redes y servicios asociados
 Gestión de acceso a Usuario

 Seguridad de las telecomunicaciones

 Gestión de la seguridad de las redes
 Intercambio de información con las partes externas

Controles de las Operaciones de los sistemas informáticos

 Inventario de los activos Hardware y Software

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

 Gestión de incidencias en la seguridad de la información

 Notificación de los puntos débiles de la seguridad
 Valoración d ellos eventos de la seguridad de la información y toma de
decisiones
 Respuestas a los incidentes de seguridad
 Seguridad Física
 Protección contra las amenazas externas y ambientales
 Reas de acceso público de cargas y descargas

Control de Organización y Operación

 Procedimientos de gestión de riesgos

 Políticas y normas de la seguridad de sistemas de información
 Planes estratégicos de sistemas
 Procedimientos del Departamento de sistemas

4.- Detallar conclusiones del estudio y determinar en el futuro, cual puede

ser el mínimo número de personas que deben realizar las funciones en este
CPD, sin perder eficiencia y eficacia

Los CPDs tienen aproximadamente 10, 20 hasta 30 servidores distribuidos por todo el
globo del ciberespacio, en este caso si es así, necesitamos personal que mantenga esta
infraestructura tecnológica de 24x7, esto es que sea como mínimo 3 personas que esté
trabajando 8 horas seguida, y que estas personas tengan el conocimiento y la
experiencia de solucionar los problemas que se presentan.

Ahora si ellos salen de vacaciones o ya están de baja, hay que tomar ciertas
precauciones.

Tenemos que probar que funcionen bien los sistemas, ya que se pide 100% de
disponibilidad, el sistema no puede estar ni un minuto caído o fuera de línea, pero este
es algo imposible de tener, y si nos acercamos a ese 100% se pensaría en un desembolso
alto para algo que posiblemente ni notemos. Entonces, que algo pueda estar caído 7
horas al mes esto es 99% de disponibilidad, esto no significa que vaya a ser seguido.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

Tenemos que buscar un equilibrio, en donde nuestro personal este preparado, para
cualquier evento que pueda darse, y así mantener la eficiencia y eficacia de nuestro
CPD

5.- ¿Dónde situarías y por qué las áreas de técnica de sistemas,

administración de Base de Datos, y Telecomunicaciones (redes) para que
den un mejor servicio al Centro de Proceso de Datos (área de
desarrollo/mantenimiento y área de Explotación/Producción).?

El Modelo de nuestro CPD es un modelo centralizado ya que toda la factoría concentra

a las TIC (diseño, desarrollo, implementación, despliegue y soporte técnico de
sistemas) en un solo lugar, y esto no da ciertas desventajas, frente a los costos de
mantención de estas alta tecnologías de infraestructura.

Entonces yo situaría a esas áreas o departamentos de técnica de sistemas,

administración de base de Datos, y Telecomunicaciones (redes) para que le den un
mejor servicio al área de desarrollo/mantenimiento y área de explotación/producción,
en una externalización de esas áreas en un CPD, esto es que las externalizaciones hacia
un CPD de esas áreas mencionadas, es que alojen sus bienes tecnológicos en lugares
especializados, al tenerlos alojados en un tercero, la Empresa Bancaria de City Corp. Se
centrará más en sus negocios, y la ventaja es que se conseguirá ahorros en costes,
seguridad, flexibilidad y una mejor conectividad de redes, menor control de los
sistemas, menor inversión en seguridad y personal, reducción de costes, y sobre todo
reducción de los riesgos.

Las Áreas alojados en un CPD externo, este le ofrecerá un servicio más especializado,
con alta escalabilidad en función del negocio de la organización, se mejoran muchas
cosas, los costes están controlados, ya no será necesario realizar inversiones, también
se cuenta con el personal calificado y la escalabilidad a nuevas tecnologías es mucho
más fácil de adaptarlo.

Las estrategias en cuanto se refieren a los CPD están direccionada hacia una
infraestructura mas inteligente, en el transcurso del tiempo los CPD han tenido una
proliferación de servidores, con un crecimiento alto de las necesidades de almacenar la
información, por el aumento del volumen de los datos y la información que maneja la

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

organización bancaria con las diferentes redes de comunicaciones. Como resultado de

todo hay una gran dificultad para administrar el entorno, y una escasa permisividad
para tener que dar respuesta a las cambiantes necesidades del negocio empresarial.

Entonces vemos que el problema siempre esta relacionado con las estrategias
empresariales del negocio, entonces lo que se requiere es una infraestructura eficiente,
flexible, y resistente. Los CPD deben de evolucionar hacia nuevas arquitecturas que
ofrezcan una mayor escalabilidad y una capacidad de respuesta dinámica y rápida.

Enrique Rollan, Head of Computing Services & Solutions de T-Systems Iberia, menciona que “la
evolución de los CPDs será el ser cada vez más eficientes. Los que trabajamos activamente
desde hace años en este campo conocemos la fuerte cantidad de energía que consumen los
centros de datos, lo que hace que los principales players estemos continuamente buscando la
manera de mejorar y consolidar los CPDs para reducir espacio, mejorar las infraestructuras,
controlar el gasto energético, disminuir costes y fomentar el ahorro tanto de nuestras
compañías tecnológicas como de nuestros clientes”

Ahora analizamos desde el punto de vista de la red de datos, el principal problema o desafío
que presenta un CPD, es el cambio de los patrones en el flujo continuo del tráfico de datos,
pero ahora en los CPD modernos que están altamente virtualizados y dinámicos, los flujos de
paquetes de datos están siempre cambiando, son transversales, gestionar el CPD, tener la
capacidad para solucionar las incidencias de forma oportuna y rápida o manejar el trafico
exige disponer de visibilidad en tiempo real de todos los flujos del trafico que entran y salen
del CPD, que soporta hasta mas del 80% del trafico total de la red corporativa.

Con estos análisis para el CPD, y tener nuestra área de técnica de sistemas externalizado en un
CPD, este y sus subáreas darán una mayor eficiencia al área de desarrollo/mantenimiento y
área de Explotación/Producción.

6.- En el organigrama del primer punto ¿cómo se contempla la segregación

de funciones y segregación de entornos?
La Segregación de funciones se contempla de una manera que cada área o
departamento tenga sus propias funciones para así tener responsabilidades, esto es
muy importante, porque nos permite controlar las funciones y controles que deben de
realizar cada área.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

Cuadro Nro. 3: Matriz de Segregacion de Funciones y responsabilidades del CPD

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

En el Organigrama del CPD en Factoría, se concentra las TIC de Diseño, desarrollo,

implementación,

Cuadro Nro. 4: Organigrama de CPD FACTORIA despliegue y soporte, técnica de

sistemas, etc.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos
Auditoría de la
Seguridad
Nombre:

Cuadro Nro. 5: Organigrama de Segregación de entorno, se ha externalizado el área de

Técnica de Sistemas.

Bibliografía y webgrafías

https://revistabyte.es/tema-de-portada-byte-ti/el-auge-del-cpd/

Retroalimentación del foro: Pregúntale al Profesor, Enero 2020

https://upcommons.upc.edu/bitstream/handle/2099.1/20387/PFC%20Memoria.pdf

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/64385/6/roavbleTFM0617
memoria.pdf

TEMA 2 – Actividades