Asignatura Datos del alumno Fecha

Apellidos: Galindo Hernández

Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

Actividades
Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles
generales

Citycorp: Banca de inversión

La empresa Citycorp tiene las siguientes funciones básicas que la constituyen como una
banca de inversión:
1. Transacciones de propiedades (Fondos de inversión).
2. Creación de mercado.
3. Uniones y adquisiciones (Asesoramiento): Empresas, reestructuración,
regulación y análisis de riesgos de adquisición.
4. Eventos corporativos / Nuevas operaciones: Momentos de exponer una
inversión (a la compañía) en el mercado y Underwritting.
5. Productos financieros estructurados.

Para cumplir con estas funciones tiene tres divisiones que constituyen la estructura
básica de la empresa.
 Front Office: Son las personas que tienen contacto directo con el cliente, estas se
encargan de informarles los procedimientos de la empresa y gestionar los
servicios de prevente, venta y postventa. Esta área se apoya en Middle Office y
en el Back Office.
 Middle Office: Esta parte de la empresa se encarga de evaluar los riesgos del
cliente y del entorno, realizan las evaluaciones de mercado, estadísticas y
proyecciones. Aquí se realizan las operaciones de los procesos de la empresa.
 Back Office: Son las actividades contables y administrativas que se llevan acabo
en los procesos de Citycorp, esta área tiene la responsabilidad de aprobar las
operaciones que se llevan acabo en el Front Office acorde con la información
suministrada por el Middle Office. Aquí se encuentra IT.

Para realizar estas funciones que se constituyen por procesos es necesario que el
organigrama funcional del Centro de Procesamiento de Datos cumpla con los objetivos
y las necesidades de la empresa que corresponden a estas funciones.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

Necesidades y objetivos de la empresa:

1. Comunicación entre las partes de la empresa (Información del clientes,
empresas o corporaciones).
2. Transparencia en el procesamiento de la información.
3. Eficiencia y eficacia en los procesos.
4. Manejo de intereses de los clientes e involucrados en las transacciones que
gestiona la empresa.
5. Recopilación y sintetización de la información para utilizarla en los procesos de
la empresa.

Organigrama del Centro de Procesamiento de Datos

Debido a que la banca de inversión tiene procesos en donde la comunicación es crucial

como al momento de realizar eventos corporativos, uniones y adquisiciones o procesos

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

que se exponen al publico, el Community Manager de la compañía debe estar por fuera
del Centro de Procesamiento de Datos, este debe trabajar directamente con el director
en términos de recopilación de datos y estadísticas sobre la imagen de la empresa pero
no será un área que se encuentre dentro del CPD.
Las áreas de técnicas de sistemas deben encontrarse como un puente entre el Centro de
Atención al Usuario y las diferentes áreas del CPD, pues de ellos dependerá encaminar
las peticiones del usuario que el Centro de Soporte de Usuario no pueda resolver. Al
mismo tiempo brindar el mantenimiento regular requerido dentro de Citycorp.
La administración de Bases de Datos debe encontrarse entre el área de producción del
CPD (Data Center) y el control de calidad de datos en el área de Control Interno de
Tecnologías de la Información, con el objetivo de realizar el diseño lógico y físico de
las BBDD, dando soporte a la Banca de Inversión y facilitando el uso de los datos según
las necesidades de aplicación. Esta conexión tiene el objetivo generar comunicación
dentro de los procesos a las áreas, autorregulándose entre sí, al verificar que los
controles se están cumpliendo, demostrando que la seguridad de la información es
prioridad (Proceso simultaneo).
El área de Telecomunicaciones, al ser los encargados de las conexiones de red de la
empresa, deben estar en el área del desarrollo y mantenimiento del CPD, y deberá
responder a la dirección de el supervisor del área técnica de sistemas.
En el Data Center se especifica la importancia de trabajar a la mano con los que
necesitan la información y así mismo realizar, mantener y evaluar esta información
requerida. Por ello, se especifica que la captura de datos de Citycorp tiene diferentes
fuentes, tales como sus propios investigadores, estadistas y economistas que se encargan
de generar datos acerca del estado del mercado y sus respectivas proyecciones, al igual
que el Front Office, el cual tiene contacto directo con los clientes y recopila información
de estos alimentando la Data. Esta información es manipulada durante los procesos por
las dos áreas restantes (Middle Office y Back Office) por lo que se necesita un flujo
constante de información necesaria y suficiente dependiendo del área, estos son
regulados por los controles estipulados.

Funciones y entornos

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

La segregación de funciones se puede evidencias en el Data Center donde se especifica

la parte del CPD que realiza la captura de los datos y las partes que la distribuyen según
la pertenencia en la que será utilizada.
La línea punteada en la que se encuentra la administración de Bases de Datos tiene
como propósito autorizar después de comprobar que los controles de calidad de datos
están siendo debidamente aplicados, este es un proceso constante (Regulación-
segregación de funciones).
Se necesita la Big Data presente en la distribución de la mismas pues la información
que se mueve dentro de la banca de inversión es variada en términos de fechas y
estadísticas presentes, depende de la naturaleza del procedimiento que se vaya a
realizar, por lo que debe estar disponible para cumplir las solicitudes.
El CITI se encarga de verificar la calidad del proceso mediado por el director de CPD la
cual es una segregación de funciones.

La segregación de entornos se ve evidenciada en la separación del CITI la cual se

encarga de probar los controles (Testing) que se desarrollan en el Data Center. También
cada una de las sub áreas del Data Center se encuentra separada como parte del
proceso, al igual que las áreas generales del CPD que se encuentran internamente
relacionadas por los objetivos de la empresa.

Activos críticos o en riesgo para Citycorp

Registro de operaciones (compra y venta de inversiones) que se realizan en la empresa
y son las cuales que generan la mayor cantidad de ingresos.
Información financiera confidencial proporcionada por los clientes (empresas,
corporaciones o personas naturales).
Estadísticas proporcionadas por el Middle office acerca del estado mercado, proyectos
de Citycorp y transacciones que se realizan con los clientes de la banca.
Los datos acerca de los eventos corporativos o las nuevas operaciones que la empresa se
encuentra desarrollando que no han sido autorizados para su divulgación. (4.2 ISO)

Controles generales generados por el CPD: específicos para los datos de los
clientes, ya que son los activos con mayor relevancia y riesgo para la empresa.

Dentro de Citycorp se necesita que estén interconectados Front Office, Middle Office y
Back Office para cumplir con los procesos de la empresa, por ello se debe aplicar un

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

control preventivo el cual se encuentra categorizado en el apartado 6.1 Organización

interna (ISO). Este control de organización y operación tiene como propósito segregar
la información dependiendo de las áreas, delegando personal autorizado, al revela la
información necesaria y suficiente para realizar el trabajo determinado por la dirección
con el propósito de proteger los datos de los clientes, para evitar, reducir y prevenir
efectos indeseados que resulten de la mala utilización de la misma (Distribución- Data
Center y Técnico de sistemas).

La confidencialidad y seguridad de los datos es necesaria para el manejo de datos

financieros dentro de una banca de inversión, por lo cual se debe aplicar el control 7.2.2
donde se estipula el requerimiento de informar, concientizar, entrenar y educar acerca
de las políticas y procedimientos de la empresa dependiendo de su posición en la
misma. Esto permitirá a los trabajadores estar al tanto de los cambios en su rol para
realizar su trabajo con un desempeño optimo. En el caso de la implementación de
nuevas plataformas de comunicación entre las áreas estructuradas por la banca de
inversión, necesarias para el correcto procesamiento de los datos. También este control
tiene como objetivo comunicar los procesos disciplinarios que siguen al momento de
poner en peligro la seguridad de la información que maneja la empresa. Este control se
puede aplicar de diferentes formas dependiendo de la naturaleza de la información a
compartir, es de tipo preventivo.

Para el apropiado manejo de datos debe existir una guía en la cual se describa el ciclo
de vida de estos datos, respondiendo al control 8.1.1 (desarrollo de sistemas y
documentación), en este documento debe estar registrado el momento de adquisición
de datos (entrada), su respectivo uso (procesamiento) y borrado y/o eliminado de los
respaldos. En el caso del eliminado completo de soportes para asegurarse que esta
información no sea recuperada, respondiendo con este control al 8.3.2 Eliminación de
respaldos, se contrata a una compañía externa con el objetivo de recibir un certificado y
evidencia de completo borrado y destrucción de la cinta de respaldo o disco en
cuestión.

Al momento de procesar la información se considera importante para la eficiencia de

los procesos dentro de la empresa, sistematizar la clasificación de la información,
respondiendo al control 8.2.2 del estándar, esta se puede llevar a cabo por medio de
softwares, los cuales el personal debe estar capacitado para usar, donde se seleccione la

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

naturaleza del cliente, los datos personales, datos financieros, naturaleza del negocio,
entre otros. Este software estará en toda la empresa con modificación y restricciones
por áreas, respondiendo a al control 6.1 mencionado anteriormente. Para poder acceder
a la plataforma donde se encuentra recopilada toda la información se requiere una
tarjeta y huella digital autorizada para ingresar al área donde se encuentra el
computador (control físico) y para acceder al computador necesita 2 usuarios y claves
autorizados que son proporcionados por el CPD en la estructura de la empresa (control
digital). Estos dos controles se consideran detectivos ya que soltaran una alarma
después de 3 intentos fallidos al introducir esta información (huella digital, usuario y
contraseña), con el propósito de saber quien es el intruso, gracias a las cámaras de
seguridad en cada una de las áreas. Este software y su respectivo mantenimiento
responde a los estándares de control 8.2 y 9.4 donde se expone la gestión de acceso a la
información.

El espacio de trabajo debe estar dividido por áreas, pues la sensibilidad de la

información necesaria para realizar el trabajo va aumentando dependiendo de la
posición del individuo en la empresa. Para esto es necesario aplicar un sistema de
seguridad física, donde cada área tendrá controles de acceso y se le solicitara al usuario
una tarjeta de acceso autorizado y su huella digital obligatorio para cada uno de ellos,
mientras las cámaras de seguridad registraran el numero de individuos que accede al
espacio, cumpliendo con el control 11.1.1-3. Al momento de entrar la computadora del
usuario se encenderá para estar lista para acceder al momento que este llegue a su
puesto, con el objetivo de generar un proceso eficiente de loggeado (control 12.4) y la
computadora tendrá un cronometro de 3 minutos siendo el tiempo máximo de espera
(al terminar el conteo el computador se apaga de nuevo y genera un reporte), este
control de tipo detectivo se realiza para generar una documentación sobre el
desempeño del trabajador.

Uno de los riesgos mas grandes de la empresa son los códigos maliciosos que desean
robar o corromper la información, por lo que el CPD debe tener controles que
correspondan al 12.2 de los estándares, con el objetivo de detectar, prevenir y
recuperación de control para proteger la información y plataformas de la empresa.
(Nombre de software!!!)

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

Al tener esta información sensible que esta constituida por la construcción de las
estadísticas del mercado, la data de los clientes, predicciones de caídas de las
inversiones y las estrategias financieras del banco (creación de mercado, productos
financieros estructurados), se necesita respaldar la información para evitar las perdidas
de la misma, estas serán almacenadas en el cuarto de respaldo como registros “físicos”,
allí se encontraran las copias de las memorias de las impresoras, softwares, imágenes
del sistema y los computadores, las memorias de estos serán borradas cada mes.
(Control 12.3 Backup - correctivo). Al igual que las áreas de trabajo, el cuarto de
respaldo, debe cumplir con el control 11.1, al tener tarjeta de acceso del personal
autorizado, huella digital del individuo, detectores de movimiento y cámaras de
seguridad que registren las actividades del usuario en las mismas.

La banca de inversión necesita compartir información con sus clientes durante los
procesos al igual que al momento del borrado y destrucción de los respaldos, este
proceso debe estar mediado por el control 13.2, diseñado para proteger esta
información, que consiste en correos certificados de la entidad, solo una parte de la
organización puede tener acceso a compartir esta información después de haber sido
documentada y aprobada acompañado de técnicas de criptografía para proteger la
confidencialidad, integridad y autenticidad de la información (13.2.1 – f). Todos las
personas involucradas en la empresa que tengan contacto con los datos de la misma
deben haber accedido y firmado acuerdos de confidencialidad para proteger la
información (13.2.4).

Las aplicaciones de los controles serán evaluadas con una frecuencia semestral en
donde se realizaran las modificaciones pertinente para la eficiencia de los procesos, con
esto se aplica el control 17.1, donde se realiza una continuidad para evaluar las crisis o
los puntos críticos de los controles y tomando en cuenta los posibles cambios a realizar
para disminuir el tiempo y esfuerzo que estos pueden llegar a tomar.
Un ejemplo de este es el control 9 de acceso, allí se pueden realizar mejoras de tiempo y
seguridad, que depende de la complejidad del usuario y contraseña que se le haya dado
al trabajador, este puede reducirse al actualizar la plataforma creando patrones mas
cortos pero de menor probabilidad de acceso sin conocimiento previo. Al mismo tiempo
se evaluaran si alguna de las medidas de control es innecesaria o necesita la aplicación
de otra.

Conclusiones del estudio y estimado de personal

De acuerdo con los controles aplicados y las áreas designadas el numero de personal
mínimo necesario para la optima gestión de la seguridad es de: 60

CEO: 1
CIO: 1
Director de CPD: 1
User Team (Puente entre los usuarios y los informáticos): 3
Administración de seguridad lógica y física: 2 individuos por area (F,M,B Office)
Seguridad a nivel de aplicación y sistemas
Control del sistema: 2

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián

Garantía de calidad del SW: 2

Control de calidad de datos: 4 (1 por área y un supervisor)
Desarrollo y mantenimiento: 4 (1 por área y un supervisor)
Explotación/Producción: 3 (1 por área) SLA
Centro de atención al usuario: 2
Técnico de sistemas: 6
Sistema de gestión de base de datos: 15 (4 Distribución, 2 Preparación, 2 Planificación,
6 Operaciones, 1 Respaldos)
Telecomunicaciones: 3
Captura de datos: 6
Community Manager: 1

Esta distribución tiene como propósito tener en los puestos de manejo un supervisor
del trabajo del área sobre los controles estipulados anteriormente, donde se prioriza el
tiempo de trabajo que envuelve la calidad y correcto funcionamiento de los equipos y el
software, también la captura de datos y su apropiada manipulación (procesamiento y
Back-up).

Se puede concluir que la necesidad de la implementación de controles es un requisito

inminente para la seguridad de la información y para esto se necesita la disección de
tareas debido a la complejidad de la misma. En este caso particular de Citycorp se tiene
como prioridad la distribución rigurosa de la información, por lo que se designan
diferentes puntos de control (supervisores) dentro del personal, con el propósito de
regular las actividades dependiendo de la manipulación de la misma. Se puede apreciar
que el mayor numero de personal se encuentra en la captura de datos y la disección de
esta información que será distribuida a diferentes partes de la empresa según
requerimiento. El compendio de sistemas de control preventivo, correctivo y detectivo
se articulan entre si para poder constituir un sistema de seguridad efectivo y dinámico,
dado a los cambios que se realizan en el transcurso de las auditorias.

Bibliografía

Colmenares, J. L. A. (2018). Banca de inversión en la postmodernidad. Ecoe

Ediciones.

Doria Corcho, A. F. (2015). Diseño de un sistema de gestión de la seguridad de la

información mediante la aplicación de la norma internacional ISO/IEC 27001: 2013
en la oficina de sistemas y telecomunicaciones de la Universidad de Córdoba.

ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice

for information security controls.

Investment Banking. (2015), de Corporate Finanace Institute Sitio web:

https://corporatefinanceinstitute.com/resources/careers/jobs/investment-banking-
overview/

TEMA 2 – Actividades