Universidad Rafael Urdaneta

Facultad de Ingeniería

Escuela de Computación

Cátedra: Auditoria de Sistemas

Prof.: Genyelbert Acosta

Auditoria de Sistemas

(Auditoria / Data Center)

Maracaibo, Julio del 2020.

 Introducción:
 La palabra de Auditoria es empleada incorrectamente con repetición ya que
se considera como una evaluación cuyo único fin es descubrir errores y señalar
fallas. El conocimiento de auditoría es mucho más extenso. Es un estudio
examinador que se realiza con el fin de valorar y optimizar la eficacia y
eficiencia de un desarrollo, de un departamento, un organismo, una entidad,
etc.

Con el fin de dar la información que la compañía necesita para lograr sus

objetivos, los medios de TI deben ser administrados por un conjunto de
procesos de TI agrupados de forma tal de lograr un modelo de información a
implementar.

La auditoría en una data center tiene el objetivo de aumentar el rendimiento

operacional y la calidad de la energía, dicha auditoria debe estar orientada a
crear valor a sus clientes a través de un delicado análisis en sistemas
electrónicos y de climatización, identificando deficiencias y oportunidades de
mejora y ahorro.

El centro de datos es considerado un productor de mucho valor para la

compañía, pero por su tarea critica, es también generador de mucho gasto e
inversión tanto a nivel de capital como de gastos operativos. En este sentido,
es muy significativo que su diseño e incremento esté encaminado a buenas
prácticas que optimicen su trabajo y que aplique las políticas y normativas
internacionales, impulsando y respaldando el constante progreso del sistema.

 Definición de Data Center

Cuando se habla del CPD, Centro de Procesos de Datos o Data Center

estamos refiriéndonos a la zona donde se concentran todos los bienes
necesarios para el procesamiento de información de una organización.
También se conoce como centro de cómputo (Iberoamérica) o centro de
cálculo (España). La integración de las infraestructuras tecnológicas en un Data
Center, permite automatizar la tarea de los recursos y tornar unas
infraestructuras caóticas en algo gestionable y altamente automatizado con el
consiguiente ahorro de recursos económicos. Por ejemplo: Los costes de
administración y gestión que le supone a una organismo, tener sus servidores
dispersos por diferentes localizaciones físicas, fuera de un registro y
administración central, es mucho mayor que si dichos servidores se encuentran
en un CDP, con un único equipo de gestión y administración.

Los Data Center diseñados según las nuevas especificaciones,

permiten llevar a cabo una tarea del uso de energía de las infraestructuras, lo
que nos permite alcanzar una eficiencia energética, lo que supone
una disminución de los costos del trabajo del Data Center.

El conocimiento de virtualización está íntimamente atado a los “Data

Center”; virtualizar nos permite optimizar la eficiencia y eficacia de nuestros
sistemas de información, reduciendo la cifra de máquinas físicas y
consiguiendo optimizar los bienes que se necesitan para
la administración, gestión y cuidado de las mismas.

Los nuevos Data Center están cambiando la impresión que se tiene de las

infraestructuras de proceso, acumulación y traspaso de la información, lo que
está llevando a que hoy en día tanto las capacidades de procesamiento, como
las de acumulación y de comunicaciones, se consideren un oficio y como tal se
vendan.

Lo que realmente importa es contar con una infraestructura tecnológica que

permita que los servicios de TI estén alineados con el negocio y aporten valor
al mismo.

La auditoría en Data Center consta de un minucioso examen de la

estructura, uso y desempeño del centro de datos, que implica el desarrollo de
destacados profesionales y personal técnico especializado en una deber de
campo para el levantamiento de información sobre la instalación eléctrica y de
climatización, la evaluación de puntos críticos y puntos de fallas, la
identificación de oportunidades, el diagnóstico y el rediseño, a fin de dominar
significativamente los gastos operativos por parte de los usuarios, acercando el
Data Center a un modelo óptimo, capacitado de aguantar nuevas
implementaciones y preparado para continuar con su desarrollo.
  Auditoria Seguridad de Centro de Cómputos (Data Centers)
basados en las normas NFPA75, TIA 942.

La auditoría de Seguridad de Centro de Cómputos (Data Centers) está

basada en las normas NFPA75 y TIA 942. El intención del estándar TIA 942 es
suministrar los requerimientos y las guías para el diseño e establecimiento de
Centros de Cómputo (Data Centers). Se auditará la planificación de la lugar,
sistemas de cableado y diseño de la red, topología del piso para lograr el
balance apropiado entre seguridad, consistencia de racks, etc.

TIA-942 permite que el diseño del Data Center sea considerado desde el
proceso de desarrollo del edificio, contribuyendo a consideraciones
arquitectónicas sobre distintos esfuerzos en el espacio de diseño, promoviendo
así la colaboración entre las fases de su edificación.

El estándar NFPA 75 fue elaborado por la National Fire Protection

Associaton y establece los requisitos para la construcción con computadoras
necesitando resguardo hacia incendios y edificación, habitaciones, áreas, o
ambientes operacionales especiales.La aplicación está basada en
consideraciones de riesgo tal como los aspectos de interrupción de negocio de
la función o amenazas de fuego a la instalación.

 Normas, Estándares y Auditoria en un DC

 Estudio de Factibilidad

Criterio de Diseño

En esta etapa, se lleva a cabo la descripción del plan y el preparativo de

los requerimientos técnicos de Diseño.

Se estable una matriz en donde se clasifican los posibles alcances o

proyecciones a alcanzar en un Centro de Datos y se realiza la representación
según los estándares internacionales.

Se debe desarrollar un Criterio Técnico de Diseño, para el campo de

Telecomunicaciones, Arquitectónica/Civil, Eléctrica y Mecánica. Estudios
preliminares y Elección del Sitio.
 Estándares y Normas – Tipos
 Norma o Estándar: Por conclusión son sinónimos, no
existe discrepancia entre ellos, y existen normas establecidas por
Organismos Internacionales, Organismos Regionales y
Organizaciones Privadas.

 Norma de Facto: Especificación técnica que ha sido desarrollada

por una o varias compañías y que ha adquirido categoría debido a
la situación del mercado (TIER, BICSI, IEEE).

 Norma de Jure: Especificación técnica aprobada por un órgano

de normalización reconocido para la aplicación de la misma (ISO,
IEC, UL).

 Aplicación de Normas en un Centro de Datos

 Normas Regionales: Se debe de desempeñar con lo que indican
los entes de cada territorio, por ejemplo, Códigos Sísmicos, Normas
Eléctricas, generalmente se establecen mediante decretos y son de
cumplimiento obligatorio.

 Normas Internacionales: Son aquellas normas generadas por un

conjunto de organizaciones regionales y si bien no son de
desempeño obligatorio, se asumen como necesarias.

 Normas de Organizaciones: Son esquemas de Buenas Prácticas

y recomendaciones (TIER, BICSI, etc.), generalmente certificados
solamente por el ente que las emitió.

 Normas asociadas a Centros de Datos

 Normas ISO y BSBS25999: Continuidad de la actividad
comercial/ La gestión de continuidad de la actividad comercial
 (BCM) se ha concebido para ayudar a las organizaciones a
minimizar el riesgo de interrupciones.

 ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de

servicios de TI de gran calidad.

 ISO/IEC 27001: Seguridad de la información/Protección de la

información, el activo más valioso.

 En 16001: Eficiencia energética/ Comprometidos con el uso

eficiente de la energía.

 Normas y Mejores Prácticas

 LEED

 NFPA

 BICSI

 ASHRAE

 IEEE 2.2.5.2. Tipos de Auditorías

 Auditorias de Eficiencia.

 Auditorias Electromecánica.

 Auditorías de la Gestión de los sistemas (ISO)

 Auditorías de Riesgo Operacional (Conjunto de Auditorías Anteriores).

 ¿Qué es necesario tener en una data center?

 Acometidas eléctricas.
  Sistemas para prevenir y controlar incendios e inundaciones como:
drenajes y extintores.
 Vías de evacuación.
 Puertas y pinturas ignífugas (que protegen contra fuego)
 Aire acondicionado.
 UPS (Sistema de alimentación de energía ininterrumpido)
 Pisos y techos falsos.
 Instalación de alarmas.
 Control de temperatura y humedad con avisos.
 Cerraduras electromagnéticas
 Cámaras de seguridad o CCTV (Circuito cerrado de televisión)
 Detectores de movimiento
 Tarjetas de identificación.
 Bitácoras de acceso manual y electrónicas.
 Botón de apagado de emergencia (EPO por sus siglas en inglés
Emergency Power Outage)

Los requerimientos variarán entre cada uno, puesto que no son los mismos
riesgos en cada uno y su localización también varía.

 Observaciones

En general, la ocupación de Auditoría Informática en la empresa es avalar

que los sistemas de ordenador salvaguardan los “bienes” de la institución,
mantienen la integridad de los datos y alcanzan los objetivos de la compañía de
un manera eficaz y efectivo. No obstante, esta definición es prolongable a los
Centros de Proceso de Datos, en estos se deben de tener en cuenta algunas
observaciones especiales, dado que en ellos se concentran datos y
aplicaciones informáticas en espacios muy reducidos, lo que los hace
excepcionalmente propensos a problemas potenciales, tanto lógicos como
físicos, que pueden afectar a su seguridad y trabajo.

 Programa de Auditoria
 Con el fin de llevar a cabo la auditoria referente a Data Center, se llevará a
cabo el siguiente programa de Auditoria.

a. Investigación Preliminar.

En esta fase se llevará a cabo la enunciación de la preparación de los

requerimientos técnicos de diseño de un Data Center. Se establecerá
una matriz en donde se clasificarán los posibles alcances o proyecciones en
un centro de Datos. Registrar si se dispone de una infraestructura tecnológica
que permita que los servicios de TI estén alineados con el negocio y
aporten valor al mismo.

b. Identificación y Agrupación de Riesgos

Consta de un análisis de la composición, uso y desempeño del centro de

datos y el posterior levantamiento de información sobre la instalación eléctrica y
de climatización, la evaluación de puntos críticos y puntos de fallas, la
identificación de oportunidades, el diagnóstico y rediseño, a fin de identificar los
riesgos para cada grupo identificado y diseñar instrumentos que permitan
evaluar los aspectos planeados.

c. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Se determinará si el diseño y desarrollo existentes en la compańía, están

dirigidos a buenas prácticas que optimicen su trabajo y que aplique las políticas
y normativas internacionales, impulsando y respaldando el constante desarrollo
de la institución.

d. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a

utilizar para llevar a cabo la verificación del cumplimiento adecuado de los
procesos necesarios para garantizar las correctas prácticas de optimización del
funcionamiento y de aplicación de políticas normativas e internacionales en la
implantación de Data Centers en la organización.

e. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas
de los cuestionarios y de esta manera verificar el control que se está llevando
en los Data Centers.

f. Elaboración de Informe de Auditoría

Notificar a la institución los resultados de la auditoria, proporcionando

mayor valor a la organización a través de un detallista estudio de los sistemas
eléctricos y de climatización que protegen al Data center, identificando
deficiencias y oportunidades de mejora y ahorro.

g. Seguimiento.

Se verificará que el centro de procesamiento de datos o Data Center este

altamente protegido y que día a día se logre reducir el número de máquinas
físicas, consiguiendo optimizar los recursos que se necesitan para la
administración, gestión y mantenimiento de las mismas.

 Desarrollo:

Desarrolle:

 Diagnóstico del Data Center. Presente las problemáticas que observo

durante su estudio.

 Posibles Soluciones. Presente soluciones a las problemáticas observadas,

Especifique plataformas y arquitecturas de dichas soluciones.

 Plan de Mantenimiento. Proponga un plan de mantenimiento. Especifique

tipo de mantenimiento y periodo entre cada uno. Tome en cuenta el perfil
empresarial.

Analizando el sistema, viendo los materiales los problemas que veo que tiene
arquitectura es que utiliza un router para mi criterio muy obsoleto, en mi caso
recomendaría el uso de un router de doble banda con tecnología 5g lo que le
va a permitir a la empresa una mejor escalabilidad en cuanto a su sistema y
una mejor velocidad de trabajo. Tambien recomendaría que a cada
computadora que esté conectada al sistema se le instalara un firewall para
mayor seguridad en cada una de ellas.

Para la parte del mantenimiento yo recomendaría que se le realizara

mantenimiento al Data Center una vez cada 15 días para así asegurar que la
información que este almacenada este en buenas condiciones y que todo esté
trabajando de manera correcta.