UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: AUDITORIA DE SEGURIDAD

ACTIVIDAD 1

ESTRUCTURACION FUNCIONAL DE UN CENTRO DE PROCESO DE DATOS

E IMPLEMENTACION DE CONTROLES GENERALES

PROFESOR DE LA ASIGNATURA

MARIA TERESA PEREZ MORALES

PRESENTA:

SERGIO MARTÍNEZ AGUILAR

28 de noviembre de 2022

© Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

Índice

1. ESTRUCTURACION FUNCIONAL DE UN CENTRO DE PROCESO DE DATOS E IMPLANTACION

DE CONTROLES GENERALES......................................................................................................1
1.1. Antecedentes................................................................................................................1
1.2. Organigrama funcional en cumplimiento......................................................................3
1.3. Ubicación funcional de las áreas técnicas.....................................................................4
2. Bibliografía.......................................................................................................................5

Actividades
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

1. ESTRUCTURACION FUNCIONAL DE UN CENTRO DE PROCESO

DE DATOS E IMPLANTACION DE CONTROLES GENERALES

1.1. Antecedentes.

CityCorp una empresa bancaria, actualmente cuenta con un control interno de

un Sistema de Gestión de la Seguridad de la Información, motivo por el cual
está requiriendo una auditoría externa por parte de una empresa certificadora
para su Centro de Proceso de Datos (CPD), el encargado del área de sistemas
acudió a un consultor para que les ayudara a identificar y evaluar los controles
con los que ya cuentan, respecto al ISO 27002.
Con ayuda del consultor CityCorp requiere garantizar que su centro de proceso
de datos cuente por lo menos con ocho controles que ya han sido auditados
internamente he implementar por lo menos 3 controles más en relación al ISO
27002:2013. Los cuales se mencionan a continuación:
Nivel de
Referencia Control Madurez
Cumplimiento
Política de seguridad de la Completo
5.1.1 100 %
información.
8.1.1 Inventario activo 60 % En proceso
9.1.1 Política de control de accesos 100 % Completo
Control de acceso a las redes y En proceso
9.1.2 70 %
servicios adicionales
Gestión de altas/bajas en el Completo
9.2.1 100 %
registro de usuarios
© Universidad Internacional de La Rioja (UNIR)
Gestión de contraseñas de Completo
9.4.3 100 %
usuario
11.2.3 Seguridad del cableado 50 % En proceso
11.2.4 Mantenimiento de los equipos 80 % En proceso

1
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

13.2.3 Mensajería Electrónica No esta implementado

14.2.9 Pruebas de aceptación No esta implementado
Implantación de la
17.1.2 continuidad de la seguridad de No esta implementado
la información

Actualmente CityCorp tiene un TIER en nivel I, ya que el corporativo está

certificado en la operación de servidores cumpliendo los criterios básicos, y no
presentan componentes redundantes, cuenta con un sistema de climatización y
subsistemas de distribución eléctrica.
Tiene una infraestructura que puede procesar alrededor del 99.671 % de las
aplicaciones, en el año; alcanzando un tiempo de inactividad de 28.8 horas y
tiene que apagarse por completo anualmente para poder realizar
mantenimiento preventivo y correctivo.

Director
General

Director de Director Director de Director de

Director de Director de
Control Banca Seguridad y Mercadotec
RRHH TI
Interno Comercial Mantto. nia
© Universidad Internacional de La Rioja (UNIR)

Capacitació Mantenimie Promocione Soporte Bases de

Nóminas Auditorias Cajeros Inversiones Créditos Seguridad Redes
n nto s Tecnico Datos

2
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

1.2. Organigrama funcional en cumplimiento

Utilizaremos como referencia el organigrama que actualmente tiene CityCorp,

que es el siguiente:
Nos podemos dar cuente que todas áreas, responden al Director General de la
empresa bancaria, incluyendo la Dirección de TI, por tal motivo se propone un
organigrama funcional para la Dirección de TI, para incluir el CPD y que este
dependa directamente de la Dirección de TI, siendo esta la única que pueda
asignar los permisos necesarios para las personas de soporte técnico, así como
el acceso a las redes y el acceso a la BD.

Director de TI

Gerente de Auditoria TI

Figura 1: Organigrama Actual de CityCorp

Jefe de Desarrollo y
Jefe de Servicios Jefe de Mantenimiento
Programación

Web Redes Soporte Tecnico

Móvil Base de Datos Electrico
Base de Datos Banca Móvil Redes
Tester Banca WEB Vigilancia

Figura 2: Organigrama Funcional

Así nuestro
© Universidad Internacional centro
de La Rioja de
(UNIR) proceso de datos responderá a la Dirección de TI, quien
será la responsable de dar los permisos necesarios para realizar las actividades
que se tengan que realizar.
En nuestro organigrama de la dirección de TI la separamos del organigrama
general, debido a que surgen nuevos puestos, para el control de nuestro centro

3
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

de proceso de datos, ya que nos damos cuenta que en el organigrama general

solo contamos con el personal limitado para que pueda ser funcional.
Jefe de Desarrollo y programación: encargado del diseño, programación y
pruebas de las aplicaciones que se requieran, para ello tendrá a cargo personal
especializado en desarrollo web, en aplicaciones móviles, en diseño y desarrollo
de bases de datos, así como los tester, que serán los encargados de realizar las
pruebas de software en los ordenadores para comprobar si funcionan
correctamente.
Jefe de servicios: encargado de proporcionar los servicios de redes, bases de
datos, la banca web y la banca móvil.
Jefe de mantenimiento: será el encargado junto con su personal de dar verificar
que todo funcione correctamente dando soporte técnico equipos de cómputo,
móvil, redes, y el personal el eléctrico dar mantenimiento para nunca nos falte
la energía eléctrica.

1.3. Ubicación funcional de las áreas técnicas

Desarrollo y Programación: toda empresa debería tener un área de

desarrollo ya que en ella se obtienen los conocimientos técnicos y científicos
para desarrollar nuevas tecnologías o productos, esta área aportara para el
crecimiento de la empresa en un avance tecnológico inclusive puede reducir
costos si realiza algún descubrimiento que pueda simplificar procesos.

Servicios: ellos serán los encargados de dar los servicios en nuestro CPD, como
banca en línea, banca móvil, que los sistemas de cajeros automáticos se
© Universidad Internacional de La Rioja (UNIR)
encuentren funcionando, transferencias bancarias, consultas de saldos, pagos
de tarjetas, en la banca móvil deben estar pendiente de que los clientes tengan
fácil acceso, que tengan seguridad, reciban notificaciones y que reciban alertas y
notificaciones.

4
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

Mantenimiento: ellos solo podrán tener acceso con permisos temporales,

única y exclusivamente con la previa autorización de la Dirección de TI,
encargados de tener limpio y ordenado asegurándose de que todo esté
funcionando correctamente.

1.4. Controles Generales

Primeramente, anexaremos dos tablas donde analizaremos los activos más

críticos de nuestra empresa CityCorp, quedando de la siguiente manera:

Activo Descripción
Clientes Todas las personas que tengan relación con CityCorp
Datos Toda la información física o digital recabada para cumplir con
los objetivos del negocio.
Aplicaciones Todas las tecnologías que nos ayuden en los procesos para
satisfacer las necesidades de la organización o de los clientes
finales.
Base de Estructura donde se resguarda la información confidencial de
datos los clientes.

Activo Riesgo
Clientes Incumplimientos, en contratos
Ataques phishing en banca móvil o web
Clonaciones
© Universidad Internacional de La Rioja (UNIR) de tarjetas
Datos Destrucción de datos
Modificación accidental de datos
Aplicaciones Vulnerabilidades de sistemas
Base de Inyección de códigos maliciosos

5
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

datos

En relación a la ISO 27002:2013, se estarán modificando los controles 9.1.2 y el

control 11.2.3, así mismo se estarán implementando los controles que en la tabla
no tenemos implementados.

Revisados los activos de la empresa procederemos a modificar e implementar

los controles que nos ayudaran a reducir o mitigar los riesgos mas críticos antes
mencionados:

9.1.2, Este control se realiza en la actualidad con las políticas existentes, es de

vital importancia que se mantenga este control ya que permitirá hacer
seguimiento de las políticas instauradas. Y se recomienda establecer por entidad
los procedimientos para cubrir todas las etapas del ciclo de vida del acceso de
los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja
cuando ya no sea necesario su acceso a los sistemas y servicios de información.
11.2.3, el área de mantenimiento, debe certificar que el centro proceso de datos
y los centros de cableado que están bajo su custodia, se encuentren separados de
áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e
incendios, así mismo debe certificar que solo personal autorizado tenga acceso a
esta área.
13.2.3, la importancia del correo electrónico como herramienta para facilitar la
comunicación entre funcionarios y terceras partes, proporcionará un servicio
idóneo y seguro para la ejecución de las actividades que requieran el uso del
correo electrónico, respetando siempre los principios de confidencialidad,
© Universidad Internacional de La Rioja (UNIR)
integridad, disponibilidad y autenticidad de quienes realizan las
comunicaciones a través de este medio de esta manera estaremos evitando que
los clientes y personal de CityCoprt pueda sufrir de cualquier tipo de ataque.

6
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

14.2.9, el área de desarrollo y programación debe generar metodologías para la

realización de pruebas al software desarrollado, que contengan pautas para la
selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de
documentación, para que después de realizadas las pruebas se verifique el
correcto funcionamiento del desarrollo, y se firmaran todas las pruebas de
aceptación garantizando la entrega del desarrollo.
17.1.2, se deberá proporcionar los recursos suficientes para proporcionar una
respuesta efectiva de funcionarios y procesos en caso de contingencia o eventos
catastróficos que se presenten en la organización y que afecten la continuidad
de su operación.

1.5. Conclusiones del estudio y personal a cargo

Los controles identificados y evaluados por el consultor deberán funcionar

eficientemente derivado de la modificación realizada en el organigrama, así
mismo se realizó la segregación de las funciones obtenido tres áreas que
reportaran únicamente a la Dirección de TI, y colocando un área de Auditoria de
TI que con ayuda del consultor, se lograron identificar y evaluar los activos de la
organización, al analizar los activos críticos se pudo realizar la modificación de
los controles, para reducir y mitigar los riesgos hacia los activos de la
organización, también se lograra implementar otros controles para evitar estos
riesgos y así tener una correcta continuidad de la seguridad de la información.

2. Bibliografía
[1] Asenty - Clasificación TIER: sepa cuál es su importancia en los data
© Universidad Internacional de La Rioja (UNIR)
centers. (2022). https://ascenty.com/es/blog/articulos/clasificacion-tier-sepa-
cual-es-su-importancia-en-los-data-centers/
[2] iso 27000.es. (2005). Dominios de seguridad y controles.
https://www.iso27000.es/iso27002.html

7
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 28/11/2022
Nombre: Sergio

[3] Novelec. ¿Qué es un centro de procesamiento de datos (CPD) y cómo

funciona?. https://blog.gruponovelec.com/redes-vdi/que-es-un-centro-de-
procesamiento-de-datos-cpd-y-como-funciona/

[4] cesarcpd(Junio de 2022), Centro de Procesamiento de Datos.

http://cesarcpd.blogspot.com/

© Universidad Internacional de La Rioja (UNIR)

8
Actividades