BCP (PLANEACION DE CONTINUIDAD DEL NEGOCIO) Y DATA CENTER - AUDITORIA ESPECIFICA PRESENTADO POR: Catheryne Patiño Cardona Astrid Vannessa Castro ...
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
2010
BCP (PLANEACION DE
CONTINUIDAD DEL
NEGOCIO) Y DATA
CENTER
AUDITORIA ESPECIFICA
PRESENTADO POR:
Catheryne Patiño Cardona
Astrid Vannessa Castro Cortes
Chauditoria
Universidad de Caldas
19/11/2010
TABLA DE CONTENIDO
PAG.
1. BCP: PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO . 4
1.1 INTRODUCCIÓN ......................................................................................................... 4
1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO) .... 4
1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio .............. 5
1.3 OBSERVACIONES ..................................................................................................... 8
1.4 PROGRAMA DE AUDITORIA ................................................................................... 8
1. Investigación preliminar ............................................................................................ 9
2. Identificación y Agrupación de Riesgos ............................................................... 10
3. Evaluación de la Seguridad en la empresa objeto de la Auditoría .................. 10
4. Diseño de Pruebas de Auditoría ........................................................................... 10
5. Ejecutar Pruebas de Auditoría ............................................................................... 12
6. Elaboración de Informe de Auditoría ................................................................... 12
7. Seguimiento. ............................................................................................................. 13
1.5. CONCLUSIONES ..................................................................................................... 13
2. DATA CENTER .......................................................................14
2.1 INTRODUCCIÓN. ...................................................................................................... 14
2.2 DEFINICION DE DATA CENTER ........................................................................... 14
2.2.1. Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en
las normas NFPA75, TIA 942. ................................................................................... 15
2.2.2. Normas, Estándares y Auditoria en un DC ................................................... 16
2.2.2.1 Proceso de Implementación ...................................................................... 16
2.2.2.2. Estudio de Factibilidad .............................................................................. 16
2.2.3. Estándares y Normas – Tipos ......................................................................... 16
2.2.4. Aplicación de Normas en un Centro de Datos ............................................. 17
2.2.5. Normas asociados a Centros de Datos ....................................................... 17
2.2.5.1 Normas y Mejores Prácticas ..................................................................... 17
2.2.5.2. Tipos de Auditorías .................................................................................... 182.2.6. ¿Qué es necesario tener en un datacenter? ................................................ 18 2.3 OBSERVACIONES ................................................................................................... 18 2.4 PROGRAMA DE AUDITORIA ................................................................................. 19 a. Investigación Preliminar.......................................................................................... 19 b. Identificación y Agrupación de Riesgos ............................................................... 19 c. Evaluación de la Seguridad en la empresa objeto de la Auditoría................... 19 d. Diseño de Pruebas de Auditoría ........................................................................... 19 e. Ejecutar Pruebas de Auditoría ............................................................................... 21 f. Elaboración de Informe de Auditoría ..................................................................... 21 g. Seguimiento. ............................................................................................................. 22
1. BCP: PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO 1.1 INTRODUCCIÓN La Continuidad del Negocio es un concepto que abarca tanto la Planeación para Recuperación de Desastres (DRP) como la Planeación para el Restablecimiento del Negocio. La Recuperación de Desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización. El establecimiento de procedimientos y medidas de seguridad están destinados a salvaguardar la unidad administrativa, el centro de cómputo y su estructura física, al personal, sus procedimientos operacionales, la información y documentación generada contra cualquier evento natural o humano que de forma intencional o por accidente puedan afectarlos. Un programa efectivo de administración de la continuidad del negocio constituye un aspecto crítico para las organizaciones de hoy. La experiencia nos dice que cerca del 50% de las organizaciones que han experimentado un desastre sin contar con un plan efectivo de continuidad, dejarán de operar a los doce meses como máximo e inclusive aquellas organizaciones que ejecutaron un plan no muy bien diseñado ni probado sufrirán pérdidas a largo plazo. La necesidad de contar con capacidades de recuperación y continuidad de negocios nunca fue tan fuerte dado que actualmente se requiere operar en forma continua, a la vez que la dependencia del negocio en la tecnología informática es cada vez mayor. Sin embargo, hay que reconocer que la velocidad y las dependencias de los negocios de hoy en día hacen que la planeación de la continuidad del negocio se convierta en una tarea compleja para las compañías. Se debe considerar a la gente, las instalaciones, la tecnología y los socios de negocios involucrados, se debe preparar la respuesta a la crisis y además se debe tener la capacidad de coordinar su respuesta con muchas partes externas. Para administrar este desafío se requiere un enfoque integral, que incorpore un análisis detallado de los requerimientos del negocio, la sensibilización de los usuarios, el uso de herramientas tecnológicas y sobre todo se debe concebir fundamentalmente a la continuidad del negocio como un proceso permanente más que la suma de soluciones puntuales. 1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO) El BCP es un plan de procedimientos alternativos a la forma tradicional de operar de la empresa y es una herramienta que ayuda a que los procesos que se consideran críticos para la organización continúen funcionando en una situación extraordinaria, a pesar de una situación incontrolable en el entorno. Un plan de continuidad del negocio, se enfoca en sostener las funciones del negocio de una
entidad durante y después de una interrupción a los procesos críticos del
negocio.
Un Plan de Continuidad del Negocio o BCP debe considerar todas las áreas de la
empresa de manera integral incluso desde la estrategia, incorporando el DRP en
conjunto con los elementos mínimos requeridos para continuar con la operación
del negocio.
El contar con un plan de esta naturaleza significa que la organización está
preparada adecuadamente para cualquier eventualidad, continuando con su
operación e impactando lo menos posible la salud financiera de la empresa.
Las primeras 72 horas después de la interrupción, son vitales para saber si el
negocio soportará o morirá debido a la contingencia que se presenta. Morir, no
será un acto inmediato, sino que puede ser un proceso irreversible y lento porque
no se tuvieron las respuestas inmediatas para adaptarse al entorno que se
presenta.
Un BCP contempla la continuidad de los procesos y servicios críticos del negocio
y se integra bajo las dimensiones de organización (recursos humanos, materiales
y líneas de mando), operaciones (políticas y procedimientos), Tecnologías de
Información e instalaciones, analizados bajo el marco de referencia de la
continuidad.
Las características que debe tener un BCP son:
Claridad
Ser de fácil entendimiento
Concreto
El BCP es para toda la organización, y no debe descansar sólo en el nivel
directivo, ya que quien opera es el grupo que debe estar más inmerso en el
entendimiento y aplicación del mismo.
Bajo esta premisa, el capital humano tiene un peso relevante, ya que es el
responsable de su aplicación y operación, por lo que debe existir un adecuado
proceso de capacitación.
1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio
En la figura siguiente, se observa una versión completa de los diferentes tipos de
planes, relacionados con la atención de emergencias, y que se interrelacionan
con un Plan de Continuidad del Negocio (BCP, DRP).Se desprende la conveniencia de que un Plan de Continuidad del Negocio se complemente con otros planes que ayudan a su efectividad. Sin embargo, debido a la carencia de definiciones estándar para estos tipos de planes, en algunos casos, el alcance de los mismos puede variar entre las diferentes organizaciones. Estos planes son: 1. Plan de comunicación de crisis: documento que contiene los procedimientos internos y externos que las organizaciones deben preparar ante un desastre. Este plan debe estar coordinado con los demás planes para asegurar que sólo comunicados aprobados sean divulgados y que solamente personal autorizado sea el responsable de responder las diferentes inquietudes y de diseminar los reportes de estado al personal y al público. 2. Planes de evacuación por edificio: contiene los procedimientos que deben seguir los ocupantes de una instalación o facilidad en el evento en que una situación se convierta en una amenaza potencial a la salud y seguridad del personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica.
3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las
funciones esenciales de una sede o filial de la entidad (Ejemplo: una
agencia, la fábrica, el almacén de ventas) en una sede alterna y realizar
aquellas funciones por un período máximo de 30 días antes de retornar a las
operaciones normales. Debido a que un COOP se enfoca en sedes o filiales,
debe ser desarrollado y ejecutado independientemente del BCP.
Interrupciones menores que no requieren reubicación en una sede alterna
típicamente no son cubiertas en un COOP.
4. Plan de respuesta a ciber-incidentes: Establece procedimientos para
responder a los ataques en el ciberespacio contra un sistema de Tecnología
Informática (TI) de una entidad. Estos procedimientos son diseñados para
permitirle al personal de seguridad identificar, mitigar y recuperarse de
incidentes de cómputo maliciosos tales como: Acceso no autorizado a un
sistema o dato, Negación de servicio, Cambios no autorizados a HW, SW o
datos.
5. Planes de contingencia de TI: orientado a ofrecer un método alterno para
sistemas de soporte general y para aplicaciones importantes Debido a que
un Plan de contingencia de TI debe ser desarrollado por sistema de soporte
general y por cada aplicación importante, existirán múltiples planes de
contingencia.
6. Plan de recuperación de desastres (DRP): Orientado a responder a
eventos importantes, usualmente catastróficos que niegan el acceso a la
facilidad normal por un período extendido. Frecuentemente, el DRP se
refiere a un plan enfocado en TI diseñado para restaurar la operabilidad del
sistema, aplicación o facilidad de cómputo objetivo en un sitio alterno
después de una emergencia. El alcance de un DRP puede solaparse con el
de un Plan de Contingencia de TI; sin embargo, el DRP es más amplio en
alcance y no cubre interrupciones menores que no requieren reubicación.
7. Plan de recuperación del negocio: Permite restaurar un proceso de
negocio después de una emergencia, pero al contrario del BCP, carece de
procedimientos para asegurar la continuidad de procesos críticos durante
una emergencia o interrupción. Productos que componen el Plan de
Continuidad (BCP, DRP)
El Plan de Continuidad del Negocio incluye los siguientes productos:
1. Impacto de Análisis del Negocio.
2. Evaluación o Valoración de Riesgos.
3. Estrategias de Continuidad.
4. Roles, responsabilidades y procedimientos.
5. Procesos y Procedimientos de Continuidad.
6. Plan de Pruebas del Plan de Continuidad.1.3 OBSERVACIONES
En caso, de que su empresa no cuente con un Plan de Continuidad de
Negocios, nuestra recomendación es reflexionar sobre los 4 aspectos mínimos
que apoyen la implantación de un plan contingente hasta que pase la crisis:
1. Crear un Comité de Crisis
Este Comité deberá estar integrado por los principales ejecutivos de la
empresa que representen el 100% de la operación. Este órgano será el único
que tomará decisiones mientras dure la crisis y será el responsable de
construir un plan para atacar la contingencia.
2. Crear un vínculo de comunicación permanente con la organización
El Comité de Crisis deberá de contar con un vínculo de comunicación entre
éste y todos los miembros de la organización. Se deberá crear un Plan de
Comunicación bien estructurado, permanente y continuo para mantener a la
organización y sus colaboradores bien informados.
3. Desde el punto de vista de operaciones:
Identificar los procesos/actividades del negocio vitales en la operación y su
interrelación con los procesos totales del negocio. Definición de prioridades y
marcos de referencia en el tiempo. Definición de alternativas para la
continuidad de servicios críticos. Descripción de plan de recuperación para
los escenarios de interrupción más comunes. Minimizar la toma de
decisiones durante la crisis.
4. Desde el punto de vista de requerimientos:
Seleccionar y definir equipos de trabajo con personal comprometido y
experiencia funcional. Definir recursos mínimos requeridos para mantener la
operación y comunicación de toda la organización, como pueden ser: lap
tops, enlace a Internet, VPN, teléfonos celulares, concentración de grupos
críticos, etc. Definir requerimientos de recuperación de los procesos
considerados no críticos, para estabilizar la operación. Definir esquemas de
reporte y seguimiento diario a la operación mediante los grupos focales,
definidos en etapas anteriores.
1.4 PROGRAMA DE AUDITORIA
Con el fin de llevar a cabo la auditoria específica referente a BCP, se llevara a cabo
el siguiente programa de Auditoria:
1. Investigación Preliminar.
2. Identificación y Agrupación de Riesgos3. Evaluación de la Seguridad en la empresa objeto de la Auditoría
4. Diseño de Pruebas de Auditoría
5. Ejecutar Pruebas de Auditoría
6. Elaboración de Informe de Auditoría
7. Seguimiento.
1. Investigación preliminar
En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad
del Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo
una revisión general y una visita a la empresa, para definir los pasos a seguir.
Se conocerá de manera global los planes que conforman el Plan de Continuidad
del Negocio y que tan completo están con el fin de definir a que se le hará
Auditoria e identificar los elementos que apoyan dichos planes.
Consideraciones
Conocimiento global de la empresa en cuanto a: Planes de mitigación de
Riegos, Área de sistemas, Estructura organizacional y personal. Conocimiento
global de los sistemas, evaluando las herramientas que proporciona como apoyo
a la seguridad y a la administración.
a. Conocimiento de los planes existentes en la empresa:
Recopilación de información referente a los riesgos y estrategias que se
definen en cada plan con el fin de identificar el nivel de preparación en el
cual se encuentra la organización referente a situaciones que puedan
provocar el paro de sus operaciones.
Para esto se debe solicitar:
Plan de mitigación de Riesgos.
Plan de Recuperación de Desastres
Plan de Continuidad de Operaciones
Plan de comunicación de crisis
Plan de contingencia de TI
Plan de recuperación del Negocio
b. Importancia de los planes de contingencia de riesgos para garantizar
la continuidad de las operaciones de la empresa.
c. Alcance de la Auditoria.
Las herramientas y mecanismos a utilizar para llevar a cabo esta
investigación preliminar son:
Entrevistas previas con el cliente. Revisión de las instalaciones donde se realizara la auditoria.
Investigación de los funcionarios que analizaron y elaboraron el plan de
continuidad del negocio
Revisión de documentación proporcionada por la empresa.
Estudio y evaluación del sistema de control interno.
2. Identificación y Agrupación de Riesgos
Identificar y clasificar los riesgos a los que esta expuesto la empresa que
pueden afectar la continuidad del negocio. A continuación se listaran los riesgos
que pueden afectar a la organización.
Desastres naturales inesperados dentro de la organización.
Amenazas a los recursos de TI que comprenden el uso de información
vital dentro de la empresa.
Amenazas a la infraestructura Arquitectónica/Civil y de TI.
3. Evaluación de la Seguridad en la empresa objeto de la Auditoría
Se determinara si el Plan de Continuidad del Negocio o BCP considera
todas las áreas de la empresa de manera integral incluso desde la
estrategia, incorporando el DRP en conjunto con los elementos mínimos
requeridos para continuar con la operación del negocio.
Se examinará si existe apoyo a los procesos que se consideran críticos para
que la organización continúe funcionando en una situación extraordinaria, a
pesar de una situación incontrolable en el entorno.
4. Diseño de Pruebas de Auditoría
Se determinarán en términos generales los instrumentos y técnicas a utilizar
para llevar a cabo la verificación del cumplimiento adecuado de los
procesos necesarios para garantizar que dentro de la organización se
maneja un plan de continuidad de negocio esencial para asegurar la vida de
la compañía ante cualquier tipo de contingencia y que para conseguir su
efectividad, se sigue como mínimo los siguientes aspectos:
El plan de continuidad de negocio está basado en directrices marcadas
por la dirección.
A través de un análisis de impacto de negocio y una gestión del riesgo
se consiguen los fundamentos para un efectivo BCP.
El Plan de Continuidad del Negocio esta periódicamente actualizado
para reflejar y responder a los cambios que se vayan produciendo en la
compañía.
1. Técnicas:
Revisión documental2. Instrumentos
Cuestionario, revisión documental y observación
FECHA:
EMPRESA: AudiTextiles
Catheryne Patiño Cardona
AUDITORES:
Astrid Vannessa Castro Cortes
TECNICA USADA: Guia de Auditoria
HERRAMIENTA
Encuesta
USADA:
PREGUNTAS CERRADAS
No. Pregunta Si No Ns Observación
¿Existe en su empresa un plan de
1
recuperación de desastres?
¿El administrador y coordinador del plan es
2
responsable en mantiene dicho plan al día?
¿Existe un equipo para la recuperación de
3 desastres que reaccionen a una emergencia
en medidas de acción inmediatas?
¿Dónde está el sitio de instalación de copia
4
de seguridad?
¿El plan indica claramente las prioridades
para la restauración de los sistemas de la
5
empresa, basados en el riesgo para el
negocio en particular?
¿Tienen su empleados en la empresa una
6 copia del plan de la organización de
recuperación de desastres?
¿Se tiene en la empresa una copia actual
7
del organigrama?
¿Se realiza dentro de la empresa una lista
8
de inventario de todos los activos que seposeen en la empresa?
¿Se tienen acuerdos relativos a la seguridad
9 en el uso de las instalaciones de la
empresa?
PREGUNTAS ABIERTAS
No. Pregunta Respuesta
¿Si existe un plan, cuando fue la última vez
1
que se actualizo?
¿Indique cuales son los procedimientos
2 para la actualización del Plan de
Continuidad del Negocio?
¿Quien es el encargado en su empresa de
3
la administración o la coordinación del plan?
¿Donde se encuentra almacenado el plan
4 de recuperación de desastres en su
empresa?
¿Donde esta la lista almacenada de los
5 contactos del equipo de recuperación de
desastres?
¿Qué sistemas críticos están cubiertos por
6
el plan?
5. Ejecutar Pruebas de Auditoría
Se ejecutan las pruebas anteriormente mencionadas, exigiendo el
soporte documental de las respuestas de los cuestionarios y de esta
manera verificar el control que se está llevando en la administración del Plan
de Continuidad del Negocio.
6. Elaboración de Informe de Auditoría
El informe de auditoría busca comunicar a la organización los resultados de la
evaluación y las pruebas ejecutadas, proporcionando mayor valor a la
organización, informando si el Plan de Continuidad de Negocio es realmenteefectivo en caso de su ejecución y si se puede decir que se han alineado las
Tecnologías de la información con los objetivos del negocio.
7. Seguimiento.
Se verificará que los objetivos del BCP de la empresa se están cumpliendo y
que estos contribuyen a minimizar la pérdida financiera de la compañía, y que
se garantiza la calidad del servicio a los clientes.
Así mismo se evaluará que la organización este bien preparada
adecuadamente Y que toda la organización tiene conocimiento de las
operaciones y de todos y cada uno de quienes participan en cada proceso
crítico para cualquier eventualidad, continuando con su operación e impactando
lo menos posible la salud financiera de la empresa.
1.5. CONCLUSIONES
En el entorno actual, en materia de costos es más efectivo prevenir que
recuperar. Aunque no se cuente con un plan elaborado previamente a la
crisis, es mejor en este momento analizar, planear, ordenar y ejecutar, para
mitigar el impacto y generar mejores resultados.
Los beneficios de actuar bajo un plan son:
Análisis claro y preciso, y conocimiento consistente y continuo sobre la
situación del negocio y la efectividad de la estrategia de continuidad
definida.
Evaluación técnica de riesgos asociados a la continuidad y evaluación de
alternativas y estrategias de minimización de riesgos.
Mapeo crítico de los recursos mínimos requeridos en la continuidad de
los procesos del negocio.
Control del impacto financiero y operacional, causado por la interrupción
de la operación natural del negocio
Análisis y reducción del nivel de riesgo al cual se encuentra expuesta la
entidad.
Decisiones rápidas y acertadas para subsanar posibles riesgos
inherentes a la situación y esquema de operación en el que se encuentra
el negocio
Desarrollo de cultura y personal mejor capacitado y sensibilizado en la
importancia de la continuidad en la entidad.2. DATA CENTER 2.1 INTRODUCCIÓN. El término de Auditoria es empleado incorrectamente con frecuencia ya que se considera como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoría es mucho más amplio. Es un análisis crítico que se realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una entidad, etc. Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados de forma tal de obtener un modelo de referencia a implementar. La auditoria en un Data Center tiene el objetivo de mejorar el rendimiento operacional y la calidad de la energía, dicha auditoria debe estar orientada a generar valor a sus clientes a través de un minucioso estudio en sistemas eléctricos y de climatización, identificando deficiencias y oportunidades de mejora y ahorro. El centro de datos es considerado un generador de mucho valor para la compañía pero por su actividad crítica, es también generador de mucho gasto e inversión tanto a nivel de capital como de gastos operativos. En este sentido, es muy importante que su diseño y crecimiento esté dirigido a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y normativas internacionales, impulsando y respaldando el constante desarrollo de la organización. 2.2 DEFINICION DE DATA CENTER Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos refiriéndonos a la ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. También se conoce como centro de cómputo (Iberoamérica) o centro de cálculo (España). La integración de las infraestructuras tecnológicas en un Data Center, permite automatizar la gestión de los recursos y convertir unas infraestructuras caóticas en algo gestionable y altamente automatizado con el consiguiente ahorro de recursos económicos. Por ejemplo: Los costes de administración y gestión que le supone a una organización, tener sus servidores dispersos por diferentes localizaciones físicas, sin un control y administración central, es mucho mayor que si dichos servidores se encuentran en un CDP, con un único equipo de gestión y administración. Los Data Center diseñados según las nuevas especificaciones, permiten llevar a cabo una gestión del consumo de energía de las infraestructuras, lo que nos permite alcanzar una eficiencia energética, lo que supone una disminución de los costos del funcionamiento del Data Center.
El concepto de virtualización está íntimamente ligado a los “Data Center”; virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas de información, reduciendo el número de máquinas físicas y consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas. Los nuevos Data Center están cambiando la percepción que se tiene de las infraestructuras de proceso, almacenamiento y transmisión de la información, lo que está llevando a que hoy en día tanto las capacidades de procesamiento, como las de almacenamiento y de comunicaciones, se consideren un servicio y como tal se vendan. Lo que verdaderamente importa es disponer de una infraestructura tecnológica que permita que los servicios de TI estén alineados con el negocio y aporten valor al mismo. La auditoria en Data Center consta de un detallado análisis de la composición, uso y desempeño del centro de datos, que implica el despliegue de destacados profesionales y personal técnico especializado en una labor de campo para el levantamiento de información sobre la instalación eléctrica y de climatización, la evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades, el diagnóstico y el rediseño, a fin de reducir significativamente los gastos operativos por parte de los usuarios, acercando el Data Center a un modelo óptimo, capaz de soportar nuevas implementaciones y preparado para continuar con su crecimiento. 2.2.1. Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las normas NFPA75, TIA 942. La auditoria de Seguridad de Centro de Cómputos (Data Centers) está basada en las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la red, topología del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc. TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su construcción. El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construcción con computadoras necesitando protección contra incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La aplicación esta basada en consideraciones de riesgo tal como los aspectos de interrupción de negocio de la función o amenazas de fuego a la instalación.
2.2.2. Normas, Estándares y Auditoria en un DC
2.2.2.1 Proceso de Implementación
2.2.2.2. Estudio de Factibilidad
Criterio de Diseño
En esta etapa, se lleva a cabo la definición del proyecto y la preparación de
los requerimientos técnicos de Diseño.
Se estable una matriz en donde se clasifican los posibles alcances o
proyecciones a alcanzar en un Centro de Dato y se realiza la
recomendación según los estándares internacionales.
Se debe desarrollar un Criterio Técnico de Diseño, para el área de
Telecomunicaciones, Arquitectónica/Civil, Eléctrica y Mecánica. Estudios
preliminares y Selección del Sitio.
2.2.3. Estándares y Normas – Tipos
Norma o Estándar: Por definición son sinónimos, no existe diferencia
entre ellos, y existen normas establecidas por Organismos
Internacionales, Organismos Regionales y Organizaciones Privadas. Norma de Facto: Especificación técnica que ha sido desarrollada por
una o varias compañías y que ha adquirido importancia debido a las
condiciones del mercado (TIER, BICSI, IEEE).
Norma de Jure: Especificación técnica aprobada por un órgano de
normalización reconocido para la aplicación de la misma (ISO, IEC, UL).
2.2.4. Aplicación de Normas en un Centro de Datos
Normas Regionales: Se debe de cumplir con lo que indican los entes
de cada región, por ejemplo Códigos Sísmicos, Normas Eléctricas,
generalmente se establecen mediante decretos y son de cumplimiento
obligatorio.
Normas Internacionales: Son aquellas normas generadas por un grupo
de organizaciones regionales y aunque no son de cumplimiento
obligatorio, se asumen como necesarias.
Normas de Organizaciones: Son esquemas de Buenas Prácticas y
recomendaciones (TIER, BICSI, etc.), generalmente certificados
solamente por el ente que las emitió.
2.2.5. Normas asociados a Centros de Datos
Normas ISO y BSBS25999: Continuidad de la actividad comercial/ La
gestión de continuidad de la actividad comercial (BCM) se ha concebido
para ayudar a las organizaciones a minimizar el riesgo de interrupciones.
ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de servicios de
TI de gran calidad.
ISO/IEC 27001: Seguridad de la información/Protección de la
información, el activo más valioso.
En 16001: Eficiencia energética/ Comprometidos con el uso eficiente de
la energía.
2.2.5.1 Normas y Mejores Prácticas
LEED
NFPA
BICSI
ASHRAE
IEEE2.2.5.2. Tipos de Auditorías
Auditorias de Eficiencia.
Auditorias Electromecánica.
Auditorías de la Gestión de los sistemas (ISO)
Auditorías de Riesgo Operacional (Conjunto de Auditorías
Anteriores).
2.2.6. ¿Qué es necesario tener en un datacenter?
Acometidas eléctricas.
Sistemas para prevenir y controlar incendios e inundaciones como:
drenajes y extintores.
Vías de evacuación.
Puertas y pinturas ignífugas (que protegen contra fuego)
Aire acondicionado.
UPS (Sistema de alimentación de energía ininterrumpido)
Pisos y techos falsos.
Instalación de alarmas.
Control de temperatura y humedad con avisos.
Cerraduras electromagnéticas
Cámaras de seguridad o CCTV (Circuito cerrado de televisión)
Detectores de movimiento
Tarjetas de identificación.
Bitácoras de acceso manual y electrónicas.
Botón de apagado de emergencia (EPO por sus siglas en inglés
Emergency Power Outage)
Los requerimientos variarán entre cada uno, puesto que no son los mismos
riesgos en cada uno y su localización también varía.
2.3 OBSERVACIONES
En general, la función de Auditoría Informática en la empresa es garantizar
que los sistemas de ordenador salvaguardan los “bienes” de la organización,
mantienen la integridad de los datos y alcanzan los objetivos de la empresa
de un modo eficaz y efectivo.
Aunque esta definición es extensible a los Centros de Proceso de Datos, en
estos se deben de tener en cuenta algunas consideraciones especiales,
dado que en ellos se concentran datos y aplicaciones informáticas en
espacios muy reducidos, lo que los hace excepcionalmente propensos a
problemas potenciales, tanto lógicos como físicos, que pueden afectar a su
seguridad y funcionamiento.2.4 PROGRAMA DE AUDITORIA
Con el fin de llevar a cabo la auditoria referente a Data Center, se llevará a
cabo el siguiente programa de Auditoria.
a. Investigación Preliminar.
En esta etapa se llevará a cabo la definición de la preparación de los
requerimientos técnicos de diseño de un Data Center. Se establecerá una
matriz en donde se clasificaran los posibles alcances o proyecciones en un
centro de Datos.
Identificar si se dispone de una infraestructura tecnológica que permita que
los servicios de TI estén alineados con el negocio y aporten valor al mismo.
b. Identificación y Agrupación de Riesgos
Consta de un análisis de la composición, uso y desempeño del centro de
datos y el posterior levantamiento de información sobre la instalación
eléctrica y de climatización, la evaluación de puntos críticos y puntos de
fallas, la identificación de oportunidades, el diagnóstico y rediseño, a fin de
identificar los riesgos para cada grupo identificado y diseñar instrumentos
que permitan evaluar los aspectos planeados.
c. Evaluación de la Seguridad en la empresa objeto de la Auditoría
Se determinara si el diseño y crecimiento existentes en la empresa, están
dirigidos a buenas prácticas que optimicen su funcionamiento y que aplique
las políticas y normativas internacionales, impulsando y respaldando el
constante desarrollo de la organización.
d. Diseño de Pruebas de Auditoría
Se determinarán en términos generales los instrumentos y técnicas a utilizar
para llevar a cabo la verificación del cumplimiento adecuado de los
procesos necesarios para garantizar las correctas prácticas de optimización
del funcionamiento y de aplicación de políticas normativas e internacionales
en la implantación de Data Centers en la organización.
1. Técnicas:
Revisión documental
2. Instrumentos
Cuestionario, revisión documental y observaciónFECHA:
EMPRESA: AudiTextiles
Catheryne Patiño Cardona
AUDITORES:
Astrid Vannessa Castro Cortes
TECNICA USADA: Guia de Auditoria
HERRAMIENTA
Encuesta
USADA:
PREGUNTAS CERRADAS
No. Pregunta Si No Ns Observación
¿En la empresa conoce la ubicación,
1
cantidad y la garantía de sus equipos?
¿La empresa realiza mantenimiento
2
preventivo y eficaz a sus equipos?
¿Cuándo se producen problemas con los
equipos, estos son atendidos con el fin de
3
minimizar los impactos que pueda ocasionar
al negocio?
¿Todos los empleados de la empresa son
4 tratados con equidad en el uso de los
equipos?
¿La confidencialidad de los datos y correos
5 que administran sus equipos es confiable y
no puede ser vulnerada? Explique.
¿Los medios magnéticos que ustedes
6 intercambian con sus clientes y proveedores
son seguros?
¿Ustedes como empresa pueden garantizar
que los medios que intercambian con sus
7
clientes y proveedores, son seguros? Si es
afirmativa expliquen cómo.
¿Los soportes magnéticos que utiliza están
8
siendo administrados de manera de nocomprar insumos innecesarios y estar
disponibles para el momento en que son
necesarios?
¿Tiene posibilidades de recurrir a un back
9 up en caso de situaciones de gran
criticidad?
¿La información impresa que generan sus
sistemas es la mínima y necesaria para
10 evitar costos en papelería y distribución
innecesaria así como el riesgo por robo de
información?
¿Existen acuerdos formalizados y con
métricas concretas para determinar el nivel
11
de servicio pactado entre su Data Center y
las gerencias de su Negocio?
¿La gente que maneja tanto la información
como los equipos está al tanto de
12
novedades y en condiciones de responder a
las exigencias del puesto?
PREGUNTAS ABIERTAS
No. Pregunta Respuesta
¿Qué procedimientos siguen para evitar que
las bases de datos de sus clientes no sean
1
copiadas ni llevadas por personal no
autorizado?
¿Qué controles se siguen en la empresa
para garantizar que nadie pueda acceder a
2
sus equipos físicamente ni mediante
equipos de comunicaciones?
¿Los contratos con los proveedores que le
ayudan con la administración de Data
3
Center como hacen para satisfacer sus
necesidades y proteger sus intereses?
e. Ejecutar Pruebas de Auditoría
Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas
de los cuestionarios y de esta manera verificar el control que se está
llevando en los Data Centers.
f. Elaboración de Informe de Auditoría
Comunicar a la organización los resultados de la auditoria, proporcionando
mayor valor a la organización a través de un minucioso estudio de lossistemas eléctricos y de climatización que protegen al Data center, identificando deficiencias y oportunidades de mejora y ahorro. g. Seguimiento. Se verificara que el centro de procesamiento de datos o Data Center este altamente protegido y que día a día se logre reducir el número de máquinas físicas, consiguiendo optimizar los recursos que se necesitan para la administración, gestión y mantenimiento de las mismas.
También puede leer
