Computers">
Actividad Auditoria
Actividad Auditoria
Actividad Auditoria
Actividades
Trabajo: Estructuración de un Centro de Proceso de Datos e implantación de controles
generales
La empresa Citycorp tiene las siguientes funciones básicas que la constituyen como una
banca de inversión:
1. Transacciones de propiedades (Fondos de inversión).
2. Creación de mercado.
3. Uniones y adquisiciones (Asesoramiento): Empresas, reestructuración,
regulación y análisis de riesgos de adquisición.
4. Eventos corporativos / Nuevas operaciones: Momentos de exponer una
inversión (a la compañía) en el mercado y Underwritting.
5. Productos financieros estructurados.
Para cumplir con estas funciones tiene tres divisiones que constituyen la estructura
básica de la empresa.
Front Office: Son las personas que tienen contacto directo con el cliente, estas se
encargan de informarles los procedimientos de la empresa y gestionar los
servicios de prevente, venta y postventa. Esta área se apoya en Middle Office y
en el Back Office.
Middle Office: Esta parte de la empresa se encarga de evaluar los riesgos del
cliente y del entorno, realizan las evaluaciones de mercado, estadísticas y
proyecciones. Aquí se realizan las operaciones de los procesos de la empresa.
Back Office: Son las actividades contables y administrativas que se llevan acabo
en los procesos de Citycorp, esta área tiene la responsabilidad de aprobar las
operaciones que se llevan acabo en el Front Office acorde con la información
suministrada por el Middle Office. Aquí se encuentra IT.
Para realizar estas funciones que se constituyen por procesos es necesario que el
organigrama funcional del Centro de Procesamiento de Datos cumpla con los objetivos
y las necesidades de la empresa que corresponden a estas funciones.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
que se exponen al publico, el Community Manager de la compañía debe estar por fuera
del Centro de Procesamiento de Datos, este debe trabajar directamente con el director
en términos de recopilación de datos y estadísticas sobre la imagen de la empresa pero
no será un área que se encuentre dentro del CPD.
Las áreas de técnicas de sistemas deben encontrarse como un puente entre el Centro de
Atención al Usuario y las diferentes áreas del CPD, pues de ellos dependerá encaminar
las peticiones del usuario que el Centro de Soporte de Usuario no pueda resolver. Al
mismo tiempo brindar el mantenimiento regular requerido dentro de Citycorp.
La administración de Bases de Datos debe encontrarse entre el área de producción del
CPD (Data Center) y el control de calidad de datos en el área de Control Interno de
Tecnologías de la Información, con el objetivo de realizar el diseño lógico y físico de
las BBDD, dando soporte a la Banca de Inversión y facilitando el uso de los datos según
las necesidades de aplicación. Esta conexión tiene el objetivo generar comunicación
dentro de los procesos a las áreas, autorregulándose entre sí, al verificar que los
controles se están cumpliendo, demostrando que la seguridad de la información es
prioridad (Proceso simultaneo).
El área de Telecomunicaciones, al ser los encargados de las conexiones de red de la
empresa, deben estar en el área del desarrollo y mantenimiento del CPD, y deberá
responder a la dirección de el supervisor del área técnica de sistemas.
En el Data Center se especifica la importancia de trabajar a la mano con los que
necesitan la información y así mismo realizar, mantener y evaluar esta información
requerida. Por ello, se especifica que la captura de datos de Citycorp tiene diferentes
fuentes, tales como sus propios investigadores, estadistas y economistas que se encargan
de generar datos acerca del estado del mercado y sus respectivas proyecciones, al igual
que el Front Office, el cual tiene contacto directo con los clientes y recopila información
de estos alimentando la Data. Esta información es manipulada durante los procesos por
las dos áreas restantes (Middle Office y Back Office) por lo que se necesita un flujo
constante de información necesaria y suficiente dependiendo del área, estos son
regulados por los controles estipulados.
Funciones y entornos
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
Controles generales generados por el CPD: específicos para los datos de los
clientes, ya que son los activos con mayor relevancia y riesgo para la empresa.
Dentro de Citycorp se necesita que estén interconectados Front Office, Middle Office y
Back Office para cumplir con los procesos de la empresa, por ello se debe aplicar un
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
Para el apropiado manejo de datos debe existir una guía en la cual se describa el ciclo
de vida de estos datos, respondiendo al control 8.1.1 (desarrollo de sistemas y
documentación), en este documento debe estar registrado el momento de adquisición
de datos (entrada), su respectivo uso (procesamiento) y borrado y/o eliminado de los
respaldos. En el caso del eliminado completo de soportes para asegurarse que esta
información no sea recuperada, respondiendo con este control al 8.3.2 Eliminación de
respaldos, se contrata a una compañía externa con el objetivo de recibir un certificado y
evidencia de completo borrado y destrucción de la cinta de respaldo o disco en
cuestión.
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
naturaleza del cliente, los datos personales, datos financieros, naturaleza del negocio,
entre otros. Este software estará en toda la empresa con modificación y restricciones
por áreas, respondiendo a al control 6.1 mencionado anteriormente. Para poder acceder
a la plataforma donde se encuentra recopilada toda la información se requiere una
tarjeta y huella digital autorizada para ingresar al área donde se encuentra el
computador (control físico) y para acceder al computador necesita 2 usuarios y claves
autorizados que son proporcionados por el CPD en la estructura de la empresa (control
digital). Estos dos controles se consideran detectivos ya que soltaran una alarma
después de 3 intentos fallidos al introducir esta información (huella digital, usuario y
contraseña), con el propósito de saber quien es el intruso, gracias a las cámaras de
seguridad en cada una de las áreas. Este software y su respectivo mantenimiento
responde a los estándares de control 8.2 y 9.4 donde se expone la gestión de acceso a la
información.
Uno de los riesgos mas grandes de la empresa son los códigos maliciosos que desean
robar o corromper la información, por lo que el CPD debe tener controles que
correspondan al 12.2 de los estándares, con el objetivo de detectar, prevenir y
recuperación de control para proteger la información y plataformas de la empresa.
(Nombre de software!!!)
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
Al tener esta información sensible que esta constituida por la construcción de las
estadísticas del mercado, la data de los clientes, predicciones de caídas de las
inversiones y las estrategias financieras del banco (creación de mercado, productos
financieros estructurados), se necesita respaldar la información para evitar las perdidas
de la misma, estas serán almacenadas en el cuarto de respaldo como registros “físicos”,
allí se encontraran las copias de las memorias de las impresoras, softwares, imágenes
del sistema y los computadores, las memorias de estos serán borradas cada mes.
(Control 12.3 Backup - correctivo). Al igual que las áreas de trabajo, el cuarto de
respaldo, debe cumplir con el control 11.1, al tener tarjeta de acceso del personal
autorizado, huella digital del individuo, detectores de movimiento y cámaras de
seguridad que registren las actividades del usuario en las mismas.
La banca de inversión necesita compartir información con sus clientes durante los
procesos al igual que al momento del borrado y destrucción de los respaldos, este
proceso debe estar mediado por el control 13.2, diseñado para proteger esta
información, que consiste en correos certificados de la entidad, solo una parte de la
organización puede tener acceso a compartir esta información después de haber sido
documentada y aprobada acompañado de técnicas de criptografía para proteger la
confidencialidad, integridad y autenticidad de la información (13.2.1 – f). Todos las
personas involucradas en la empresa que tengan contacto con los datos de la misma
deben haber accedido y firmado acuerdos de confidencialidad para proteger la
información (13.2.4).
Las aplicaciones de los controles serán evaluadas con una frecuencia semestral en
donde se realizaran las modificaciones pertinente para la eficiencia de los procesos, con
esto se aplica el control 17.1, donde se realiza una continuidad para evaluar las crisis o
los puntos críticos de los controles y tomando en cuenta los posibles cambios a realizar
para disminuir el tiempo y esfuerzo que estos pueden llegar a tomar.
Un ejemplo de este es el control 9 de acceso, allí se pueden realizar mejoras de tiempo y
seguridad, que depende de la complejidad del usuario y contraseña que se le haya dado
al trabajador, este puede reducirse al actualizar la plataforma creando patrones mas
cortos pero de menor probabilidad de acceso sin conocimiento previo. Al mismo tiempo
se evaluaran si alguna de las medidas de control es innecesaria o necesita la aplicación
de otra.
CEO: 1
CIO: 1
Director de CPD: 1
User Team (Puente entre los usuarios y los informáticos): 3
Administración de seguridad lógica y física: 2 individuos por area (F,M,B Office)
Seguridad a nivel de aplicación y sistemas
Control del sistema: 2
TEMA 2 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Galindo Hernández
Auditoría de la
Dic/ 16/ 2019
Seguridad
Nombre: Adrián
Esta distribución tiene como propósito tener en los puestos de manejo un supervisor
del trabajo del área sobre los controles estipulados anteriormente, donde se prioriza el
tiempo de trabajo que envuelve la calidad y correcto funcionamiento de los equipos y el
software, también la captura de datos y su apropiada manipulación (procesamiento y
Back-up).
Bibliografía
TEMA 2 – Actividades