AUDITORÍAS ESPECÍFICAS: BCP, DATACENTER, BAI04

Andrés Quintero Arias

Código: 1701020289

AUDITORÍA INFORMÁTICA
UNIVERSIDAD DE CALDAS
2015
 1. BCP: PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO

1.1 INTRODUCCIÓN

La Continuidad del Negocio es un concepto que abarca tanto la Planeación para

Recuperación de Desastres (DRP) como la Planeación para el Restablecimiento
del Negocio. La Recuperación de Desastres es la capacidad para responder a una
interrupción de los servicios mediante la implementación de un plan para
restablecer las funciones críticas de la organización.

El establecimiento de procedimientos y medidas de seguridad están destinados a

salvaguardar la unidad administrativa, el centro de cómputo y su estructura física,
al personal, sus procedimientos operacionales, la información y documentación
generada contra cualquier evento natural o humano que de forma intencional o por
accidente puedan afectarlos.

Un programa efectivo de administración de la continuidad del negocio constituye

un aspecto crítico para las organizaciones de hoy. La experiencia nos dice que
cerca del 50% de las organizaciones que han experimentado un desastre sin
contar con un plan efectivo de continuidad, dejarán de operar a los doce meses
como máximo e inclusive aquellas organizaciones que ejecutaron un plan no muy
bien diseñado ni probado sufrirán pérdidas a largo plazo.

La necesidad de contar con capacidades de recuperación y continuidad de

negocios nunca fue tan fuerte dado que actualmente se requiere operar en forma
continua, a la vez que la dependencia del negocio en la tecnología informática es
cada vez mayor. Sin embargo, hay que reconocer que la velocidad y las
dependencias de los negocios de hoy en día hacen que la planeación de la
continuidad del negocio se convierta en una tarea compleja para las compañías.
Se debe considerar a la gente, las instalaciones, la tecnología y los socios de
negocios involucrados, se debe preparar la respuesta a la crisis y además se debe
tener la capacidad de coordinar su respuesta con muchas partes externas.

Para administrar este desafío se requiere un enfoque integral, que incorpore un

análisis detallado de los requerimientos del negocio, la sensibilización de los
usuarios, el uso de herramientas tecnológicas y sobre todo se debe concebir
fundamentalmente a la continuidad del negocio como un proceso permanente más
que la suma de soluciones puntuales.

1.2 DEFINCION: BCP (PLANEACION DE LA CONTINUIDAD DEL NEGOCIO)

El BCP es un plan de procedimientos alternativos a la forma tradicional de operar

de la empresa y es una herramienta que ayuda a que los procesos que se
consideran críticos para la organización continúen funcionando en una situación
extraordinaria, a pesar de una situación incontrolable en el entorno. Un plan de
continuidad del negocio, se enfoca en sostener las funciones del negocio de una
Entidad durante y después de una interrupción a los procesos críticos del negocio.
Un Plan de Continuidad del Negocio o BCP debe considerar todas las áreas de la
empresa de manera integral incluso desde la estrategia, incorporando el DRP en
conjunto con los elementos mínimos requeridos para continuar con la operación
del negocio.
El contar con un plan de esta naturaleza significa que la organización está
preparada adecuadamente para cualquier eventualidad, continuando con su
operación e impactando lo menos posible la salud financiera de la empresa.
Las primeras 72 horas después de la interrupción, son vitales para saber si el
negocio soportará o morirá debido a la contingencia que se presenta. Morir, no
será un acto inmediato, sino que puede ser un proceso irreversible y lento porque
no se tuvieron las respuestas inmediatas para adaptarse al entorno que se
presenta.
Un BCP contempla la continuidad de los procesos y servicios críticos del negocio y
se integra bajo las dimensiones de organización (recursos humanos, materiales y
líneas de mando), operaciones (políticas y procedimientos), Tecnologías de
Información e instalaciones, analizados bajo el marco de referencia de la
continuidad.
Las características que debe tener un BCP son:
 Claridad
 Ser de fácil entendimiento
 Concreto

El BCP es para toda la organización, y no debe descansar sólo en el nivel

directivo, ya que quien opera es el grupo que debe estar más inmerso en el
entendimiento y aplicación del mismo.
Bajo esta premisa, el capital humano tiene un peso relevante, ya que es el
responsable de su aplicación y operación, por lo que debe existir un adecuado
proceso de capacitación.

1.2.1 Planes Que Complementan El Plan De Continuidad Del Negocio

En la figura siguiente, se observa una versión completa de los diferentes tipos de
planes, relacionados con la atención de emergencias, y que se interrelacionan con
un Plan de Continuidad del Negocio (BCP, DRP).
Se desprende la conveniencia de que un Plan de Continuidad del Negocio se
complemente con otros planes que ayudan a su efectividad. Sin embargo, debido
a la carencia de definiciones estándar para estos tipos de planes, en algunos
casos, el alcance de los mismos puede variar entre las diferentes organizaciones.
Estos planes son:
1. Plan de comunicación de crisis: documento que contiene los procedimientos
internos y externos que las organizaciones deben preparar ante un desastre. Este
plan debe estar coordinado con los demás planes para asegurar que sólo
comunicados aprobados sean divulgados y que solamente personal autorizado
sea el responsable de responder las diferentes inquietudes y de diseminar los
reportes de estado al personal y al público.

2. Planes de evacuación por edificio: contiene los procedimientos que deben

seguir los ocupantes de una instalación o facilidad en el evento en que una
situación se convierta en una amenaza potencial a la salud y seguridad del
personal, el ambiente o la propiedad. Tales eventos podrían incluir fuego,
terremoto, huracán, ataque criminal o una emergencia médica.
3. Plan de continuidad de operaciones (COOP): Orientado a restaurar las
funciones esenciales de una sede o filial de la entidad (Ejemplo: una agencia, la
fábrica, el almacén de ventas) en una sede alterna y realizar aquellas funciones
por un período máximo de 30 días antes de retornar a las operaciones normales.
Debido a que un COOP se enfoca en sedes o filiales, debe ser desarrollado y
ejecutado independientemente del BCP. Interrupciones menores que no requieren
reubicación en una sede alterna típicamente no son cubiertas en un COOP.

4. Plan de respuesta a ciber-incidentes: Establece procedimientos para

responder a los ataques en el ciberespacio contra un sistema de Tecnología
Informática (TI) de una entidad. Estos procedimientos son diseñados para
permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes
de cómputo maliciosos tales como: Acceso no autorizado a un sistema o dato,
Negación de servicio, Cambios no autorizados a HW, SW o datos.

5. Planes de contingencia de TI: orientado a ofrecer un método alterno para

sistemas de soporte general y para aplicaciones importantes Debido a que un Plan
de contingencia de TI debe ser desarrollado por sistema de soporte general y por
cada aplicación importante, existirán múltiples planes de contingencia.

6. Plan de recuperación de desastres (DRP): Orientado a responder a eventos

importantes, usualmente catastróficos que niegan el acceso a la facilidad normal
por un período extendido. Frecuentemente, el DRP se refiere a un plan enfocado
en TI diseñado para restaurar la operabilidad del sistema, aplicación o facilidad de
cómputo objetivo en un sitio alterno después de una emergencia. El alcance de un
DRP puede solaparse con el de un Plan de Contingencia de TI; sin embargo, el
DRP es más amplio en alcance y no cubre interrupciones menores que no
requieren reubicación.

7. Plan de recuperación del negocio: Permite restaurar un proceso de negocio

después de una emergencia, pero al contrario del BCP, carece de procedimientos
para asegurar la continuidad de procesos críticos durante una emergencia o
interrupción. Productos que componen el Plan de Continuidad (BCP, DRP)

El Plan de Continuidad del Negocio incluye los siguientes productos:

1. Impacto de Análisis del Negocio.
2. Evaluación o Valoración de Riesgos.
3. Estrategias de Continuidad.
4. Roles, responsabilidades y procedimientos.
5. Procesos y Procedimientos de Continuidad.
6. Plan de Pruebas del Plan de Continuidad.
 1.3 OBSERVACIONES

En caso, de que su empresa no cuente con un Plan de Continuidad de Negocios,

nuestra recomendación es reflexionar sobre los 4 aspectos mínimos que apoyen la
implantación de un plan contingente hasta que pase la crisis:

1. Crear un Comité de Crisis

Este Comité deberá estar integrado por los principales ejecutivos de la empresa
que representen el 100% de la operación. Este órgano será el único que tomará
decisiones mientras dure la crisis y será el responsable de construir un plan para
atacar la contingencia.

2. Crear un vínculo de comunicación permanente con la organización

El Comité de Crisis deberá de contar con un vínculo de comunicación entre éste y

todos los miembros de la organización. Se deberá crear un Plan de Comunicación
bien estructurado, permanente y continuo para mantener a la organización y sus
colaboradores bien informados.

3. Desde el punto de vista de operaciones:

Identificar los procesos/actividades del negocio vitales en la operación y su

interrelación con los procesos totales del negocio. Definición de prioridades y
marcos de referencia en el tiempo. Definición de alternativas para la continuidad
de servicios críticos. Descripción de plan de recuperación para los escenarios de
interrupción más comunes. Minimizar la toma de decisiones durante la crisis.

4. Desde el punto de vista de requerimientos:

Seleccionar y definir equipos de trabajo con personal comprometido y experiencia

funcional. Definir recursos mínimos requeridos para mantener la operación y
comunicación de toda la organización, como pueden ser: lap tops, enlace a
Internet, VPN, teléfonos celulares, concentración de grupos críticos, etc. Definir
requerimientos de recuperación de los procesos considerados no críticos, para
estabilizar la operación. Definir esquemas de reporte y seguimiento diario a la
operación mediante los grupos focales, definidos en etapas anteriores.

1.4 PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria específica referente a BCP, se llevara a

cabo el siguiente programa de Auditoria:

1. Investigación Preliminar.
2. Identificación y Agrupación de Riesgos
3. Evaluación de la Seguridad en la empresa objeto de la Auditoría
4. Diseño de Pruebas de Auditoría
5. Ejecutar Pruebas de Auditoría
6. Elaboración de Informe de Auditoría
7. Seguimiento.

1. Investigación preliminar

En esta etapa se determinará si la empresa cuenta con un Plan de Continuidad del

Negocio, con el fin de estimar el alcance de la auditoria. Se llevara a cabo una
revisión general y una visita a la empresa, para definir los pasos a seguir.
Se conocerá de manera global los planes que conforman el Plan de Continuidad
del Negocio y que tan completo están con el fin de definir a que se le hará
Auditoria e identificar los elementos que apoyan dichos planes.

Consideraciones
Conocimiento global de la empresa en cuanto a: Planes de mitigación de Riegos,
Área de sistemas, Estructura organizacional y personal. Conocimiento global de
los sistemas, evaluando las herramientas que proporciona como apoyo a la
seguridad y a la administración.

a. Conocimiento de los planes existentes en la empresa:

Recopilación de información referente a los riesgos y estrategias que se definen
en cada plan con el fin de identificar el nivel de preparación en el cual se
encuentra la organización referente a situaciones que puedan provocar el paro de
sus operaciones.
Para esto se debe solicitar:

 Plan de mitigación de Riesgos.

 Plan de Recuperación de Desastres
 Plan de Continuidad de Operaciones
 Plan de comunicación de crisis
 Plan de contingencia de TI
 Plan de recuperación del Negocio

b. Importancia de los planes de contingencia de riesgos para garantizar la

continuidad de las operaciones de la empresa.

c. Alcance de la Auditoria.
Las herramientas y mecanismos a utilizar para llevar a cabo esta investigación
preliminar son:

 Entrevistas previas con el cliente.

 Revisión de las instalaciones donde se realizara la auditoria.
  Investigación de los funcionarios que analizaron y elaboraron el plan de
continuidad del negocio.
 Revisión de documentación proporcionada por la empresa.
 Estudio y evaluación del sistema de control interno.

2. Identificación y Agrupación de Riesgos

Identificar y clasificar los riesgos a los que está expuesto la empresa que pueden
afectar la continuidad del negocio. A continuación se listaran los riesgos que
pueden afectar a la organización.

 Desastres naturales inesperados dentro de la organización.

 Amenazas a los recursos de TI que comprenden el uso de información vital
dentro de la empresa.
 Amenazas a la infraestructura Arquitectónica/Civil y de TI.

3. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Se determinara si el Plan de Continuidad del Negocio o BCP considera todas las

áreas de la empresa de manera integral incluso desde la estrategia, incorporando
el DRP en conjunto con los elementos mínimos requeridos para continuar con la
operación del negocio.
Se examinará si existe apoyo a los procesos que se consideran críticos para que
la organización continúe funcionando en una situación extraordinaria, a pesar de
una situación incontrolable en el entorno.

4. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a utilizar para

llevar a cabo la verificación del cumplimiento adecuado de los procesos
necesarios para garantizar que dentro de la organización se maneja un plan de
continuidad de negocio esencial para asegurar la vida de la compañía ante
cualquier tipo de contingencia y que para conseguir su efectividad, se sigue como
mínimo los siguientes aspectos:

 El plan de continuidad de negocio está basado en directrices marcadas por

la dirección.
 A través de un análisis de impacto de negocio y una gestión del riesgo se
consiguen los fundamentos para un efectivo BCP.
 El Plan de Continuidad del Negocio esta periódicamente actualizado para
reflejar y responder a los cambios que se vayan produciendo en la
compañía.
 PREGUNTAS CERRADAS

No pregunta Si No Ns Observación

1 ¿Existe en su empresa un plan de recuperación de desastres?

¿El administrador y coordinador del plan es responsable en

2 mantener dicho plan al día?

¿Existe un equipo para la recuperación de desastres que

3 reaccionen a una emergencia en medidas de acción inmediatas?

4 ¿Dónde está el sitio de instalación de copia de seguridad?

¿El plan indica claramente las prioridades para la restauración de

5 los sistemas de la empresa, basados en el riesgo para el negocio
en particular?
¿Tienen sus empleados en la empresa una copia del plan de la
6 organización de recuperación de desastres?

7 ¿Se tiene en la empresa una copia actual del organigrama?

¿Se realiza dentro de la empresa una lista de inventario de todos

8 los activos que se poseen en la empresa?

¿Se tienen acuerdos relativos a la seguridad en el uso de las

9 instalaciones de la empresa?

10 ¿Tiene respaldos de la información?

11 ¿Posee un plan para gestionar los riesgos?

12 ¿Tiene una identificación de los procesos críticos del negocio?

¿Posee políticas de seguridad para garantizar la continuidad del

13 negocio?

14 ¿Posee políticas de seguridad para proteger la información?

¿Actualiza el plan de recuperación de desastres de manera

15 continua?

16 ¿Hay un grupo encargado del plan de recuperación?

 ¿Los miembros del grupo de recuperación poseen copias del plan
17 de recuperación?

18 ¿Realiza backups continuamente?

19 ¿Los sistemas críticos son cubiertos por el plan?

20 ¿Tiene equipos que no son cubiertos por el plan?

21 ¿Posee procedimientos formales para la realización de backups?

22 ¿Posee procedimientos formales para el proceso de restauración?

¿Las nuevas soluciones informáticas garantizan la continuidad del

23 negocio?
¿Los usuarios de los sistemas informáticos y el hardware reciben
24 Capacitación para desempeñar nuevas funciones y garantizar la
continuidad del negocio?
¿Evalúa el desempeño de la empresa con relación a los
25 competidores?
 PREGUNTAS ABIERTAS

No pregunta Respuesta

¿Si existe un plan, cuando fue la última vez que se

1 actualizo?

¿Indique cuáles son los procedimientos para la actualización

2 del Plan de Continuidad del Negocio?

¿Quién es el encargado en su empresa de la administración

3 o la coordinación del plan?

¿Dónde se encuentra almacenado el plan de recuperación

4
de desastres en su empresa?

¿Dónde está la lista almacenada de los contactos del equipo

5 de recuperación de desastres?

6 ¿Qué sistemas críticos están cubiertos por el plan?

¿Cuál es el grado de madurez que tiene la empresa al

7
poseer un sitio para las copias de seguridad?

8 ¿Bajo qué paramentos ha seleccionado el sitio?

9 ¿Con qué modalidad ha contratado el sitio?

10 ¿Realizan pruebas al plan?

11 ¿Qué pruebas realizan y con cuanta periodicidad?

 LISTA DE VERIFICACIÓN
No pregunta Cumple No cumple Observación
Se cuenta con un plan para gestionar los
1 riesgos?

2 Se identifican los procesos críticos del negocio?

Se cuenta con políticas de seguridad para

3 garantizar la continuidad del negocio?
Posee políticas de seguridad para proteger la
4 información?
Se cuenta con un plan de recuperación de
5 desastres?
Se cuenta con un responsable de administrar o
6 coordinar el plan?
Hay un grupo encargado del plan de
7 recuperación
Los miembros del grupo de recuperación poseen
8 copias del plan de recuperación
9 Realiza backups continuamente?

10 Tiene equipos que no son cubiertos por el plan

Posee procedimientos formales para la
11 realización de backups
Posee procedimientos formales para el proceso
12 de restauración?
Los usuarios de los sistemas informáticos y el
hardware reciben capacitación para desempeñar
13 nuevas funciones y garantizar la continuidad del
negocio?
Garantiza el cumplimiento de las leyes y
14 regulaciones?

5. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas anteriormente mencionadas, exigiendo el soporte

documental de las respuestas de los cuestionarios y de esta manera verificar el
control que se está llevando en la administración del Plan de Continuidad del
Negocio.
 6. Elaboración de Informe de Auditoría

El informe de auditoría busca comunicar a la organización los resultados de la

evaluación y las pruebas ejecutadas, proporcionando mayor valor a la
organización, informando si el Plan de Continuidad de Negocio es realmente
efectivo en caso de su ejecución y si se puede decir que se han alineado las
Tecnologías de la información con los objetivos del negocio.

7. Seguimiento.

Se verificará que los objetivos del BCP de la empresa se están cumpliendo y que
estos contribuyen a minimizar la pérdida financiera de la compañía, y que se
garantiza la calidad del servicio a los clientes.
Así mismo se evaluará que la organización este bien preparada adecuadamente Y
que toda la organización tiene conocimiento de las operaciones y de todos y cada
uno de quienes participan en cada proceso crítico para cualquier eventualidad,
continuando con su operación e impactando lo menos posible la salud financiera
de la empresa.

1.5. CONCLUSIONES

En el entorno actual, en materia de costos es más efectivo prevenir que recuperar.

Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en
este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y
generar mejores resultados.

Los beneficios de actuar bajo un plan son:

 Análisis claro y preciso, y conocimiento consistente y continuo sobre la

situación del negocio y la efectividad de la estrategia de continuidad
definida.
 Evaluación técnica de riesgos asociados a la continuidad y evaluación de
alternativas y estrategias de minimización de riesgos.
 Mapeo crítico de los recursos mínimos requeridos en la continuidad de los
procesos del negocio.
 Control del impacto financiero y operacional, causado por la interrupción de
la operación natural del negocio
 Análisis y reducción del nivel de riesgo al cual se encuentra expuesta la
entidad.
 Decisiones rápidas y acertadas para subsanar posibles riesgos inherentes a
la situación y esquema de operación en el que se encuentra el negocio
 Desarrollo de cultura y personal mejor capacitado y sensibilizado en la
importancia de la continuidad en la entidad.

2. DATA CENTER
2.1 INTRODUCCIÓN.

El término de Auditoria es empleado incorrectamente con frecuencia ya que se

considera como una evaluación cuyo único fin es detectar errores y señalar fallas.
El concepto de auditoría es mucho más amplio. Es un análisis crítico que se
realiza con el fin de evaluar y mejorar la eficacia y eficiencia de un proceso, de un
departamento, un organismo, una entidad, etc.
Con el fin de proporcionar la información que la empresa necesita para alcanzar
sus objetivos, los recursos de TI deben ser administrados por un conjunto de
procesos de TI agrupados de forma tal de obtener un modelo de referencia a
implementar.
La auditoría en un Data Center tiene el objetivo de mejorar el rendimiento
operacional y la calidad de la energía, dicha auditoria debe estar orientada a
generar valor a sus clientes a través de un minucioso estudio en sistemas
eléctricos y de climatización, identificando deficiencias y oportunidades de mejora
y ahorro.
El centro de datos es considerado un generador de mucho valor para la compañía
pero por su actividad crítica, es también generador de mucho gasto e inversión
tanto a nivel de capital como de gastos operativos. En este sentido, es muy
importante que su diseño y crecimiento esté dirigido a buenas prácticas que
optimicen su funcionamiento y que aplique las políticas y normativas
internacionales, impulsando y respaldando el constante desarrollo de la
organización.

2.2 DEFINICION DE DATA CENTER

Cuando se habla del CPD, Centro de Procesos de Datos o Data Center estamos
refiriéndonos a la ubicación donde se concentran todos los recursos necesarios
para el procesamiento de información de una organización. También se conoce
como centro de cómputo (Iberoamérica) o centro de cálculo (España).
La integración de las infraestructuras tecnológicas en un Data Center, permite
automatizar la gestión de los recursos y convertir unas infraestructuras caóticas en
algo gestionable y altamente automatizado con el consiguiente ahorro de recursos
económicos. Por ejemplo: Los costes de administración y gestión que le supone a
una organización, tener sus servidores dispersos por diferentes localizaciones
físicas, sin un control y administración central, es mucho mayor que si dichos
servidores se encuentran en un CDP, con un único equipo de gestión y
administración.
Los Data Center diseñados según las nuevas especificaciones, permiten llevar a
cabo una gestión del consumo de energía de las infraestructuras, lo que nos
permite alcanzar una eficiencia energética, lo que supone una disminución de los
costos del funcionamiento del Data Center.
El concepto de virtualización está íntimamente ligado a los “Data Center”;
virtualizar nos permite mejorar la eficiencia y eficacia de nuestros sistemas de
información, reduciendo el número de máquinas físicas y consiguiendo optimizar
los recursos que se necesitan para la administración, gestión y mantenimiento de
las mismas.
Los nuevos Data Center están cambiando la percepción que se tiene de las
infraestructuras de proceso, almacenamiento y transmisión de la información, lo
que está llevando a que hoy en día tanto las capacidades de procesamiento, como
las de almacenamiento y de comunicaciones, se consideren un servicio y como tal
se vendan.
Lo que verdaderamente importa es disponer de una infraestructura tecnológica
que permita que los servicios de TI estén alineados con el negocio y aporten valor
al mismo.
La auditoría en Data Center consta de un detallado análisis de la composición, uso
y desempeño del centro de datos, que implica el despliegue de destacados
profesionales y personal técnico especializado en una labor de campo para el
levantamiento de información sobre la instalación eléctrica y de climatización, la
evaluación de puntos críticos y puntos de fallas, la identificación de oportunidades,
el diagnóstico y el rediseño, a fin de reducir significativamente los gastos
operativos por parte de los usuarios, acercando el Data Center a un modelo
óptimo, capaz de soportar nuevas implementaciones y preparado para continuar
con su crecimiento.

2.2.1. Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en

las normas NFPA75, TIA 942.

La auditoría de Seguridad de Centro de Cómputos (Data Centers) está basada en

las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los
requerimientos y las guías para el diseño e instalación de Centros de Cómputo
(Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado
y diseño de la red, topología del piso para lograr el balance apropiado entre
seguridad, densidad de racks, etc.
TIA-942 permite que el diseño del Data Center sea considerado desde el proceso
de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre
distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las
fases de su construcción.
El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y
establece los requisitos para la construcción con computadoras necesitando
protección contra incendios y edificación, habitaciones, áreas, o ambientes
operacionales especiales. La aplicación está basada en consideraciones de riesgo
tal como los aspectos de interrupción de negocio de la función o amenazas de
fuego a la instalación.

2.2.2. Normas, Estándares y Auditoria en un DC

2.2.2.1 Proceso de Implementación
 2.2.2.2. Estudio de Factibilidad

Criterio de Diseño

En esta etapa, se lleva a cabo la definición del proyecto y la preparación de los

requerimientos técnicos de Diseño.
Se estable una matriz en donde se clasifican los posibles alcances o proyecciones
a alcanzar en un Centro de Datos y se realiza la recomendación según los
estándares internacionales.
Se debe desarrollar un Criterio Técnico de Diseño, para el área de
Telecomunicaciones, Arquitectónica/Civil, Eléctrica y Mecánica. Estudios
preliminares y Selección del Sitio.

2.2.3. Estándares y Normas – Tipos

Norma o Estándar: Por definición son sinónimos, no existe diferencia entre

ellos, y existen normas establecidas por Organismos Internacionales, Organismos
Regionales y Organizaciones Privadas.

Norma de Facto: Especificación técnica que ha sido desarrollada por una o

varias compañías y que ha adquirido importancia debido a las condiciones del
mercado (TIER, BICSI, IEEE).

Norma de Jure: Especificación técnica aprobada por un órgano de

normalización reconocido para la aplicación de la misma (ISO, IEC, UL).

2.2.4. Aplicación de Normas en un Centro de Datos

  Normas Regionales: Se debe de cumplir con lo que indican los entes de
cada región, por ejemplo Códigos Sísmicos, Normas Eléctricas,
generalmente se establecen mediante decretos y son de cumplimiento
obligatorio.

 Normas Internacionales: Son aquellas normas generadas por un grupo de

organizaciones regionales y aunque no son de cumplimiento obligatorio, se
asumen como necesarias.

 Normas de Organizaciones: Son esquemas de Buenas Prácticas y

recomendaciones (TIER, BICSI, etc.), generalmente certificados solamente
por el ente que las emitió.

2.2.5. Normas asociados a Centros de Datos

 Normas ISO y BSBS25999: Continuidad de la actividad comercial/ La

gestión de continuidad de la actividad comercial (BCM) se ha concebido
para ayudar a las organizaciones a minimizar el riesgo de interrupciones.

 ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de servicios de TI de

gran calidad.

 ISO/IEC 27001: Seguridad de la información/Protección de la información,

el activo más valioso.

 En 16001: Eficiencia energética/ Comprometidos con el uso eficiente de la

energía.

2.2.5.1 Normas y Mejores Prácticas

 LEED
 NFPA
 BICSI
 ASHRAE
 IEEE

2.2.5.2. Tipos de Auditorías

 Auditorias de Eficiencia.
 Auditorias Electromecánica.
 Auditorías de la Gestión de los sistemas (ISO)
 Auditorías de Riesgo Operacional (Conjunto de Auditorías Anteriores).

2.2.6. ¿Qué es necesario tener en un data center?

  Acometidas eléctricas.
 Sistemas para prevenir y controlar incendios e inundaciones como:
drenajes y extintores.
 Vías de evacuación.
 Puertas y pinturas ignífugas (que protegen contra fuego)
 Aire acondicionado.
 UPS (Sistema de alimentación de energía ininterrumpido)
 Pisos y techos falsos.
 Instalación de alarmas.
 Control de temperatura y humedad con avisos.
 Cerraduras electromagnéticas
 Cámaras de seguridad o CCTV (Circuito cerrado de televisión)
 Detectores de movimiento
 Tarjetas de identificación.
 Bitácoras de acceso manual y electrónicas.
 Botón de apagado de emergencia (EPO por sus siglas en inglés Emergency
Power Outage)

Los requerimientos variarán entre cada uno, puesto que no son los mismos
riesgos en cada uno y su localización también varía.

2.3 OBSERVACIONES

En general, la función de Auditoría Informática en la empresa es garantizar que los

sistemas de ordenador salvaguardan los “bienes” de la organización, mantienen la
integridad de los datos y alcanzan los objetivos de la empresa de un modo eficaz y
efectivo.
Aunque esta definición es extensible a los Centros de Proceso de Datos, en estos
se deben de tener en cuenta algunas consideraciones especiales, dado que en
ellos se concentran datos y aplicaciones informáticas en espacios muy reducidos,
lo que los hace excepcionalmente propensos a problemas potenciales, tanto
lógicos como físicos, que pueden afectar a su seguridad y funcionamiento.

2.4 PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria referente a Data Center, se llevará a cabo el
siguiente programa de Auditoria.

a. Investigación Preliminar.
En esta etapa se llevará a cabo la definición de la preparación de los
requerimientos técnicos de diseño de un Data Center. Se establecerá una matriz
en donde se clasificaran los posibles alcances o proyecciones en un centro de
Datos.
Identificar si se dispone de una infraestructura tecnológica que permita que los
servicios de TI estén alineados con el negocio y aporten valor al mismo.
b. Identificación y Agrupación de Riesgos

Consta de un análisis de la composición, uso y desempeño del centro de datos y

el posterior levantamiento de información sobre la instalación eléctrica y de
climatización, la evaluación de puntos críticos y puntos de fallas, la identificación
de oportunidades, el diagnóstico y rediseño, a fin de identificar los riesgos para
cada grupo identificado y diseñar instrumentos que permitan evaluar los aspectos
planeados.

c. Evaluación de la Seguridad en la empresa objeto de la Auditoría

Se determinara si el diseño y crecimiento existentes en la empresa, están dirigidos

a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y
normativas internacionales, impulsando y respaldando el constante desarrollo de
la organización.

d. Diseño de Pruebas de Auditoría

Se determinarán en términos generales los instrumentos y técnicas a utilizar para

llevar a cabo la verificación del cumplimiento adecuado de los procesos
necesarios para garantizar las correctas prácticas de optimización del
funcionamiento y de aplicación de políticas normativas e internacionales en la
implantación de Data Centers en la organización.
 LISTAS DE CHEQUEO
No
No Pregunta Cumple Observación
Cumple
Consideración de un Data Center en el
1 PETI
Identificación de riesgos del Data
2 Center
Inversiones planeadas para el Data
3 Center
Mantenimiento preventivo y correctivo
4 eficiente y eficaz
5 Equipos funcionando correctamente
Conocimiento de la ubicación de los
6 equipos informáticos.
Conoce el número de equipos del Data
7 Center.
Conoce las garantías que poseen los
8 equipos.
La confidencialidad de los datos y
9 correos que administran sus equipos
es confiable y no puede ser vulnerada
Los medios magnéticos que se
10 intercambian con los clientes y
proveedores, son seguros
Las bases de datos de sus clientes NO
11 pueden ser copiadas, llevadas, por
personal no autorizado.
Los soportes magnéticos que utiliza
están siendo administrados de manera
que no se compren insumos
12 innecesarios y estos se encuentren
disponibles para el momento en que
son necesarios
Tiene posibilidades de recurrir a un
13 backup en caso de situaciones
tremendamente críticas
La información impresa que generan
sus sistemas es la mínima y necesaria
14 para evitar costos en papelería y
distribución innecesaria así como el
riesgo por robo de información
Posee mecanismos para controlar el
acceso a sus equipos, tanto
15 físicamente o mediante equipos de
comunicaciones
La gente que maneja tanto la
información como los equipos está al
16 tanto de novedades y en condiciones
de responder a las exigencias del
puesto
17 Los contratos con los proveedores que
 le ayudan con los aspectos críticos de
su operación, contemplan sus
necesidades y lo protegen
Sus sistemas operativos aseguran
determinado nivel de seguridad en los
18 accesos y operaciones del
negocio
Posee UPS’s al interior del Data
19 Center
Su sistema genera alarmas ante
20 cualquier fallo que pueda afectar al
negocio
Posee sistemas de redundancia
21 eléctrica
el Data Center es tolerante a fallos
22 según las normas y leyes
 PREGUNTAS ABIERTAS

No Pregunta Respuesta

¿Cuáles son las posibilidades de recurrir a

1 un backup en caso de situaciones
tremendamente críticas?

¿La información impresa que generan sus

sistemas es la mínima y necesaria para
2 evitar costos en papelería y distribución
innecesaria así como el riesgo por robo de
información? Justifique
¿La información impresa que generan sus
sistemas es la mínima y necesaria para
3 evitar costos en papelería y distribución
innecesaria así como el riesgo por robo de
información? Justifique
¿Cuáles son los mecanismos para
controlar el acceso a sus equipos, tanto
4 físicamente o mediante equipos de
comunicaciones?
¿La gente que maneja tanto la información
como los equipos está al tanto de
5 novedades y en condiciones de responder
a las exigencias del puesto? Justifique
¿Los contratos con los proveedores que le
ayudan con los aspectos críticos de su
6 operación, contemplan sus necesidades y
lo protegen?

¿Cómo los sistemas operativos aseguran

7 determinado nivel de seguridad en los
accesos y operaciones del negocio?

¿Cuáles son acuerdos formalizados y con

qué métricas concretas tienen determinar el
8 nivel de servicio pactado entre su Data
Center y las gerencias de su Negocio?

¿Explique el uso de las UPS’s al interior del

9 Data Center?

¿Su sistema genera alarmas ante cualquier

10 fallo que pueda afectar al negocio? De qué
manera

¿Considera que su Data Center es

11 tolerante a fallos? Justifique
 PREGUNTAS CERRADAS

No pregunta Si No Ns Observación
¿En la empresa conoce la ubicación,
1 cantidad y la garantía de sus equipos?

¿La empresa realiza mantenimiento

2 preventivo y eficaz a sus equipos?

¿Cuándo se producen problemas con los

equipos, estos son atendidos con el fin de
3 minimizar los impactos que pueda
ocasionar al negocio?

¿Todos los empleados de la empresa son

tratados con equidad en el uso de los
4 equipos?

¿La confidencialidad de los datos y correos

que administran sus equipos es confiable y
5 no puede ser vulnerada? Explique.

¿Los medios magnéticos que ustedes

intercambian con sus clientes y
6 proveedores son seguros?

¿Ustedes como empresa pueden

garantizar que los medios que intercambian
7 con sus clientes y proveedores, son
seguros? Si es afirmativa expliquen cómo.

¿Los soportes magnéticos que utiliza están

siendo administrados de manera de no
comprar insumos innecesarios y estar
8 disponibles para el momento en que son
necesarios?

¿Tiene posibilidades de recurrir a un back

up en caso de situaciones de gran
9 criticidad?

¿La información impresa que generan sus

sistemas es la mínima y necesaria para
evitar costos en papelería y distribución
10 innecesaria así como el riesgo por robo de
información?

11 ¿Existen acuerdos formalizados y con

métricas concretas para determinar el nivel
de servicio pactado entre su Data Center y
las gerencias de su Negocio?
 ¿La gente que maneja tanto la información
como los equipos está al tanto de
12 novedades y en condiciones de responder
a las exigencias del puesto?

¿Consideró la creación de un Data Center

13 en su PETI?
¿Ha identificado los riesgos en los cuales
14 puede incurrir su Data
Center?
¿Las inversiones planeadas para el Data
15 Center son acordes con las necesidades
del negocio?
¿Realiza un mantenimiento preventivo y
16 correctivo eficiente y eficaz?
¿Sus equipos están siendo bien
17 manipulados?
18 ¿Conoce ciertamente dónde están?
¿Tiene idea del número de equipos que
19 posee el Data Center?
20 ¿Cuenta con garantías para los equipos?
¿Cuándo se producen problemas, los
mismos son atendidos minimizando los
21 impactos para su negocio y al mejor bajo
costo posible?
¿La confidencialidad de los datos y correos
22 que administran sus equipos es confiable y
no puede ser vulnerada?
¿Los medios magnéticos que usted
23 intercambia con sus clientes y proveedores,
son seguros?
¿Las bases de datos de sus clientes
24 pueden ser copiadas, llevadas, por
personal no autorizado?
¿Los soportes magnéticos que utiliza están
siendo administrados de manera que no se
25 compren insumos innecesarios y estos se
encuentren disponibles para el momento en
que son necesarios?

e. Ejecutar Pruebas de Auditoría

Se ejecutan las pruebas, exigiendo el soporte documental de las respuestas de los

cuestionarios y de esta manera verificar el control que se está llevando en los Data
Centers.

f. Elaboración de Informe de Auditoría

Comunicar a la organización los resultados de la auditoria, proporcionando mayor

valor a la organización a través de un minucioso estudio de los sistemas eléctricos
y de climatización que protegen al Data center, identificando deficiencias y
oportunidades de mejora y ahorro.

g. Seguimiento.

Se verificara que el centro de procesamiento de datos o Data Center este

altamente protegido y que día a día se logre reducir el número de máquinas
físicas, consiguiendo optimizar los recursos que se necesitan para la
administración, gestión y mantenimiento de las mismas.

3. COBIT 5: BAI04 Gestión de la Disponibilidad y Capacidad

3.1 INTRODUCCÍON

Las estrategias y planes de continuidad de negocio, son hoy en día,

fundamentales para la supervivencia de cualquier empresa, y están íntimamente
ligados y dependientes de la continuidad de los servicios que las áreas TIC le
entregan al negocio. La definición de conceptos y metas en los alcances de los
procesos de Continuidad y Disponibilidad no están debidamente alineados y se
tienen esfuerzos e inversiones duplicadas. Ahora bien, para que éstas puedan
entregar servicios confiables y eficientes se hace necesaria la gestión adecuada
de variables que muchas veces no son tenidas en cuenta como debe ser: La
Disponibilidad y la Capacidad.

La Gestión de la Disponibilidad se ocupa de optimizar y monitorear los servicios

TIC para que funcionen ininterrumpidamente de manera confiable a un costo
razonable, y la Gestión de la Capacidad asegura que todos los servicios estén
respaldados por recursos físicos y lógicos correctamente dimensionados
(procesamiento, almacenamiento, conectividad, etc.).

Si la disponibilidad falla posiblemente no se puedan cumplir los acuerdos de

servicio firmados con los clientes y si la capacidad no está debidamente
gestionada, posiblemente se haga inversiones innecesarias que impliquen gastos
adicionales de administración y mantenimiento o los recursos sean insuficientes y
se afecte la calidad del servicio, la disponibilidad, la continuidad y la imagen
 PREGUNTAS CERRADAS

No pregunta Si No Ns Observación
Dispone de un DBA (Administrador de
1 Bases de Datos)

Al momento de realizar la base datos, se

2 tuvo una arquitectura definida

Ha tenido problemas en las cargas de

3 trabajo del o los servidores que posee?

Su modelo de negocio en condiciones

normales necesita que su empresa este
4 disponible 24/7 con una disponibilidad del
90%
Puede asumir una caida del sistema?
5
Sabe durante cuanto tiempo puede asumir
6 un fallo del sistema?

Ha establecido un proceso de planeación

7 de cómo utilizará la capacidad de
almacenamiento de datos?

Conoce que es el término RAID(conjunto

8 redundante de discos Independientes)

Revisa continuamente la capacidad y la

9 disponibilidad actual de sus datos?
Tiene previsto algun plan de contigencia en
10 caso de algun ataque DDOS (ataque de
denegación de servicio distribuido)?

Utiliza herramientas de monitoreo para

11 medir la disponibilidad y la capacidad de
sus datos?
12 Su sistema es facilmente escalable?
Hace mantenimiento y “tuning” a la
13 unidades de almacenamiento de datos?