1.

Organigrama funcional del CPD

CIO

Comit de informtica Seguridad Lgica Director de CPD y Sistemas de Informacin Control de Sistemas Calidad del SW Calidad de datos FACTORA

C.I.T.I.

Desarrollo y Mantenimiento

Explotacin User Team y CAU

Project Managers

Tcnicos de Sistemas

Programadores

SS.OO.

BB.DD. Networking

Operadores DATA Center (rea de Produccin) Jefes de Sala

2.Controles generales
2.1. Controles de organizacin y operacin.
Los Controles de Organizacin se refieren a la segregacin de funciones y a la responsabilidad por el control. Estn diseados para asegurar que la organizacin del C.P.D., su Hardware, su Software y sus Recursos Humanos estn al servicio de la empresa y tengan la debida proteccin.

2.1.1. Segregacin
Se debe mantener la separacin de los usuarios que autorizan una transaccin, de aquellos que la ejecutan y/o la registran; de los que crean programas de aquellos que operan dichos sistemas, como de los que ejecutan los mismos. Se trata entonces de evitar la concentracin de funciones en una sola persona, disminuyendo el riesgo que ello significa. En los sistemas manuales, el control por segregacin consiste en separar las cuatros funciones primarias a saber: Autorizacin Ejecucin Registro Mantenimiento Los sistemas informticos ejecutan las funciones de autorizacin, ejecucin y registro simultneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregacin de funciones.

2.1.2. Responsabilidad del Control

Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que sto conlleva. Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa. No olvidarse que la responsabilidad no se delega.

2.2. Controles de desarrollo de sistemas y documentacin.

Estn diseados para asegurar que los procedimientos programados son: Una respuesta a una idea o una solucin a un problema, de acuerdo a procedimientos preestablecidos. Adecuados a los requerimientos de la empresa y de los usuarios. Se construyen con una metodologa adecuada y son debidamente documentados. Adecuadamente implementados. Autorizadas las modificaciones a programas en operaciones, cumplindose los objetivos precisados.

Desarrollo del Sistema (Metodologa) : Anlisis y Diseo Construccin (prueba de programas) Implementacin (Catalogacin y prueba paralela).

2.3. Controles de hardware y software de sistemas.

2.3.1. Sistemas Operativos

Control de Administracin de la Seguridad: Establecer Objetivos de Seguridad Evaluar los riesgos de Seguridad Oficial de Seguridad

Perfil de Usuario: Control de Identificacin Control de Autenticidad Control de Acceso de Terminales y/o Externo

Monitorizacin del Sistema de Seguridad: Registro de las Operaciones (LOG) Programas Ad-Hoc de Seguridad Activa

2.3.2. Hardware
Se debe tener control sobre los siguientes aspectos del Hardware: Acceso Fsico: Debe existir proteccin al acceso a la sala donde funciona el equipo computacional y sus perifricos. Esto es vlido para el hardware en poder de los usuarios. Registro de Mantenimiento: El Hardware cada vez es ms confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitcora de mantenimiento, donde se registre cada reparacin o accin preventiva, pudiendo con ello determinar frecuencia de errores y correccin de la prevencin. Medio Ambiente: A pesar que el hardware est ms protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental. Proteccin de Energa: La fuente de energa debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS. Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive daar la CPU, la Memoria y/o los circuitos integrados.

3. Mnimo nmero de personas que deben realizar las funciones en este CPD.
CEO: Director de CPD El ltimo responsable del CPD. Responsable de control interno (C.I.T.I.). Responsable de las funciones de control. Por debajo de l: Responsable Seguridad lgica y fsica y de Control de Sistemas. Responsable de Control de calidad de software y datos. Responsable de desarrollo y mantenimiento. Por debajo de l:

Jefe global de proyectos: Se pondr en contacto con los distintos jefes de

proyecto.

Responsable de desarrolladores. ltimo responsable de todos los

desarrollos.

Responsable de tcnicos de sistemas de produccin y desarrollo. (*)

Nexo entre los tcnicos de produccin y desarrollo. Responsable de produccin. Por debajo de l:

Responsable de tcnicos de sistemas de produccin y desarrollo. (*)

Responsable de sistemas. Responsable de redes. Responsable de bases de datos. Responsable integridad de datos en Data Centers (Backup). (*) Es la misma persona.

4. Situacin de las reas tcnicas de sistemas, Bases de Datos y Telecomunicaciones

Las reas de desarrollo/mantenimiento y explotacin/produccin se diferencian fundamentalmente en el tipo de datos que manejan, la primera maneja datos de prueba no crticos y la segunda datos reales crticos. Sin embargo ambas reas necesitan de tcnicos de sistemas, bases de datos y redes. Si el rea de desarrollo y mantenimiento no los tuviera no podran realizarse los correctivos (reparacin de bugs) y actualizaciones. El rea de explotacin/produccin obviamente necesita de esos tcnicos para su correcto funcionamiento. Por lo tanto los tcnicos deben estar en las dos reas. Pero para mantener la integridad de los datos reales estas dos reas deben estar separadas (segregacin) y los tcnicos deben ser distintos, para ello el rea de desarrollo/mantenimiento tendr su propio grupo de tcnicos que ser menor que el grupo de tcnicos destinados al rea de explotacin/produccin. Para que ambos tcnicos puedan estar en contacto y puedan organizarse cuando sea necesario subir nuevo software al rea de produccin, deber existir al menos un responsable por encima de los tcnicos de cada rea que se encargue de dar el visto bueno a las actualizaciones pendientes que le comuniquen el grupo de tcnicos del rea de desarrollo, este tcnico superior gestionar con los tcnicos de produccin sobre cuando y cmo llevar a cabo esas actualizaciones en produccin ponindolos en contacto con los tcnicos de desarrollo para ver los procedimientos necesarios (calendario, marcha atrs...) para que la actualizacin llegue a buen trmino en produccin.

5. Segregacin de funciones y segregacin de entornos

La separacin ms clara est entre el rea de desarrollo y al rea de produccin, no pueden hacer las funciones los tcnicos/desarrolladores de una rea en la otra. Adems hay que separar claramente el rea de desarrollo en las siguientes subreas cada una con sus desarrolladores independientes: Entorno de desarrollo. Entorno de testing Entorno de preproduccin.

Sern los responsables de cada uno de estos entornos los que se comuniquen con su responsable superior, es decir al responsable de desarrollo/mantenimiento.