Informe de Auditoría Interna EMPRESA ELÉCTRICA QUITO S.A.

Transcripción

1 Informe de Auditoría Interna EMPRESA ELÉCTRICA QUITO S.A. Auditoría Número: CAG VERIFICACIÓN DE LAS SEGURIDADES FÍSICAS Y LÓGICAS DEL DATA CENTER UBICADO EN EL EDIFICIO DEL CENTRO DE CONTROL Fecha de Revisión: Mayo 15, 2012 Distribución del Informe de Auditoría: Para: Gerente General Gerente de Planificación Director de Tecnología de la Información y Comunicaciones CC: Gerente Administrativo Financiero Gerente de Distribución Director de Servicios Generales y Transporte Jefe del Departamento de Administración de Sistemas Estratégicos (Data Center)

2 INFORME DE AUDITORÍA INTERNA VERIFICACIÓN DE LAS SEGURIDADES FÍSICAS Y LÓGICAS DEL DATA CENTER UBICADO EN EL EDIFICIO DEL CENTRO DE CONTROL Empresa: Empresa Eléctrica Quito S.A. Fecha de Emisión: Junio/01/2012 Auditor Responsable: Ing. Nikolay Trujillo A. Equipo de Auditoría: Ing. Fernando Guevara Dr. Mauricio Borja, CPA, CISA INTRODUCCIÓN El análisis de las seguridades físicas y lógicas del Data Center de la Empresa Eléctrica Quito S. A. ( EEQSA ), ubicado en el Edificio del Centro de Control, sector Iñaquito, se realizó en cumplimiento del Plan de Auditoría Interna para el año 2012, dentro de la categoría de imprevistos, en atención a la solicitud verbal del Jefe del Departamento de Administración de Sistemas Estratégicos (Data Center) y a la orden de trabajo OT del 2 de mayo de 2012 suscrita por el Auditor General. El Data Center ubicado en el Edificio del Centro de Control, alberga equipos informáticos y funciona independientemente del Data Center ubicado en el Edificio Matriz. OBJETIVO Verificar las seguridades y controles físicos y lógicos existentes en el Data Center de la EEQSA, ubicado en el Edificio del Centro de Control. ALCANCE Nuestra verificación comprendió el análisis técnico de las seguridades y controles físicos y lógicos existentes en el Data Center de la EEQSA, ubicado en el Edificio del Centro de Control. OBSERVACIONES En el Data Center ubicado en el Edificio del Centro de Control en el sector Iñaquito, se observaron las siguientes novedades de seguridad: CAG Página 2 de 5

3 1. Seguridades físicas y lógicas No se gestionó adecuadamente el sistema de acceso biométrico al Data Center (ej. agregar, modificar y eliminar perfiles); no se implementó una bitácora en la que se registre a los visitantes autorizados; el Data Center cuenta con una ventana de vidrio que da a un patio exterior; no funciona el sistema de circuito cerrado de televisión (CCTV); y la puerta de la caja principal de breakers (PDU) del Data Center no se mantiene con llave. 2. Seguridad Industrial Existen falencias de seguridad industrial relacionadas con el suministro eléctrico del Data Center tales como: La planta eléctrica utilizada para el suministro de energía de emergencia del Data Center no cuenta con las seguridades necesarias; y en el cuarto de la UPS (Fuente de Energía Ininterrumpida) se encontraron almacenados recipientes de aceite de motor. La Contraloría General del Estado en las Normas de Control Interno en el numeral 410 Tecnología de la Información, en el numeral Seguridad de Tecnología de la Información menciona: La unidad de tecnología de información, establecerá mecanismos que protejan y salvaguarden contra pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes medidas, especialmente los numerales: 1.- Ubicación adecuada y control de acceso físico a la unidad de tecnología de información y en especial a las áreas de: servidores, desarrollo y bibliotecas;. 5.- Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados 6.- Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire controlado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros... Desde que se instaló el Data Center ubicado en el Edificio del Centro de Control, no existió la debida coordinación con el Jefe del Departamento de Administración de Sistemas Estratégicos - Data Center, razón por la cual no se designó a una persona que gestione e implemente las seguridades físicas, lógicas y seguridad industrial. Como consecuencia, el Data Center ha estado expuesto a: Ingreso de personas no autorizadas CAG Página 3 de 5

4 sin registro previo en la bitácora por lo que no habría responsable en caso de daños o perjuicios; que se agregue, modifique y elimine inadecuadamente perfiles de acceso de usuarios; que la ventana de vidrio cause impactos al ambiente controlado del Data Center; que el circuito cerrado de televisión (CCTV) no evidencie un incidente de seguridad; que el almacenamiento de aceites en el sitio donde funciona el UPS agrave el riesgo de incendio; que se interrumpa el suministro eléctrico por la manipulación de la caja de breakers y planta eléctrica. CONCLUSIÓN El no haber contado desde el inicio con una persona responsable de la gestión del Data Center, ocasionó que no se hayan establecido los controles adecuados para salvaguardar las seguridades físicas y lógicas y de seguridad industrial de esa área crítica de la Empresa. RECOMENDACIONES 1. El Gerente General dispondrá al Gerente de Planificación y éste a su vez al Director de TIC que realice las siguientes actividades puntuales: Gestione el sistema biométrico que da acceso a esa área crítica; implemente una bitácora en la que se registre a los visitantes autorizados; solicite a la Dirección de Servicios Generales y Transporte el cierre del espacio ocupado por la ventana de vidrio que da al patio exterior, con un material más resistente (ladrillo o bloque); asegure el correcto funcionamiento del sistema de circuito cerrado de televisión (CCTV); y mantenga cerrada con llave la puerta de la caja principal de breakers (PDU) del Data Center para que no esté expuesta a manipulación. Responsables: Gerente de Planificación y Director de TIC 15 de agosto El Gerente General dispondrá al Gerente de Planificación que coordine con el Gerente Administrativo Financiero la realización de un análisis conjunto para determinar el recurso humano que sea necesario para la administración y operación del Data Center ubicado en el Edificio del Centro de Control. El análisis indicado servirá para justificar la asignación del personal suficiente y con las competencias para realizar lo siguiente: gestión de disponibilidad de servicios, control de continuidad de la infraestructura, control de respaldos y recuperación de la información; para lo cual considerarán la reasignación de funciones del recurso humano existente en la Dirección del TIC o la contratación de personal, de ser necesario. CAG Página 4 de 5

5 Responsables: Gerente Administrativo Financiero, Gerente de Planificación. 15 de agosto El Gerente General dispondrá al Gerente de Planificación y éste a su vez al Director de TIC que coordine con el Director de Servicios Generales y Transporte la realización de las siguientes acciones correctivas: a) cierre del área de acceso a la planta eléctrica utilizada para el suministro de energía de emergencia al Data Center; y b) retiro y reubicación de los recipientes que contienen aceite que se encuentran en el cuarto de la UPS (fuente de energía ininterrumpida). Responsables: Gerente de Planificación, Director de TIC y Director de Servicios Generales y Transporte 29 de junio 2012 Atentamente, ORIGINAL FIRMADO POR NIKOLAY TRUJILLO A. Ing. Nikolay Trujillo A., MBA, CIA, CRMA, CPA AUDITOR GENERAL CAG Página 5 de 5