P. 1
Control Interno Informatico

Control Interno Informatico

5.0

|Views: 10.554|Likes:
Publicado porosmar-david

More info:

Published by: osmar-david on Oct 07, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as RTF, PDF, TXT or read online from Scribd
See more
See less

11/02/2015

pdf

text

original

CONTROL INTERNO INFORMÁTICO Definiciones El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación

, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla) El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G.
Plattini)

OBJETIVOS PRINCIPALES: • Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar interna/externa el trabajo de Auditoría Informática

• •

Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.

Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

Tipos En el ambiente informático, el control interno fundamentalmente en controles de dos tipos: se materializa

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. Los controles según su finalidad se clasifican en: • Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. • Controles Detectivos; tratan de descubrir a posteiori errores o fraudes que no haya sido posible evitarlos con controles preventivos. • Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMÁTICO (FUNCIÓN) El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones específicas están:

disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o actividades de control. Estos controles cuando se diseñen. deben ser sencillos. Para implantar estos controles debe conocerse previamente la configuración de todo el sistema a fin de identificar los elementos. • Configuración de los computadores principales desde el punto de . configuración del hardware y software de comunicaciones y esquema de seguridad de la red. completos. estándares y procedimientos al personal de programadores. productos y herramientas que existen y determinar de esta forma donde se pueden implantar. desarrollen e implanten. así como para identificar los posibles riesgos. técnicos y operadores. • Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos: • Desarrollo y mantenimiento del software de aplicación. revisables y económicos. Para conocer la configuración del sistema se deberá documentar: • Entorno de Red: esquema. • Explotación de servidores principales • Software de Base • Redes de Computación • Seguridad Informática • Licencias de software • Relaciones contractuales con terceros • Cultura de riesgo informático en la organización CONTROL INTERNO INFORMÁTICO (SISTEMA) Un Sistema de Control Interno Informático debe asegurar la integridad.• Difundir y controlar el cumplimiento de las normas. confiables.

a través de la creación y difusión de procedimientos. software de gestión de biblioteca. sistema de gestión de base de datos y entorno de procesos distribuidos • Productos y herramientas: software de programación diseño y documentación. • Políticas y normas que permitan implantar en la organización una cultura de riesgo informático. definirá los controles periódicos a realizar en cada una de las funciones informáticas. integridad del sistema Una vez que se posee esta documentación se tendrá que definir: • Políticas. identificar y verificar usuarios. operativo. de acuerdo al nivel de riesgo de cada una de ellas y serán de carácter preventivo. sistema conjunto de datos. • Control Interno Informático. • Políticas. normas y técnicas para la administración del centro de cómputo y redes de computadores y sus respectivos controles. • Seguridad del computador principal: sistema de registro y acceso de usuarios. estándares.vista físico. • Dirección de informática. normas y técnicas para el diseño e implantación de los sistemas de información y sus respectivos controles. detectivo y correctivo. . biblioteca de programas y • Configuración de aplicaciones: proceso de transacciones. a través de políticas generales sobre los sistemas de información respecto al tipo de negocio de la misma. • Políticas y normas de instalación. • Políticas y normas que rijan los procedimientos de cambios. metodologías y normas aplicables a todas las áreas de informática así como de usuarios. actualización y uso de licencias del software de base. de red y de usuario y sus respectivos controles. • Políticas y normas que aseguren la integridad. pruebas actualización de programas y sus respectivos controles. la misma que comprenderá los siguientes entornos: • Dirección General. confidencialidad y disponibilidad de los datos y sus respectivos controles.

• Plan de Contingencia ante desastres. instalación y ejecución del software.• Auditoría Informática Interna. y debe contener la siguiente planificación: • Plan Estratégico de Información realizado por el Comité de Informática. CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION Permiten alcanzar la eficacia del sistema. CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION Tienen que ver con la gestión de los recursos tanto a nivel de planificación. CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN) CONTROLES GENERALES ORGANIZATIVOS Son la base para la planificación. • Plan General de Seguridad (física y lógica). eficiencia. control y evaluación por la Dirección General de las actividades del Departamento de Informática. realizado por el Departamento de Informática. protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones. integridad de datos. revisará periódicamente la estructura de control interno tanto en su diseño como en su cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo. adquisición y uso del hardware así como los procedimientos de. CONTROLES EN APLICACIONES Toda aplicación debe llevar controles incorporados para garantizar la . economía. • Plan Informático.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL Se relacionan a las políticas de adquisición. disponibilidad y seguridad. CONCEPTOS FUNDAMENTALES AMENAZA . validez y mantenimiento completos y exactos de los datos. salida. tanto del hardware como del software de usuario. instalación y soporte técnico. actualización. mantenimiento. así como la seguridad de los datos que en ellos se procesan. CONTROLES INFORMATICOS SOBRE REDES Tienen que ver sobre el diseño. CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS Tienen que ver con la administración de los datos para asegurar su integridad.entrada. seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidas. instalación.CAUSA DE RIESGO .

generan riesgos o pérdidas a la organización. Riesgo ubicado en los estratos Alto y Medio Alto dentro del principio de Pareto. independientemente de los controles que se establezcan para evitar que sea robado. Riesgo de prioridad alta.Se refiere a factores o circunstancias que al materializarse u ocurrir. El riesgo es el resultado de las pérdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R = P * C). RIESGO RESIDUAL Es el riesgo no cubierto por los controles establecidos. RIESGO POTENCIAL Es el riesgo inherente o asociado con la naturaleza de las operaciones. de acuerdo con la evaluación de riesgos potenciales. RIESGO CRÍTICO Riesgos que tienen la mayor calificación dentro de un conjunto de riesgos que podrían presentarse en una operación o sistema. sanciones legales. RIESGO Valor de las pérdidas a las que se expone una organización por efecto de la ocurrencia de un evento adverso denominado amenaza o causa del riesgo. Ejemplo: el incendio puede generar pérdida de activos. Este riesgo no tiene en cuenta los controles establecidos. Por ejemplo: el hecho de tener computador portátil lo expone a que sea robado. ADMINISTRACIÓN DE RIESGO . desventaja ante la competencia.

Daño o Destrucción de Activos . controles.Decisiones erróneas . de cumplimiento y/o financieros de Municipalidad.Hurto o Fraude .Desventaja Competitiva .Sanciones Legales .Pérdida de dinero por exceso de desembolsos . se establecen medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual. Y los clasifica de la siguiente forma: RIESGOS ESTRATÉGICOS: Asociados a la forma como se administra la entidad RIESGOS OPERACIONALES: Asociados con las condiciones operacionales de los procesos. sistemas e informaciones.Es el proceso mediante el cual partiendo de los riesgos potenciales críticos.Perdida de Negocios y Credibilidad Pública . Es el proceso de establecer y mantener la seguridad en un área o sistema.Pérdida de Ingresos EL RIESGO EN LA ENTIDAD SEGÚN PRICE WATERHOUSE: Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos estratégicos. ANÁLISIS DE RIESGO Es el medio por el cual los riesgos son identificados y evaluados para justificar las medidas de seguridad o controles. RIESGOS FUNDAMENTALES . operativos. .

diseñado para proporcionar una seguridad razonable acerca del logro de objetivos. Cuando indica seguridad razonable implica que el costo de una estructura de control no excede sus beneficios. de daños a la reputación de una El control interno contribuye a la minimización de los riesgos potenciales de una organización COMPONENTES DEL CONTROL INTERO . la gerencia y otros miembros del personal. regulaciones y leyes así como seguir las políticas del sector público RIESGOS FINANCIEROS: Asociados a la exposición financiera de la Municipalidad PERCEPCIONES DEL RIESGO: AMENAZA : Objetivo: minimizar : Objetivo: administrar INCERTIDUMBRE OPORTUNIDAD : Objetivo: maximizar SEGÚN COSO EL CONTROL INTERNO ES: Un proceso efectuado por el directorio de una entidad.Ambiente de control : proporciona el clima en el cual la gente realiza sus . El Control Interno disminuye la posibilidad organización.RIESGOS DE CUMPLIMIENTO: Asociados con la capacidad de la entidad de cumplir normas.

códigos de conducta. . la información es accesible . en muchas oportunidades la comunicación de fuentes externas proporciona información importante acerca del funcionamiento del control interno. Un prerrequisito para evaluar un riesgo es el establecimiento de los objetivos. Estos procedimientos de control pueden ser: controles de monitoreo. Es decir que es el componente principal para la administración efectiva del riesgo en la administración. y se inculca mediante entrenamientos al personal.actividades y lleva a cabo sus responsabilidades de control.Actividades de control : son las que están diseñadas para responder a los riesgos en toda la organización como por ejemplo: aprobaciones. la información es oportuna. la información es actual.Monitoreo : Todas las actividades de control y procesos operativos deben ser moni toreados. . es decir. independientes. revisados por un nivel jerárquico mayor para realizar un control de calidad sobre la marcha. Este proceso incluye la administración y supervisión regular de las actividades AUDITORIA Es un proceso sistemático de obtención y evaluación objetiva de evidencias respecto a afirmaciones o aseveraciones sobre hechos o eventos económicos. de procesamiento de información y controles de salvaguarda de activos. para determinar el grado de correspondencia entre tales aseveraciones y criterios establecidos.Evaluación de riesgo : dentro del ambiente de control. gerenciales. y comunicar los resultados a los usuarios interesados (Definición de la American Accounting Association). autorizaciones. La gerencia “evalúa” los riesgos para lograr los objetivos propuestos. . evaluar la probabilidad de que ocurra o la frecuencia con que se produce y evaluar las acciones que deben ser adoptadas. la información es precisa. y lo hace a nivel organizacional y a nivel de actividad. El proceso de análisis incluye: determinar la significatividad del riesgo. etc. revisiones y segregación de funciones. Medir la calidad de la información implica determinar si: el contenido es adecuado. . provee la disciplina y estructura de todos los componentes involucrados.Información y comunicación : los canales de comunicación involucran a los niveles internos y externos de la organización.

COBIT Acrónimo de Control OBjectives for Information and related T echnology. CONTROL Es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad de ocurrencia o el impacto que pueda generar su ocurrencia. .BUENO : el riesgo se encuentra reducido a un nivel aceptable optimizando la relación costo-beneficio de los controles existentes . Es un estándar de Control Interno y Auditoría de Sistemas de Información producido por ISACA (Information Systems Audit and Control Association.AUDITORIA DE SISTEMAS Toda auditoría que comprenda la revisión y evaluación de todos los aspectos de los sistemas automatizados de procesamiento de información (o cualquier porción). CATEGORÍAS DEL CONTROL .EXCESIVO : existen controles excesivos. incluyendo los procesos no automatizados relacionados y las interfases entre ellos. 2001). mas allá de su relación costo-beneficio. COMPONENTES DEL RIESGO El riesgo tiene dos componentes: Probabilidad de ocurrencia y el costo de las pérdidas que genera cada ocurrencia (R = P * C).RIESGO RESIDUAL ACEPTABLE: el riesgo se encuentra reducido a un nivel aceptable por los controles vigentes. .

Importante: deterioro serio de la imagen. prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza en que los objetivos del negocio serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos (definición según el estándar COBIT.Catastrófico: deterioro catastrófico de la imagen. significativa perdida financiera BAJO EL ESQUEMA DE TRABAJO “ORCA” PARA LA ADMINISTRACIÓN DEL RIESGO.Menor: bajo impacto negativo en la imagen.Insignificante : sin impacto sobre imagen. procedimientos. EL IMPACTO EN LA ORGANIZACIÓN POR LA MATERILIZACION DE UN RIESGO PUEDE SER: .POBRE: el riesgo no se encuentra reducido a un nivel aceptable por lo que la posibilidad de que se materialice una amenaza es alta. bajo impacto financiero .Moderado : moderado impacto negativo en la imagen y moderado impacto financiero. importante perdida financiera . BAJO EL ESQUEMA DE TRABAJO “ORCA” PARA LA ADMINISTRACIÓN DEL RIESGO. 2001).MEDIO : el riesgo esta parcialmente cubierto por los controles vigentes -sin llegar a un nivel aceptable.pero hay planes de acción para llevarlo a un nivel aceptable . .Alta: el riesgo tiene una probabilidad importante de ocurrencia .Moderada: el riesgo es probable que ocurra . insignificante impacto financiero ..Baja: el riesgo poco probable de que ocurra .Rara: el riesgo puede ocurrir en circunstancias excepcionales .Significativa: el riesgo es mas probable que ocurra a que no ocurra CONTROL INTERNO Las políticas. . LA PROBABILIDAD DE OCURRENCIA DE UN RIESGO ES: .

PRINCIPIO DE PARETO . de acuerdo con los puntajes obtenidos por los cuestionarios de riesgo y la ubicación de esos puntajes en los estratos del principio de Pareto. OBJETIVOS DE CONTROL Una declaración del resultado deseado o propósito a ser alcanzado implementando procedimientos de control en una actividad particular de tecnología de información o en cualquier otro proceso de la empresa ISACA (Information Systems Audit and Control Association. EVALUAR EL CONTROL INTERNO Proceso de auditoría para determinar si los controles establecidos protegen a la organización contra los riesgos potenciales críticos. MAPA DE RIESGO Localización de los riesgos críticos en los procesos y dependencias que intervienen en el manejo de una operación o sistema de información computarizado (SIC).EVALUACIÓN DE RIESGO ( RISK ASSESSMENT) Es el proceso que se sigue para establecer los riesgos críticos potenciales sobre los cuales se deben enfatizar los esfuerzos de control y auditoría. METODO DE CUESTIONARIO DE RIESGO Un método para categorizar la importancia de cada uno de los riesgos potenciales que podrían presentarse en una operación automatizada o sistema de información automatizado. 2001).

Vilfredo Pareto formuló el principio que lleva su nombre para expresar que el 20% de las causas genera el 80% de los efectos. Concepto que se aplica en todas las etapas de la metodología para identificar los riesgos críticos como aquellos que están situados en el 20% correspondiente al estrato de mayor puntaje . PRUEBAS SUSTANTIVAS En auditoría informática se refieren a las pruebas que tienen como objetivo obtener evidencia de la exactitud de las cifras calculadas o asumidas por el computador METODOLOGIAS DE CONTROL INTERNO.20”. SEGURIDAD Y AUDITORIA INFORMATICA . PRUEBAS DE AUDITORIA Proceso que realiza la auditoría para obtener evidencia de la operación de los controles y la exactitud de la información. También se conoce como “Regla 80 . desde la generación de los datos en las fuentes hasta que la información de un ciclo producida por el sistema cumpla su objetivo y sea reemplazada por la del ciclo siguiente. PROCESO O ESCENARIO DE RIESGO DE LAS OPERACIONES Grupo de actividades interrelacionadas dentro del flujo de la información que se procesa en el computador. PRUEBAS DE CUMPLIMIENTO En auditoría informática se refieren a las pruebas que tienen como objetivo obtener evidencia de la exactitud de la implantación y operación continua de los controles claves en el procesamiento de los datos efectuados por el computador.

desde su diseño de ingeniería hasta el desarrollo de software. Asimismo una metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como lo hiciera uno solo. y la calidad y eficacia de los mismos es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos. paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas como el software de análisis de riesgo. Por lo tanto debemos profundizar mas en ese entramado de controles para ver qué papel tienen las metodologías y los auditores en el mismo. y como no. la auditoría de los sistemas de información.Según el diccionario de la Lengua Real Española. La informática crea unos riesgo informáticos de los que hay que proteger y preservar a la entidad con un entramado de controles. Esto significa que cualquier proceso científico debe estar sujeto a una disciplina de proceso definida con anterioridad que llamaremos METODOLOGÍA. Para explicar este aspecto diremos que cualquier control nace de la composición de varios factores que se expresan a continuación: LA NORMATIVA: debe definir de forma clara y precisa todo lo que debe existir y ser . Esta es una de las funciones de los auditores informáticos. La proliferación de metodologías en el mundo de la auditoría y el control informático se pueden observar en los primero años de la década de los ochenta. La informática ha sido tradicionalmente una materia compleja en todos sus aspectos. METODO es “el modo de decir o hacer con orden una cosa”. es decir conseguir resultados homogéneos en equipos de trabajo heterogéneos. y están directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto y error. Asimismo define el diccionario la palabra METODOLOGÍA como “conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal”. Las metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo. por lo que se hace necesaria la utilización de metodologías en cada doctrina que la componen.

procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Se pueden establecer controles sin alguno de los demás aspectos. las herramientas de control son solamente una anécdota. autentificadores. dado que sin el. Dentro de este concepto están los cifradores. LAS HERRAMIENTAS DE CONTROL: son los elementos que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. experiencia y práctica profesional. equipos tolerantes a fallos. nada es posible. políticas. LA ORGANIZACIÓN: la integran personas con funciones específicas y con actuaciones concretas. pero nunca sin personas. las herramientas de control etc. Dentro de la TECNOLOGÍA DE SEGURIDAD están todos los elementos ya sean de hardware o de software. LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las distintas áreas de la empresa. LAS METODOLOGÍAS: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. ya que son estas las que realizan los procedimientos y desarrollan los planes. Este es el aspecto mas importante. políticas y normas de empresa. que ayudan a controlar un riesgo informático. y solamente de un planteamiento correcto de los mismos saldrán unos procedimientos de control eficaces y realistas. desde lo general a lo particular.cumplido. La tendencia habitual de los informáticos es la de dar más peso a la herramienta que al control. para la consecución de uno o varios objetivos de control y. . por tanto deben estar documentados y aprobados por la dirección. Debe inspirarse en estándares. tanto desde el punto de vista conceptual como práctico. Sin la existencia de estos procedimientos. pero no debemos olvidar que UNA HERRAMIENTA NUNCA ES LA SOLUCION SINO UNA AUYDA PARA CONSEGUIR UN CONTROL MEJOR. Este concepto es el mas importante después de LA ORGANIZACIÓN. marco jurídico. LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos. obtenidos con una metodología apropiada.

Ejemplo: inundación. se están evaluando todos estos factores y se plantea un Plan de Seguridad nuevo que mejore todos los factores. con la que la amenaza pudiera acaecer y así afectar al entorno informático. Ejemplos: falta de controles de acceso lógico. inexistencia de un control de soportes magnéticos. falta de procedimientos de emergencia. todos los riesgos que se presentan podemos: EVITARLOS. gastos incontrolados. . Cuando se evalúa el nivel de Seguridad de Sistemas en una institución. lo que usted decía Alicia). Ejemplo: es frecuente evaluar el impacto en términos económicos. VULNERABILIDAD: la situación creada por la falta de uno o varios controles.. así como la calidad de cada uno con la de los demás. honor.. Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea superior al anterior. etc. implicaciones con la ley. falta se separación de entornos en el sistema.Todos estos factores están relacionados entre si. aplicaciones mal diseñadas. como vidas humanas. imagen de la empresa (. Para introducirnos en el campo de las metodologías debemos definir adecuadamente los siguientes conceptos: AMENAZA: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catástrofe. no irán mejorando todos por igual. por ejemplo: no construir un centro de computo donde hay peligro constante de inundaciones. defensa nacional. aunque conforme vayamos realizando los distintos proyectos del plan. falta de control de versiones. robo de datos. falta de cifrado en las comunicaciones. divulgación de datos. sabotaje. aunque no siempre lo es. Por definición. etc. EXPOSICIÓN AL IMPACTO: la evaluación del efecto del riesgo. RIESGO: la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. incendio. etc.

Esto no pasa en la . se pueden agrupar en dos grandes familias: 1 2 Cuantitativas: basadas en un modelo matemático numérico que ayuda a la realización del trabajo Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo. REDUCIRLO: por ejemplo. Todas las metodologías existentes en seguridad de sistemas van encaminadas en establecer y mejorar un entramado de controles que garanticen que la probabilidad de que las amenazas se materialicen en hechos (por falta de control) sea lo mas baja posible o al menos quede reducida a una forma razonable en costo-beneficio. Para los tres primeros.TRANSFERIRLOS: por ejemplo el uso de centros de computo contratado. TIPOS DE METOLOGIAS Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informáticos. se actúa si se establecen controles. ASUMIRLOS: que es lo que se hace si no se controla el riesgo en absoluto. Estos valores en el caso de metodologías de análisis de riesgos o de planes de contingencia son datos de probabilidad de ocurrencia (riesgo) de un evento que se debe extraer de un registro de incidencias donde el número de incidencias tienda al infinito o sea suficientemente grande. sistemas de detección y extinción de incendios. METODOLOGIAS DE CONTROL INTERNO. SEGURIDAD Y AUDITORIA INFORMATICA METODOLOGÍAS CUANTITATIVAS Diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. para seleccionar en base a experiencia acumulada.

O. Hay varios coeficientes que conviene definir: 2 3 A. y se aproxima ese valor de forma subjetiva restando así rigor científico al cálculo. Una de estas metodologías es la denominada PRIMA (Prevención del Riesgo Informático con Metodología Abierta).E. no matemática ).L.práctica. en tanto por ciento. reducido. 4 Todos estos coeficientes y otros diseñados por los autores de las metodologías son usados para el juego de simulación que permite elegir entre varios controles en el análisis de riesgo.L.: Es el cociente entre el coste anualizado de la instalación y el mantenimiento de la medida contra el valor total del bien/recurso que se esta protegiendo . Por tanto vemos con claridad dos grandes inconvenientes que presentan estas metodologías : por una parte la debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y la poca significación de los mismos a nivel mundial.E. Pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.I): A. original menos A. y por otro la imposibilidad o dificultad de evacuar económicamente todos los impactos que pueden acaecer. Sus . (Annualized Loss Expentacy): multiplicar la pérdida máxima posible de cada bien/recurso por la amenaza con probabilidad mas alta. dividido por el costo anualizado de la medida.L.L.E. Retorno de la Inversión (R. Reducción A. Precisan el involucramiento de un profesional experimentado. METODOLOGÍAS CUALITATIVAS/SUBJETIVAS Basada en modelos estadísticos y lógica borrosa (humana. la cual es un compendio de metodologías españolas desarrolladas entre los años 1990 y la actualidad con un enfoque subjetivo.E. Pero dado que el cálculo se hace para ayudar a elegir el método entre varios controles podríamos aceptarlo.

•Permite fácilmente la generación de informes finales. y por tanto es posible introducir información nueva o cambiar la existente. •Fácilmente adaptable a cualquier tipo de herramienta. Entornos distribuidos y single sig-on Para obtener el entramado de controles compuesto por los factores descritos anteriormente (.. y capacidad de aprendizaje al poseer una base de conocimiento o registro de incidentes que va variando las esperanzas matemáticas de partida y adaptándose a los entornos de trabajo.y que imagino no se han olvidado..!!) debemos ir abordando proyectos usando distintas metodologías que irán conformando y mejorando el número de controles. •Las listas de ayuda y los cuestionarios son abiertos.? cualitativo.características esenciales son: • Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de seguridad.. •Posee cuestionarios de preguntas para la identificación de debilidades o falta de controles. •Posee listas de ayudas para los usuarios menos experimentados en debilidades. De ahí la expresión Abierta de su nombre.. Con la misma filosofía abierta existen metodologías para: • Análisis de Riesgo •Plan de contingencia Informática y de recuperación del negocio •Plan de estructuración interno informático •Clasificación de la Información •Definición y desarrollo de procedimientos de control informáticos •Plan de Cifrado •Auditoría Informática •Definición y desarrollo de control de acceso lógico. riesgos y controles. tal como se observa a continuación: . •Tiene un ¿ Que pasa si.

Con respecto al análisis de riesgo el autor (Plattini) considera que no es suficiente este para obtener un plan de controles eficiente. “Si identificamos distintos niveles de controles para distintas entidades de información con distinto nivel de criticidad. Por lo tanto tiene que ser otro concepto como el de la “Clasificación de la Información “. Su criterio es que dado que todas las entidades de información a proteger no tienen el mismo grado de importancia. sino por la probabilidad del riesgo analizado. La metodología PRIMA tiene dos módulos que desarrollan estos dos aspectos. si en vez de cifrar la red de comunicaciones por igual somos capaces de diferenciar por que líneas va la información que clasificamos como restringida a los propietarios de la misma. y el análisis de riesgo metodológicamente no permite aplicar diferenciación de controles según el activo o recurso que protege.Este plan de proyectos lo llamaremos “Plan de Seguridad Informática”. estaremos optimizando la eficiencia de las controles y reduciendo los costos de las mismas”. Esto es . Dos de estos proyectos de vital importancia son la “Clasificación de la información y los objetivos de control (B y C). Por ejemplo. y de esa manera disminuiremos el costo del control “cifrado”. Tradicionalmente el concepto de información clasificada se aplico a los documentos de . podremos cifrar solamente estas líneas para protegerla sin necesidad de hacerlo para todas.

el concepto a cambiado e incluso se ha perdido el control en entornos sensibles. un editor. PRIMA. Con la tecnología de la información . los sueldos de los directivos. Esta metodología es del tipo cualitativo/cuantitativo. a la modificación (integridad). y como el resto de la metodología PRIMA tiene listas de ayuda con el concepto abierto. muy confidencial. una transacción. que el profesional puede añadir en la herramienta niveles o jerarquías. Los factores a considerar son los requerimientos legislativos. aunque permite definirla a voluntad. Ejemplos de entidades de información son: una pantalla. CRITICA. estándares y objetivos a cumplir por nivel. NOS SENSIBLE o bien altamente confidencial. esto es. Nace el concepto de ENTIDAD DE INFORMACIÓN como el objetivo a proteger en el entorno informático.papel y cuyo clasificación fue secreto o no. básicamente define: • • • • Estratégica (información muy restringida. y a la destrucción. confidencial. la sensibilidad a la divulgación (confidencialidad). Las jerarquías suelen ser cuatro. y que la clasificación de la información nos ayudara a proteger especializando los controles según el nivel de confidencialidad o importancia que tengan. vital para la subsistencia de la empresa) Restringida: ( a los propietarios de la información) De uso interno: (a todos los empleados) De uso general ( sin restricción) Los pasos de la metodología (clasificación de la información) son los siguientes. los cuatro grupos serian: VITA. y ayudas de controles. un listado. restringida y no sensible. etc. un archivo de datos. • • IDENTIFICACIÓN DE LA INFORMACIÓN INVENTARIO DE ENTIDADES DE INFORMACIÓN RESIDENTES Y . una microficha de saldos. VALUADA. y según se trate de óptica de preservación o de protección.

• • • IDENTIFICACIÓN DE PROPIETARIOS DE LA INFORMACIÓN DEFININICION DE JERARQUIAS DE INFORMACIÓN DEFINICIÓN DE MATRIZ DE CLASIFICACIÓN esto consiste en definir las políticas. etc. objetivos de control y controles pro tipos de jerarquías de información. las herramientas de control y los recursos humanos necesarios. soportes de información. Terminado el proceso de implantación de acciones habrá que documentar los procedimientos . estándares. no resta más que implantarlos en forma de acciones específicas.). control informático y control no informático.OPERATIVAS ( inventario de programas. ISO. Tarea 2: Recopilación de estándares. Fase 3: Implantación de los controles Una vez definidos los controles. etc. organigramas y funciones. ITSEC. Tarea 1: Definición de los Controles: con los objetivos de control definidos. CONFECCION DE LA MATRIZ DE CLASIFICACIÓN REALIZACIÓN DEL MANTENIMIENTO PLAN DE ACCIONESIMPLANTACIÓN Y • • La segunda metodología (Obtención de los procedimientos de control) para la obtención de los controles se basa en las siguientes fases: Fase 1: Definición de los objetivos de Control: Tarea 1: Análisis de la empresa. Tarea 3: Definición de los objetivos de control Fase 2: Definición de controles. informática. archivos de datos. Tarea 4: Definición de las necesidades de recursos humanos. Se estudian todas las fuentes de información necesarias para conseguir definir en la siguiente fase los objetivos de control a cumplir (por ejemplo. analizamos los proceso y vamos definiendo los distintos controles que se necesitan Tarea 2: Definición de necesidades tecnológicas (hardware y herramientas de control) Tarea 3: Definición de procedimientos de control. COBIT. Se desarrollan los distintos procedimientos que se generan en las áreas usuarias. Se estudian los procesos.). estructuras de datos.

Procedimientos de control dual entre control interno informática y el área informática. si el objetivo de control es “separación de entornos entre desarrollo y producción ”. Control de proyectos Control de versiones Control y gestión de incidencias Control de cambios Etc. Todas estas herramientas están inmersas en controles nacidos de unos objetivos de control y que regularán la actuación de las distintas áreas involucradas. Los procedimientos resultantes serán: Procedimientos propios de control de la actividad informática (control interno informático). Por ejemplo. Procedimientos de áreas informáticas. Control de presencia. habrá un procedimiento en desarrollo de “paso de aplicaciones a producción” y otro en producción de “paso a producción de aplicaciones en desarrollo”. Soportado todo por una herramienta de control de acceso lógico que en un proceso de clasificación ha definido . Procedimientos de distintas áreas usuarias de la informática. HERRAMIENTAS DE CONTROL Las herramientas de control (software) más comunes son: Seguridad lógica del sistema Seguridad lógica complementaria al sistema (desarrollado a la medida) Seguridad lógica para entornos distribuidos Control de acceso físico. Control de copias Gestión de soportes magnéticos Gestión y control de impresión y envío de listados por red. mejorados. los usuarios informáticos.nuevos y revisar los afectados de cambio. y el área de control no informático. mejorados.

para pasar una aplicación de uno al otro ambiente cuando esta terminada. y tras implantarlo en la herramienta. . se necesita un procedimiento en el que intervenga las dos áreas y un control informático que actúa como llave. Por tanto.distinto perfiles de desarrollo y producción. impide acceder a uno y a otros al entorno que no es el suyo.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->