CLASE No. 05 CONTROL INTERNO INFORMATICO 1.

0 REQUISITOS PARA EL CONTROL INTERNO Los controles pueden implantarse a varios niveles diferentes. Por ello es importante conocer bien la configuracin del sistema, siendo necesario documentar los siguientes detalles de la red: a) Entorno de red: esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los computadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. b) Configuracin del computador base: configuracin del soporte fsico, entorno del sistema operativo, software con particiones, bibliotecas de programas y conjunto de datos. c) Entorno de aplicaciones: procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. d) Productos y herramientas: software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. e) Seguridad del computador base: identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. 2.0 CONTROLES GENERALES ORGANIZATIVOS a) Polticas: normas en materia de planificacin, control y evaluacin de las actividades del Area de Informtica. b) Planificacin: Plan Estratgico de las Tecnologas de la Informacin, Plan Operativo Informtico, Plan de Seguridad, Plan de Contingencias. c) Estndares: que regulen la adquisicin de recursos, el diseo, desarrollo y modificacin y explotacin de sistemas. d) Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Area de Informtica y los usuarios. e) Organizar el Area de Informtica. f) Descripcin de las funciones y responsabilidades del Area de Informtica. g) Polticas de personal: seleccin, plan de formacin, plan de promocin. 3.0 CONTROLES GENERALES DE DESARROLLO, ADQUISICION Y MANTENIMIENTO DE SISTEMAS DE INFORMACION a) Metodologa del ciclo de vida del desarrollo de sistemas. Su empleo podr garantizar a la Alta Direccin que se alcanzarn los objetivos definidos para el sistema. A continuacin algunos controles: La Alta Direccin debe aprobar y publicar una normativa sobre el uso de metodologa de ciclo de vida del desarrollo de sistemas y revisar sta peridicamente. Los requerimientos del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes que comience el proceso de desarrollo. Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto.

Autor: Ing. Edward Crdenas

 Procedimientos para la definicin y documentacin de especificaciones de: diseo, de entrada, de salida, de archivos, de procesos, de programas, de controles de seguridad, de pistas de auditoria, etc. Plan de validacin, verificacin y pruebas. Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la organizacin. Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin. b) Explotacin y mantenimiento: el establecimiento de controles asegurar que los datos se tratan de forma congruente y exacta y que el contenido slo ser modificado mediante autorizacin expresa. Algunos controles: Procedimientos de control de explotacin. Sistema de contabilidad para asignar a usuarios los costos asociados con la explotacin de un sistema de informacin. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de informacin. 4.0 CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION a) Planificacin y gestin de recursos: definir el presupuesto operativo del Area de Informtica, Plan de adquisicin de equipos y gestin de la capacidad de los equipos. b) Controles para usar los recursos en computadoras: calendario de carga de trabajo, programacin de personal, mantenimiento preventivo del material, gestin de problemas y cambios, procedimientos de facturacin a usuarios, sistemas de gestin de la biblioteca de soportes. c) Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y control de cambios. d) Seguridad fsica y lgica Control fsico para asegurar el acceso a las instalaciones del Area de Informtica quedando restringida solo a personas autorizadas. Las personas externas a la organizacin debern ser acompaadas por un personal de planta cuando tenga que entrar a la sala de servidores. La sala de servidores debe contar con protectores externos, extinguidotes, sensores o detectores de fuego y humo, medios de filmacin y grabacin de imagen y audio. identificadores especiales para personas extraas a la sala de servidores. Existencia de un plan de contingencia para el respaldo de recursos de la sala de servidores. 5.0 CONTROLES DE APLICACIONES Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin validez y mantenimiento completos y exactos de los datos. Los controles ms importantes son: a) control de entrada de datos: procedimientos de conversin y de entrada, validacin y correccin de datos. b) Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados.

Autor: Ing. Edward Crdenas

c) Controles de salida de datos: sobre el cuadre y reconciliacin de salidas, procedimientos de distribucin de salidas, de gestin de errores en las salidas, etc. 6.0 CONTROLES ESPECIFICOS DE CIERTAS TECNOLOGIAS a) Controles en sistemas de gestin de bases de datos: El software de gestin de bases de datos deber instalarse y mantenerse de modo que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno. b) Controles en informtica distribuida y redes. Procedimientos de respaldo del hardware y del software de la red. Existencia de mantenimiento preventivo de todos los activos. Controles de seguridad lgica: control de acceso a la red, establecimiento de perfiles de usuario. Procedimiento de encriptacin de informacin. Monitorizacin automticos para resolver cierres del sistema. Detectar la correcta o mala recepcin de mensajes. Identificar los mensajes por una clave individual de usuario, por terminal, y por el nmero de secuencia del mensaje. Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor. Determinar si el concentrador tiene lgica redundante y poder de respaldo con realimentacin automtica en el caso que falle. Asegurarse de que haya procedimientos de recuperacin y reinicio. c) Controles sobre computadores personales y redes de rea local. Polticas de adquisicin y utilizacin. Procedimientos de control de software contratado bajo licencia. Controles de acceso a redes, mediante palabra clave, a travs de PCs. Revisiones peridicas del uso de las PCs. Polticas que contemplen la seleccin, adquisicin e instalacin de LAN. Procedimientos de seguridad fsica y lgica. Inventario actualizado de todas las actualizaciones de la organizacin. Contrato de mantenimiento preventivo, correctivo o detectivo. Las computadoras deben estar conectadas a equipos de continuidad (UPS, grupo electrgeno). Proteccin contra incendios, inundaciones o electricidad esttica.

Autor: Ing. Edward Crdenas