Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Funciones y Perfil Del Auditor de Sistemas
Funciones y Perfil Del Auditor de Sistemas
Por lo dicho, este artículo solo pretende el equivalente de coloca un mueble en un salón vacio: busca
presentar una solución a un problema. Después recibirá la avalancha de cometarios para mejorar la
solución: nos dirán que el mueble es muy viejo: otros que es muy nuevo. Alguien opinara que el color
verde es muy chillón, y su visión que el chillón es adecuado pero no en verde, y un tercero mostrara un
argumento muy sólido según el cual el color que mejor complementa la ambientación es el amarillo
pollito. No importa. Bastante satisfactorio será si lo que se afirme se cambia de tal modo que algún día se
llegue a un consenso útil para todos. Para ganar no se necesitan perdedores.
Partir de los objetivos de la auditoria de sistemas, nos ayudara a lograr una mejor aproximación:
necesariamente, el objetivo o propósito general mas importante es el de dar recomendaciones orientadas
al fortalecimiento de los controles identificados como débiles y que por esa razón, constituyen factores
de riesgo para la organización.
Esta definición, que en principio debe reconocerse muy vaga y casi imprecisa con seguridad va a dar pie a
la primera polémica. Existen opiniones según la cuales el auditor de sistemas palabras mas palabras
menos debes ser el responsable del establecimiento de los controles relacionados con el PED
(Procesamiento Electrónico de Datos).Así opinan muchos entre ellos uno que otro conferencista de
reconocida trayectoria con mas afán de buscar objetividad que de tomar una posición sobre el asunto me
permitiría dejar algunas preguntas sobre la mesa.
¿puede responsabilizarse sobre la eficacia de los controles a alguien que o tiene autoridad sobre
los responsables de su ejecución?¨
¿Seria otra alternativa que un director gerente o jefe de sistemas permitiera que sus subordinados
reciban instrucciones del auditor?
Ello entraría en franca oposición con el principio administrativo de delegar autoridad y responsabilidad,
básico para la unidad de criterio y el desempeño ordenado y funcional.
El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su participación
como componente de la organización.
Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se vea
ilimitado por la carencia de recursos suficientes.
Este ultimo punto y la ubicación en la organización no podrían calificarse como componentes del perfil
del individuo, pero se destacan como complementos necesarios del mismo.
El propósito general del que nos ocupamos al principio (dar recomendaciones para fortalecer los
controles) debe descomponerse según las circunstancias propias que rodean el area de
sistematización de datos así:
Esta obligación supone que el auditor conoce la organización y sus planes a mediano y largo plazo. Le
obliga a tener claridad sobre los objetivos de la empresa., la conformación de su estructura y las
funciones de cada una de las áreas que la componen. En consecuencia, debe tener un conocimiento
detallado de la organización y recursos de la sistematización ya que en su evaluación no debe considerar
solo lo que se debe hacer sino que debe incluir análisis de los recursos necesarios para lograrlo.
El auditor debe evaluar la organización del area de sistemas, la distribución de funciones y los
procedimientos e trabajo y supervisión.
Uno de los pilares mas importantes del control es la adecuada distribución de tareas con el fin de que cada
funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede definir una estructura de
organización que proporcione esta condición .pero si puede, de acuerdo con las circunstancias plantear
esquemas de organización apropiada; sin embargo, frente a estructuras más pequeñas que impiden
cumplir con este requisito, debe evaluar métodos alternativos de control que disminuyan los riesgos
inherentes a las incompatibilidades identificadas.
Esta tarea requiere de un estudio detallado sobre la práctica de trabajo del departamento de sistemas y
sus diferentes secciones. Con énfasis en los procedimientos utilizados y la supervisión de niveles de
autorización incorporados a ellos
El auditor debe evaluar los métodos de trabajo y documentación utilizados por el grupo de
desarrollo de sistemas y los controles implantados para supervisar sus labores.
Naturalmente no existe una formula acerca de cómo se debe desarrollar e implantar una aplicación. En la
práctica cada centro de procesamiento tiene su propio estilo, y en su mayoría, aplican dosis excesivas de
confianza en los grupos de desarrollo. No le corresponde al auditor dar la formula- que no existe- ni
sentar cátedra sobre los procedimientos de control.
Su papel con relación a este punto, consiste en analizar los métodos y procedimientos utilizados junto con
la distribución de funciones establecidas y con los recursos computacionales utilizados. Elio cubre por
supuesto un estudio cuidadoso de las costumbres aceptadas y de las facilidades suministradas por el
sistema operativo. Es muy común la informalidad que existe en el desarrollo e implantación de
aplicaciones por lo que también es común el desconocimientos o falta d métodos de control apropiados.
Por consiguiente, la labor del auditor en estos aspectos debe ser mas cuidadosa y detallada; debe buscar
caminos proactivos y razonables tanto para formular sus recomendaciones como apara lograr su
aceptación por taparte del area de PED.
Su función, en este caso, requiere del dominio claro sobre los temas de diseño y desarrollo y grandes
dosis de persuasión y comunicación, que le faciliten orientar sus recomendaciones sobre bases objetivas y
prácticas. Su conocimiento obviamente supone las características y facilidades que el sistema operacional
ofrece en técnicas para ensamblar, pruebas, detección de errores y compilación de programas y una
identificación clara los riesgos que tales facilidades incorpora.
El auditor de be tener capacidad para evaluar las aplicaciones desde su utilización practica y
objetiva por parte de los usuarios hasta los detalles relativos a la composición de los programa
y los procedimientos utilizados.
El buen funcionamiento de cualquier aplicación depende tanto de sus componentes técnicos (equipos y
programas) como de la participación de los funcionarios que intervienen desde el origen de la información
hasta la utilización de sus resultados. Una buena evaluación debe considerar su funcionamiento integral;
la respuesta objetiva que dan los programas y equipos disponibles y la utilización practica de estos
resultados. Además, deben utilizar un enfoque objetivo hacia la organización; es decir, tener en cuenta
que cada aplicación es un componente que puede tener incidencia en sectores que no son sus usuarios
directos o que podría estar afectada por ellos.
El auditor debe evaluar la seguridad lógica prevista par ala operación de las diferente
aplicaciones y sistemas.
Las empresas que no utilizan recursos computarizados o los usan en baja escala, apoyan el control de sus
operaciones en los niveles de autoridad delegados a sus funcionarios. Por contraposición, el mayor
avance en la sistematización desplaza esos niveles de autoridad a los empleados de sistemas y a los
usuarios directos de las aplicaciones, mediante la asignación de claves de acceso.
El auditor debe estudiar el sistema de seguridad y evaluar los métodos de acceso permitidos para:
Su propósito especifico es el de determinar si todo tipo de acceso esta debidamente controlado y deja
registros que puedan consultarse con posterioridad para efectos de seguimiento.
El auditor debe evaluar los sistemas de seguridad física del centro de procesamiento.
Aun cuando la seguridad física debe propiciarse a todos y cada uno de los sectores. Es el area de
procesamiento de datos la que por su naturaleza y su riesgo exige un mayor cuidado sobre este aspecto.
Este incluye el medio ambiente de la construcción; la ubicación con relación a la edificación y otras áreas
los mecanismos o ayudas con que se cuenta para controlar la ocurrencia de riesgos, y la preparación de
los empleados para utilizarlos adecuadamente.
Para el auditor una evaluación sobre la seguridad física incluye un estudio de ubicación, recursos y
preparación del personal junto con el análisis de riesgos probables y recursos del mercado, con el fin de
que sus recomendaciones se ajusten a alternativas satisfactorias y razonables con relación a la
cuantificación de los riesgos.
El auditor de sistemas debe hacer usos adecuados de la información sistematizada, y otros archivos para
satisfacer varios propósitos.
En resumen el auditor de sistemas – o el grupo de auditoria de sistemas en conjunto- debe reunir una
serie de características basicas para ejercer sus tareas con propiedad, tales como:
o Un criterio claro acerca de la organización a que le permita enfocar su trabajo con objetiva.
Claridad sobre métodos y procedimiento de trabajo, asignación de funciones y determinación y
alcance de Politicas
CONTENIDO
I. INTRODUCCION
II. CONCEPTOS Y COMPONENETE DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION
III. PRINICPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD
IV. NIVELS DE CONTROL DE LA SEGURIDAD EN LOS SITEMAS DE INFORMACION
V. COSTO/ BENEFICIO DE LA SEGURIDAD
VI. SIGNOS DE PELIGRO PARA LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS
VII. DISTRIBUCION DE LAS RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACION
VIII. BIBLIOGRAFIA
I. INTRODUCCION
La seguridad de los sistemas computarizados involucra cuatro aspectos que deben tratarse
integradamente en sus soluciones técnicas y administrativas y deben ser entendidos claramente por la
alta dirección, los auditores y los administradores y analistas de sistemas. Estos son: SEGURIDAD,
EXACTITUD, CONFIDENCIALIDAD Y PRIVACIDAD EN LA INFORMACION.
La administración superior necesita esta familiarizada con los problemas para alcanzar la seguridad y con
los tipos de soluciones. Los auditores, en sus diferentes especialidades, deben entender las técnicas
necesarias para lograrla. Los jefes y analistas de sistemas necesitan conocer técnicas, herramientas y
metodologías para diseñarlas e implantarlas. El trabajo mancomunado de ellos afecta todos los aspectos
de diseño y operación de los sistemas de información computarizados, incluyendo personas, archivos de
datos, software, hardware, procedimientos de operación y la planeacion de las instalaciones físicas.
Tomando como base los conceptos emitidos por autores de reconocido prestigio en materia de seguridad
de los sistemas de información, como James Martín, royal P. Fisher y Robert Kukrall, La SEGUERIDAD EN
LOS SISTEMAS DE INFORMACION puede definirse como la resultante de cuatro vectores componentes.
Esta dada por los controles que protegen a los equipos de computación y los datos contra robo y tres (3)
exposiciones basicas que pueden ocurrir en forma INTENCIONADA O ACCIDENTAL.
CONTROLES DE EXACTITUD
La exactitud esta dada por los controles para evitar errores en los datos de entrada (imput) y minimizar la
posibilidad de errores adicionales durante el procesamiento de los datos.
CONTROLES DE CONFIDENCIALIDAD
Se refiere a los mecanismos necesarios para asegurar que la información se reciba y utilice únicamente
por las personas autorizadas para ello.
CONTROLES DE PRIVACIDAD
Se refiere a los mecanismos para proteger el derecho que tienen los individuos para determinar por si
mismos que información privada de ellos puede proporcionarse a otros.
Es importante entender los fundamentos de la seguridad de los datos antes de planear, diseñar o revisar
la seguridad de los sistemas de información.
PRINCIPIOS BASICOS
El principio fundamental para la seguridad en los sistemas de información esta dado por lo que la
profesión de la contaduria publica denomina ADECUADA SEPARACION DE FUNCIONES Y
RESPONSABILIDADES.
“ Segregación de funciones” significa separar las actividades de un proceso entre varias personas.
“Dos o mas funciones son incompatibles si al ser ejercidas por una misma persona, permiten que los
errores y las irregularidades pasen inadvertidas”.
EJEMPLOS:
- Los errores de transposición se detectaran fácilmente antes de afectar el sistema con los
datos.
- Un usuario puede descubrir el intento del diseñador para controlar el acceso sobre su
sistema.
- Se requiere colusión para que ocurran violaciones de la seguridad. Esto es, se necesita mas
de un persona para violar la seguridad.
- Se mejora la capacidad del sistema para evitar errores y violaciones de seguridad.
- El Grupo de Quality Assurance mediante la revisión de los cambios efectuados a los
programas, tiene la posibilidad de descubrir una rutina no autorizada, programada con
intenciones dolosas, tales como las denominadas bombas lógicas y caballos de Troya.
Cuando por razones de insuficiencia de personal sea imposible separar funciones que se sabe son
incompatibles deben establecerse CONTROLES COMPENSATORIOS para sustituir la violación de este
principio. Como ejemplo de esta situación, en el ambiente de microprocesadores un mismo funcionario
desarrolla las funciones de análisis, programación y operación.
INFORMACION SENSITIVA. Es aquella que si se expone a ser conocida por personas no autorizadas
para hacerlo, podría influenciar la ocurrencia de una situación de negocios dada. Una información
determinada en si misma puede carecer de significancia, pero su combinación con otras información
puede volverla sensitiva.
Por ejemplo, un programador puede no estar autorizado para conocer los salarios de los empleados. Sin
embargo, puede llegar a conocerlos si tiene acceso a la información sobre las direcciones de los
empleados y los datos estadísticos de nomina.
Las combinaciones sensitivas mas frecuentes incluyen datos y sus activos asociados. Por ejemplo, los
individuos que tiene acceso al activo físico y a los datos de control del mismo, tales como el inventario y
los datos de control del inventario, presentan un riesgo definitivo para la seguridad.
A los empleados no debería asignárseles funciones que les permitan ocultar y convertir activos para su
beneficio personal. Una violación común de este principio es la asignación de un solo operador de un
computador para el tercer turno. Las corridas de producción prolongadas con pocos procedimientos de
operación pueden justificar un solo operador. Sin embargo, después de algún tiempo, el operador, por
aburrimiento o necesidad, podría empezar a producir y vender copias de los listados secretamente podría
montar un negocio de servcie bureau.
Pero las mayores oportunidades para ocultar los datos y convertirlos en dinero, sin embargo, podrían
ocurrir fuera del centro de procesamiento y no dentro de el. Cuando es posible la Comunicacion de
entradas/salidas con la base de datos.
Los sistemas de información que se diseñan con inapropiada separación de funciones y responsabilidades
y7o permiten el acceso a combinaciones de recursos sensitivos, son propicios para permitir violaciones de
conversión y ocultamiento de activos en beneficio de los empleados. No es el uso del computador o de la
base de datos computarizada el que crea esta oportunidad es el inadecuado uno de las capacidades de
control disponibles.
En efecto un computador y su base de dato pueden ofrecer un mejor control sobre el negocio que el
sistema manual al que reemplazan. El control se alcanza mediante apropiada planeacion, diseño, prueba,
utilización y administración de las diversas características de control disponibles actualmente en los
compatadres.
Con el propósito de mejorar la eficiencia y velocidad de las operaciones puede parecer razonable asignar
los procesos de dar origen y aprobar transacciones a un mismo individuo.
Sin embargo, aunque esta responsabilidad se confie a empleados honestos con una impecable hoja de
vida laboral, se esta violando la sana practica de segregar dos funciones incompatibles desde el punto de
vista de control.
Algunas organizaciones exigen que la operación de transacciones sensitivas este sujeta a una aprobación
independiente. Si embrago, fallan al permitir que el mismo individuo que las origina sea el que las
aprueba.
Todos los negocios necesitan un sistema de verificaciones y balances. Si alguien pudiera aprobar su
propia cuenta de gastos, podría extralimitarse.
Para que las organizaciones funcionen con un nivel de riesgo aceptable, sus sistemas de información
deberían satisfacer las siguientes propiedades:
1. INTEGRIDAD
Un sistema debería hacer solamente lo que esta previsto que haga y nada mas. Este sistema debe
funcionar de acuerdo con un grupo de especificaciones planeadas. Estas poseen la esencia de totalidad o
de la completitud. Los sistemas tienen INTEGRIDAD si satisfacen esas especificaciones y nada mas.
EJEMPLOS
- Un temporizador en la puerta de una bóveda de un banco activara la cerradura en el tiempo
programado y no en otro.
- Un archivo de datos de “solo lectura” debería rechazar todos los intentos de modificaciones
desde cualquier fuente.
- Un cheque debería pagarse solamente al individuo apropiado, en la fecha correcta y por la
cantidad correcta.
La verificación de la integridad es predecible. Si para cada estimulo que reciba el sistema, la respuesta es
predecible ya sea que esta funcionando bien o mal, existe INTEGRIDAD.
2. AUDITABILIDAD
Un sistema AUDITABLE permite a un revisor independiente verificar sus actividades en cualquier tiempo.
La auditabilidad permite al sistema DEMOSTRAR que esta funcionando de acuerdo con especificaciones,
cumpliendo con requisitos de control, que se esta utilizando como se pensó y de acuerdo con estándares y
practicas aceptadas en procesamiento de datos.
Para satisfacer esta propiedad, los sistemas deben construirse enteramente con componentes auditables.
Para esto se requiere que sea modular en su diseño y que cada modulo sea capaz de comunicarse con los
otros solamente a través de un numero limitado de interfases formalmente definidas. Tale sistemas, por
consiguiente, deben tener la capacidad de registrar todas las transacciones ( consultas, eventos,
contenidos, estímulos, respuestas) en las interfases permitidas
Una prueba de auditabilidad es la RESPONSABILIDAD. Un sistema debería tener al habilidad para fijar la
responsabilidad por cada evento significativo en un solo individuo. Debe tener la capacidad de apuntar a
alguien o alguna PARTE como responsable de cualquier actividad del sistema. El sistema debería ser
capaz de registrar a cualquier persona, determinando completamente la responsabilidad por sus
actividades.
Los sistemas auditables también deben tener VISIBILIDAD. Esto es, que las varianzas de comportamiento
esperado, uso o contenido se indiquen y se den a conocer a la administración de tal manera que permitan
iniciar acciones correctivas en forma apropiada y oportuna.
3. CONTROLABILIDAD
Un sistema que posee CONTROLABILIDAD permite a la Administracion ejercer una Direccion o influencia
restrictiva sobre su uso, comportamiento o contenido .Esta propiedad limita la capacidad de un sistema
para pasar los recursos previstos entre áreas de trabajo o de influencias sujetas a control. Por Ejemplo.
Ud. Puede estar habilitado para procesar gastos legítimos del negocio, pero no para aprobar, producir o
enviar el pago de los fondos correspondientes. Además Ud. Puede permitírsele procesar solamente para
tipos particulares de cargos asociados con su departamento.
Para alcanzar esta postura de control, cada modulo auditable debe ser individualmente controlable. Esto
implica que cada modulo de control transfiere a otros módulos SOLAMENTE aquellas actividades previstas.
Una prueba de controlabilidad es la GRANULARIDAD. Esta requiere que el tamaño del modulo a ser
controlado sea suficientemente pequeño para construir un aceptable nivel de riesgo. Por Ejemplo, si un
modulo de nomina incluye las funciones de solicitud, autorización y ejecución del pago, este falla en su
granularidad.
Ningún modulo debería controlar su recurso de tal tamaño que pueda afectar significativamente la
continuidad del negocio. Es responsabilidad de la administración definir el nivel de riesgo aceptable en
cada interfase.
1. IDENTIFICACION
Esta función permite establecer identificadores (nombres o códigos) para cada usuario y recursos del
sistema. Su propósito es proporcionar evidencia la realidad. Esta función identifica por algunos medios
aceptables a las personas, el hardware, el software y otros recursos disponibles en el sistema.
La identificación implica que un registro de datos existente en el sistema asocia un identificador con un
usuario o recurso definidos. La confirmación de alguna identidad se establece e ese punto. Por ejemplo,
empleado JAIME RODRIGUEZ, data record, ECDIMA; terminal li.
2 . AUTENTICACION
Se realiza comparando algo que el individuo conoce, tiene, es o puede hacer para una referencia
registrada. Por ejemplo:
3. AUTORIZACION.
El propósito de una función de autorización es establecer lo que esta permitido hacer a alguien a un
recurso dado. Generalmente relaciona a un usuario con un recurso a través de reglas de autorización
definidas. La autorización establece reglas que restringen a los usuarios de los sistemas para ejecutar
solamente actividades predefinidas a los recursos de datos.
4. DELEGACION
En sistemas pequeños esta función la desempeña el administrador de seguridad. En grandes sistemas, con
una estructura compleja de usuarios, recursos, localizaciones, y actividades, se requieren mecanismos de
delegación sofisticados, que implican el uso de paquetes de software de control de acceso, tales como el
RACF (Resource Allocation and Control Facility) y el ACF2 proporcionados para equipos IBM.
Los sistemas nunca deberían diseñarse sin capacidades de journaling, es decir, para capturar información
sobre quien hizo que, donde porque, cuando y como. Los journaling son el medio mas eficaz de
monitorear la adherencia a las Politicas de la compañía, objetivos reglas y standares de rendimiento
generalmente. Cualquier punto donde un recurso o responsabilidad importante para del control de una
persona a otra, es un area clave para consideraciones de PISTAS DE LAS TRANSACCIONES.
6. VIGILANCIA
Las pistas de las transacciones (Journals y Logs), sin importar lo completas que sean. Son inefectivas sin
la función de VIGILANCIA. Alguien debe revisar los journals. Alguien debe examinar las actividades
registradas y establecer las variaciones con respecto al rendimiento esperado, uso y contenido. Esta es la
función de vigilancia.
James Martín en su libro “ Security Accuracy and Privacy in Computer Systems”, propone cuatro (4)
niveles de controles para proteger la seguridad de los sistemas computarizados.
1. CONTROLES TECNICOS CONSTRUIDOS DENTRO DEL SOFTWARE APLICATIVO Y DEL SISTEMA.
Es el sistema o nivel mas interno de la metodología de control. Sin fuertes controles en el software del
sistema y de las aplicaciones, ninguna otra precaución puede hacer el sistema seguro. Los controles
dentro del software del sistema proporcionan la SEGURIDAD LOGICA. Los controles establecidos dentro
de software aplicativo proporcionan la SEGURIDAD FUNCIONAL.
Los controles de seguridad lógica y funcional no son suficientes por si solos, deben reforzarse con niveles
de control externos al diseño del sistema. El nivel de controles técnicos es circundado por el de
SEGURIDAD FISICA, estos se refieren a las cerraduras en las puertas, guardias, alarmas y otros medios
para prevenir el acceso no autorizado, precauciones contra incendios, protección de datos almacenados
en archivos magnéticos y otros.
3. CONTROLES ADMINISTRATIVOS
El siguiente nivel es el de controles administrativos para asegurar que el sistema se utilice correctamente.
Estos controles se extienden mas allá del departamento de procesamiento de datos: incluyen a los
departamentos usuarios de los sistemas, los auditores y la Administracion superior.
Es el nivel mas externo y problemático tiene que ver con privacidad exactitud y confiabilidad de los datos
en el ambiente social y jurídico en que operan los sistemas.
Estos niveles de protección no están completamente separados. Los controles que se establezcan en cada
uno, dependerán de la importancia de la información y la tecnología de procesamiento de datos utilizada.
LA SEGURIDAD ABSOLUTA ES INALCAZABLE. La razón mas poderosa para esta afirmación es que los
errores y las irregularidades son propias de la intervención humana y esta no puede eliminarse
completamente. En este punto es importante resaltar que “ la seguridad de la empresa empieza por sus
políticas de administración de personal”
Nunca podemos hablar de seguridad absoluta pero si de minimizar las oportunidades de quebrantarla los
altos niveles seguridad son prohibitivamente costosos sin embargo la medidas de seguridad basicas
cuestan muy poco. Es recomendable asignar un presupuesto de seguridad de proporciones razonables,
que no exceda del 5% del presupuesto total de procesamiento de datos, según aconseja el autor antes
citado.
No todos los sistemas necesitan del mismo grado de seguridad. Este depende fundamentalmente de la
importancia de la información.
Existe una gama de aspectos que permiten determinar rápidamente el grado de seguridad existente en os
sistemas de información. Si alguno de estos no se utiliza esta descuidado, representa un punto vulnerable
en el sistema de seguridad.
La administración superior, la gerencia de sistemas y la auditoria deberían revisar los siguientes signos de
peligro.
1. Carencia de un programa de seguridad que cubra todas las actividades de procesamiento de datos.
10. Carencia o deficiente enfoque de la auditoria a los aspectos de seguridad en los sistemas de
procesamiento de datos.
Un modelo de distribución de estas responsabilidades entre la alta Direccion, la Gerencia de sistemas las
áreas, las áreas operativas o usuarias de los sistemas y los auditores se describe a continuación.
Frente al control y la seguridad de la información su responsabilidad hace parte de las cuatro funciones
basicas que corresponden en la empresa: PLANEAR, ORGANIZAR, DIRIGIR Y CONTROLAR.
Su papel consiste en proporcionar los recursos y el apoyo necesario para que los sistemas de información
basados en computadores tenga un apropiado sistema de controles. La administración superior debe
APROBAR Y APOYAR las actividades de desarrollo e implantación de controles que sean promovidas por el
personal de sistemas las áreas de los sistemas y los auditores.
Los diseñadores de los controles seleccionados por ellos juegan un papel importantísimo en la vida de los
sistemas de información basados en computadores, de manera análoga a la trascendencia que tienen
para la vida de un edificio y los estudios previos que realizan los arquitectos e ingenieros constructores y
los materiales de construcción empleados. En ambos casos los constructores y arquitectos se preocupan
no solamente por los aspectos técnicos de su profesión, sino también por el objetivo y la función que
cumplirá la obra construida.
1. Identificar las amenazas o situaciones de riesgo que podrían afectar las actividades del procesamiento
electrónico de datos y el buen manejo del negocio en las áreas de operación sistematizadas.
2. Definir objetivos de control específicos. Estos siempre deben apuntar a INCREMENTAR la probabilidad
de que el sistema funcione correctamente y a REDUCIR la probabilidad de ocurrencia de errores e
irregularidades.
3. Seleccionar los controles requeridos para MINIMIZAR la probabilidad de ocurrencia de las amenazas o
situaciones de riesgo.
10. Dar a conocer (promulgar) los controles que corresponde ejecutar a cada una de las áreas
involucradas en el manejo del sistema
1. Ejecutar los controles en actividades manuales y automatizadas que corresponda desarrollar al personal
de sistemas.
2. Dar mantenimiento al sistema de controles establecido, es decir, efectuar ajustes y correcciones que
surjan como resultado de cambios en el manejo de las operaciones sistematizadas de errores e
irregularidades no previstas en la fase de desarrollo del sistema o de recomendaciones de los usuarios y
auditores.
- Adicionar controles
- Suprimir controles
- Modificar procesamiento de control
- Actualizar la documentación de los controles
- Dar a conocer (promulgar) cambios en el sistema de controles
El papel de esta area frente al control de la seguridad de la información que procesan los sistemas
computarizados, es similar al que un propietario ejerce sobre su vehículo cotidianamente y cuando utiliza
los servicios de un diagnosticentro.
El vehículo (el sistema de información) dispone de unos controles suministrados por el fabricante (el
personal de sistemas), los que a través de un tablero de control alertan al conductor (usuarios del
sistema) sobre la inminente ocurrencia de amenazas criticas que podrían ocasionar daños graves al
vehículo. El propietario es libre de tomar acción o no cuando se activan los indicadores del tablero de
control. Si toma una acción, evitara daños mayores: si no lo mas probable es que su vehículo sufra daños
muy graves, que sea necesario adquirir otro o que durante algún tiempo no pueda utilizarlo.
El servicio de un diagnosticentro es comparable al soporte tecnico que los usuarios de los sistemas reciben
de los analistas y programadores del departamento de sistemas. Por ejemplo cuando el usuario solicita la
inclusión de un nuevo control o la impresión de un dato adicional en uno de los listados que normalmente
se producen.
De la misma manera que el propietario del vehículo se preocupa por la calidad, el costo y la eficiencia del
servicio especifico que contrata, el usuario de los sistemas debe preocuparse por los servicios que solicita
y recibe PARA SU INFORMACION por parte del personal de sistemas.
En el control y la seguridad de los sistemas de información computarizados, los usuarios de las áreas
operativas de los sistemas deben asumir el papel de PROPIETARIOS de la información que se procesa con
software, hardware y personal administrativo por el departamento de sistemas. Como propietario de la
información sistematizada, es responsable de las siguientes actividades de control:
1. Identificar y definir las amenazas o situaciones de riesgo, que podrían afectar al negocio en las áreas
operativas manejadas por ellos.
3. Aprobar los controles seleccionados por los fabricantes del sistema para ser ejecutados en su
jurisdicción.
4. Participar en la definición de los objetivos específicos de los controles establecidos para su jurisdicción.
2. Comprobar que los controles establecidos para su jurisdicción estén activos y se utilicen
7. Informar a sistemas las deficiencias de control que detecte en la porción automatizada de los sistemas.
RESPONSABILIDAD DE LA AUDITORIA
La auditoria como parte del sistema de control interno de la empresa debe asumir responsabilidades
frente al control y la seguridad de los sistemas de información basados en computadores. Durante el
desarrollo de los sistemas cumple una función ASESORA. Aportando sus conocimientos y experiencias
para ayudar a construir.
1. Identificar las situaciones de riesgos de mas probable ocurrencia en las operaciones sistematizadas
objeto de la auditoria (Análisis de riesgos).
7. Verificar que los responsables de establecer, ejecutar y dar mantenimiento a los controles entienden los
objetivos, la conveniencia y la necesidad de los controles.
VIII. BIBLIOGRAFIA
- Burch. Jhon G. Jr Sardinas Joseph L. Jr. COMPUTER CONTROL AND AUDIT: TOTAL SYSTEMS APROACH.
Ed. John Wiley & Sons. Inc. 1978.
- Martin. James. SECURITY, ACCURACY AND PRIVACY IN COMPUTER SYSTEMS. Prentice Hall Inc.. 1973.
- FitzGerald Jerry and FitzGerald Ardra F. DESIGNING CONTROLS INTO COMPUTERIZED SYSTEMS. Second
Edition. Jerry FitzGerald & Associates. 1990.