Controles Informáticos

Conjunto de disposiciones, metódicas, cuyo fin es vigilar las funciones y actitudes y

para ello permite verificar si todo es realizado conforme a los programas adaptados, órdenes

impartidas y principios admitidos.[ CITATION Ali16 \l 3082 ]

Cualquier actividad o acción realizada manual o automáticamente para prevenir,

corregir errores o irregularidades que pueden afectar al funcionamiento de un sistema

para conseguir sus objetivos. Lo controles cuando se diseñen, desarrollen e implanten

han de ser al menos completos, simples, fiables, revisable, adecuado y rentables.

Respecto a esto último habrá que analizar el coste-riesgo de su implantación.

[ CITATION Fer162 \l 3082 ]

Puede definirse como el sistema integrado al proceso administrativo, en la

planificación, organización, dirección y control de las operaciones con el objeto de asegurar

la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia

y efectividad de los procesos operativos automatizados.[ CITATION Jor12 \l 3082 ]

Los controles informáticos es la preservación de la confidencialidad, integridad y

disponibilidad de la información. Esto se logra mediante la implantación de un grupo de

controles que incluyen políticas, procedimientos, estructuras organizativas y sistemas de

hardware y software. [ CITATION Ped131 \l 3082 ]

Según[ CITATION Nic14 \l 3082 ] La seguridad de la información no es un estado

que se alcanza en determinado instante de tiempo y permanece invariable, sino que es

un proceso continuo que necesita ser gestionado. El proceso de gestión de la

seguridad informática se encuentra descrito en el estándar ISO/IEC 27001, el cual

constituye una norma certificable a nivel internacional. Esta norma ofrece un modelo

para el diseño, implementación, operación, monitorización, revisión y mejora

continua de un sistema de gestión de la seguridad de la información (SGSI). Se

plantea la utilización del modelo PDCA (Plan - planificar, Do - hacer, Check

verificar, Act - actuar) para llevar a cabo estos objetivos, donde es necesario realizar

las siguientes acciones en cada fase:

 Planificar: establecer las políticas, los objetivos, procesos y procedimientos

de seguridad informática pertinentes para gestionar los riesgos y mejorar la

seguridad de la información, en concordancia con las políticas y objetivos

globales de la organización. En esta etapa se realiza el análisis de riesgos y se

seleccionan los controles que garantizarán la seguridad informática.

 Hacer: implementar y operar las políticas, controles, procesos y

procedimientos establecidos.

 Verificar: evaluar y medir el desempeño del sistema de seguridad informática

contra las políticas y los objetivos de seguridad establecidos, así como revisar

la experiencia práctica adquirida, reportando los resultados a la máxima

dirección para su revisión.

 Actuar: emprender acciones correctivas y preventivas basadas en los

resultados de la auditoría interna del SGSI y la revisión por la dirección, para

lograr la mejora continua del sistema de seguridad informática.

En el ambiente informático, el control se materializa fundamentalmente en

controles de dos tipos:

 Controles manuales: aquellos que son ejecutados por el personal del área

usuaria o de informática sin la utilización de herramientas computacionales.

  Controles Automáticos: son generalmente los incorporados en el software,

llámense estos de operación, de comunicación, de gestión de base de datos,

programas de aplicación, etc.

El control de un Sistema Informático debe ser parte integral de su diseño, los

usuarios y los ingenieros de software deben presentar estresa atención a los controles

durante toda la vida del sistema.

Tipos de Controles

 Controles Preventivos, para tratar de evitar la producción de errores o hechos

fraudulentos, como por ejemplo el software de seguridad que evita el acceso a

personal no autorizado. Ejemplo: software de seguridad que evita al personal

no autorizado acceder al sistema

 Controles Detectivos; tratan de descubrir a posteriori errores o fraudes que no

haya sido posible evitarlos con controles preventivos. Ejemplos: el registro de

intentos de acceso no autorizados, el registro de la actividad diaria para

detectar errores u omisiones.

 Controles Correctivos; tratan de asegurar que se subsanen todos los errores

identificados mediante los controles detectivos. Ejemplos: recuperación de un

archivo dañado, a partir de las copias de seguridad.

Componentes de Control Interno Informático

1. El ambiente de control

2. La evaluación del riesgo

3. Las actividades de control (políticas y procedimientos)

4. Información y comunicación

5. Supervisión
 La relación que existe entre los métodos de control y los objetivos de control se puede

mostrar mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se

utiliza para satisfacer objetivos de control tanto de mantenimiento cómo de seguridad de los

programas:[ CITATION Hec99 \l 3082 ]

 Objetivos de control de mantenimiento: asegurar que las modificaciones de los

procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e

implementadas.

 Objetivo de control de seguridad de programas: garantizar que no se pueden

efectuar cambios no autorizados en los procedimientos programados.

Importancia de los Controles Informáticos

 Integridad: Garantizar que los datos sean los que se suponen

 Disponibilidad: Garantiza el correcto funcionamiento de los sistemas de

información

 Evitar el Desecho: Garantizar que no pueda negar una operación realizada.

 Confidencialidad: Asegurar que solo los individuos autorizados tengan

acceso a los recursos que se intercambian.

 Autenticación: Asegurar que solo los individuos autorizados tengan acceso a

los recursos.

Áreas de Aplicación de los controles informáticos

 Organización del área de informática: Dirección, perfiles de puestos, división del

trabajo, establecimientos de estándares, políticas.

  Análisis desarrollo e implementación de sistemas: Metodología estándar de

desarrollo, estudios de factibilidad, eficiencia y efectividad de análisis y desarrollo,

documentos, mantenimiento e implementación.

 Operación del sistema: Prevenir y corregir errores de operación, manipulación

fraudulenta de información. Seguridad en la operación. Mantener oportunidad,

veracidad confiablidad, suficiencia en el proceso de información.

 Procesamiento de entrada de datos: Proceso de información y emisión de

resultados. Procedimientos de captura. Proceso íntegros confiables, veraces y exactos

al igual que las salidas.

 Seguridad del área del sistema

 Seguridad física y lógica

 Sobre la operación de los sistemas

 Sobre personal

 Seguridad de las bases de datos

 Seguridad de telecomunicaciones

 Seguridad en redes y sistemas multiusuarios

CONTROL INTERNO INFORMÁTICO

El Control Interno Informático es una función del departamento de Informática de una

organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los

sistemas de información automatizados se realicen cumpliendo las normas, estándares,

procedimientos y disposiciones legales establecidas interna y externamente.

El control interno informático controla diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas

fijados por la dirección de la organización y/o la dirección informática, así como los

requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento

de informática y está dotado de las personas y medios materiales proporcionados a los

cometidos que se le encomienden.

 Controlar que todas las actividades se realicen cumpliendo los procedimientos

y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
 Asesorar sobre el conocimiento de las normas.
 Colaborar y apoyar el trabajo de Auditoria informática, así como de las
auditorías externas al grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los graso adecuados del servicio informático, lo cual no debe considerarse
como que la implantación de los mecanismos de medida y responsabilidad del
logro de esos niveles se ubique exclusivamente en la función de control
interno, si no que cada responsable de objetivos y recursos es responsable de
esos niveles, así como de la implantación de los medios de medida adecuados.

Entre sus funciones específicas están:

Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al

personal de programadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los

siguientes aspectos:

 Desarrollo y mantenimiento del software de aplicación.

 Explotación de servidores principales

  Software de Base

 Redes de Computación

 Seguridad Informática

 Licencias de software

 Relaciones contractuales con terceros

 Cultura de riesgo informático en la organización

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad

y eficacia de los sistemas informáticos a través de mecanismos o actividades de control.

Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos,

completos, confiables, revisables y económicos.

Para implantar estos controles debe conocerse previamente la configuración de todo

el sistema a fin de identificar los elementos, productos y herramientas que existen y

determinar de esta forma donde se pueden implantar, así como para identificar los posibles

riesgos.

Para conocer la configuración del sistema se deberá documentar:

 Entorno de Red: esquema, configuración del hardware y software de

comunicaciones y esquema de seguridad de la red.

 Configuración de los computadores principales desde el punto de vista físico,

sistema operativo, biblioteca de programas y conjunto de datos.

 Configuración de aplicaciones: proceso de transacciones, sistema de gestión de

base de datos y entorno de procesos distribuidos

  Productos y herramientas: software de programación diseño y documentación,

software de gestión de biblioteca.

 Seguridad del computador principal: sistema de registro y acceso de usuarios,

identificar y verificar usuarios, integridad del sistema.

Una vez que se posee esta documentación se tendrá que definir:

 Políticas, normas y técnicas para el diseño e implantación de los sistemas de

información y sus respectivos controles.

 Políticas, normas y técnicas para la administración del centro de cómputo y redes

de computadores y sus respectivos controles.

 Políticas y normas que aseguren la integridad, confidencialidad y disponibilidad

de los datos y sus respectivos controles.

 Políticas y normas que rijan los procedimientos de cambios, pruebas actualización

de programas y sus respectivos controles.

 Políticas y normas de instalación, actualización y uso de licencias del software de

base, de red y de usuario y sus respectivos controles.

 Políticas y normas que permitan implantar en la organización una cultura de

riesgo informático, la misma que comprenderá los siguientes entornos:

 Dirección General, a través de políticas generales sobre los sistemas de

información respecto al tipo de negocio de la misma.

 Dirección de informática, a través de la creación y difusión de procedimientos,

estándares, metodologías y normas aplicables a todas las áreas de informática así

como de usuarios.
  Control Interno Informático, definirá los controles periódicos a realizar en cada

una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de

ellas y serán de carácter preventivo, detectivo y correctivo.

 Auditoría Informática Interna; revisará periódicamente la estructura de control

interno tanto en su diseño como en su cumplimiento por parte de cada una de las

áreas definidas en él y de acuerdo al nivel de riesgo.

CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)

CONTROLES GENERALES ORGANIZATIVOS

Son la base para la planificación, control y evaluación por la Dirección

General de las actividades del Departamento de Informática, y debe contener la

siguiente planificación:

 Plan Estratégico de Información realizado por el Comité de Informática.

 Plan Informático, realizado por el Departamento de Informática.

 Plan General de Seguridad (física y lógica).

 Plan de Contingencia ante desastres.

CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACION

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos,

protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías

como la del Ciclo de Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION:

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso

del hardware así como los procedimientos de, instalación y ejecución del software.
 CONTROLES EN APLICACIONES: Toda aplicación debe llevar controles

incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento

completos y exactos de los datos.

CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS: Tienen que

ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

CONTROLES INFORMATICOS SOBRE REDES: Tienen que ver sobre el

diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una

organización sean estas centrales y/o distribuidas.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL: Se

relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware

como del software de usuario, así como la seguridad de los datos que en ellos se procesan.