UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

MODALIDAD PRESENCIAL
2020- 2020

AUDITORIA DE SISTEMAS I

Controles internos para la seguridad del área de

sistemas

CA 9-1

Nataly Tuquinga Zamora

CONTROLES INTERNOS PARA LA
SEGURIDAD DEL ÁREA DE SISTEMAS
SON MEDIDAS PREVENTIVAS O CORRECTIVAS, O MEDIANTE EL DISEÑO DE PROGRAMAS DE PREVENCIÓN DE
CONTINGENCIAS PARA LA DISMINUCIÓN DE RIESGOS.

Seguridad • Se refiere a la seguridad y salvaguarda de los bienes tangibles,

como el hardware, periféricos las instalaciones eléctricas, de
física comunicación y datos, así como la protección a losaccesos.

Seguridad • Se refiere a la seguridad de los bienes intangibles, tales como

software, y lo relacionado con los métodos y procedimientosde
lógica operación, y niveles de acceso a los sistemas yprogramas.

Seguridad de • Protección específica de información que se maneja en lasáreas

de sistemas de la empresa, a través de medidas de seguridady
bases de datos control que limiten el acceso y uso de esa información.
SEGURIDA • Seguridad, en cuanto a su
acceso y
D EN LA
aprovechamiento por
OPERACIÓ parte del personal
N informático y los usuarios.

• Seguridad y protección de
Seguridad los operadores, analistas
del programadores y demás
personal de personal que está en
informática contacto directo con el
sistema.

• Seguridad y protección de
Seguridad de los niveles de acceso, que
las permiten la comunicación
telecomunica y transmisión de la
ciones información en la
empresa.
PREVENCIÓN DE
CONTINGENCIAS Y RIESGOS ACCIONES QUE PREVIENEN Y CONTROLAN RIESGOS Y POSIBLES CONTINGENCIAS.

• Prevenir accidentes en los equipos, la información y los programas, hasta la instalación de extintores, rutas de evacuación,
resguardos y medidas preventivas de riesgos internos y externos, así como la elaboración de programas preventivos y
simulaciones para prevenir contingencias y riesgos informáticos.

Controles
Prevenir y evitar las amenazas, riesgos y contingencias.

• Elaboración de planes de contingencia, simulacros y bitácoras deseguimiento

• Control de accesos físicos del personal al área decómputo
• Monitoreo de accesos de usuarios, información y programas deuso

Controles
Para la seguridad física del área de sistemas
• Inventario del hardware, mobiliario y equipo
• Resguardo del equipo de cómputo
• Bitácoras de mantenimientos y correcciones
• Controles de acceso del personal al área desistemas
• Control del mantenimiento a instalaciones y construcciones
CONTROLES
Controles
PARA LA
para la
SEGURIDAD •Programas de protecciónpara
seguridad de impedir el uso inadecuado y la
LÓGICA DE • Control para el acceso al sistema, las bases de alteración de datos de uso
LOS a los programas y a la información exclusivo
datos
SISTEMAS • Establecimiento de niveles de
acceso • Respaldos periódicos de
• Dígitos verificadores y cifrasde información
control •Planes y programas paraprevenir
contingencias y recuperar
información

• Control de accesos a las bases de

• Palabras clave de accesos
datos
•Controles para el seguimiento de
•Rutinas de monitoreo y evaluación
las secuencias y rutinas lógicasdel
de operaciones relacionadas con
sistema
las bases de datos
Controles para la seguridad
en la telecomunicación de
datos
Controles para la seguridad
en sistemas de redes y
multiusuarios
Controles para prevenir y evitar las amenazas,
riesgos y contingencias en las áreas de
sistematización
Identificar aquellos elementos
que pueden influir en la
Ayudará a identificar las
seguridad de sus instalaciones,
eventualidades que pueden
de sus programas, de la
llegar a presentarse en dicha
información que se maneja en
área.
ellos y del personal que los
opera.

Es muy importante prevenir

posibles contingencias y riesgos
antes que ocurran, así como
controlarlos cuando estén
ocurriendo, o corregirlos
después de que sucedan.
Control de accesos físicos del personal al área de
cómputo

dichas medidas van

desde registros en
Por medio de
bitácoras o libretas, circuito cerrado,
Establecimiento de uso de gafetes y así como la
las medidas credenciales revisión
tendientes a magnéticas, hasta
controlar el acceso física del personal
la vigilancia
que entra y sale de
estrecha de
área de sistemas.
visitantes, áreas y
pasillos
Control de accesos al sistema, a las bases de datos, a los
programas y a la información

Control que se establece en el sistema en forma administrativa;

Por medio de procedimientos, claves y niveles de acceso, se permite el uso del

sistema, de sus archivos y de su información a los usuarios y al personal autorizado;

Van desde el registro de los usuarios y la asignación de equipos y terminales,

hasta el establecimiento de privilegios, límites y monitoreo de uso de sistemas,
programas e información.
Uso de niveles de privilegio para acceso, palabras clave y control de usuarios

Mediante un software
especial, las limitaciones Con el uso de contraseñas
y los privilegios de los con las cuales se pueda
Exclusivo para los usuarios en el uso del ingresar al sistema, así
sistemas de información; sistema, ya sea al no como la revisión periódica
permitir el acceso a de los niveles de accesos
ciertos archivos y autorizados
programas,
 Monitoreo de accesos de
usuarios, información y
programas
de uso
• Es el monitoreo que realiza el
administrador del sistema (ver
cómo se está trabajando en el
sistema, sin que lo note el
usuario) con el propósito de
verificar el uso del sistema, del
software, de los archivos y de la
información que está permitida
al usuario.
Existencia de manuales e
instructivos, así como difusión
y vigilancia del cumplimiento de
los reglamentos del sistema
• Es el seguimiento de los
diferentes manuales e
instructivos, a fin de controlar el
uso de los sistemas, programas
y archivos, así como el
cumplimiento del reglamento de
uso del centro de
sistematización por parte de su
personal y de sus usuarios.
Identificación de los riesgos y
amenazas para el sistema,
con el fin de adoptar las medidas
preventivas necesarias
• Es la identificación de los
posibles riesgos y
contingencias que se pueden
presentar en el área de
sistematización; estas
contingencias pueden tener un
origen humano: descuidos,
negligencia, mal uso de la
información, sabotajes, robos,
piratería, etcétera, o un origen
natural: terremotos, incendios,
inundaciones, etcétera.
Elaboración de planes de contingencia, simulacros y bitácoras
de seguimiento

Es el control de las contingencias y riesgos que se pueden presentar en

el área de sistemas

Estas contingencias se pueden evitar, controlar o remediar a través

de planes y programas preventivos específicos, en los cuales se
presenten las actividades a realizar antes, durante y después de
alguna contingencia.

En estos planes se incluyen los simulacros de contingencias, los

reportes de actuaciones y las bitácoras de seguimiento de las
actividades y eventos que se presentan en el área de sistemas.
Controles para la seguridad física del área de sistemas

Con este tipo de controles se busca salvaguardar los

activos tangibles de la empresa.

Es la sistematización para la protección y custodia

de los equipos de cómputo, periféricos, mobiliario y
equipo asignado a esa área, así como la protección y
seguridad del personal, de los usuarios y el demás
personal involucrado enel centro de cómputo.

Controles básicos que deberán ser

adoptados en las áreas de sistematización para la
protección de sus recursos;
Inventario del hardware, mobiliario y equipo
Es el registro de carácter contable
que se hace de todos los activos de
los sistemasTambién se registran los
costos, las depreciaciones, las
actualizaciones, los cambios y otros
movimientos del sistema.
Resguardo del equipo de cómputo
Es la asignación documental del
equipo de cómputo, de sus
periféricos, mobiliario y demás
componentes que se hace al
personal o a los usuarios del área de
sistematización.
Bitácoras de mantenimientos y
correcciones
Es el registro cronológico del
mantenimiento y las reparaciones
del hardware, periféricos y equipos
asociados del sistema
computacional, así como de sus
instalaciones y mobiliario; estas
bitácoras se utilizan con el propósito
de evaluar el uso, aprovechamiento e
incidencias de cada uno de los
sistemas asignados al centro de
cómputo.
Controles de acceso del Control del mantenimiento Seguros y fianzas para el
personal al área de a instalaciones y personal, equipos y
sistemas construcciones sistemas

• Son las medidas • Es el control que • Son las medidas

establecidas en las
empresas con el
propósito de limitar y
controlar el ingreso
del personal y
usuarios al área de
sistemas, para evitar
contingencias y
riesgos físicos a los
equipos de dicha área.
establece el
administrador de la
empresa, a fin de
salvaguardar y man
tener en buen estado
las instalaciones del
sistema, también el
control para el
mantenimiento de las
construcciones del
área de sistemas,
incluyendo la
iluminación, el medio
ambiente, el clima
artificial para la
comodidad de los
usuarios.
preventivas para
garantizar la
reposición de los
activos informáticos
de la empresa en caso
de ocurrir alguna
contingencia, para
asegurar la vigencia
de las pólizas de los
activos informáticos
asegurados, así
comosus coberturas.
Controles para la seguridad lógica de los sistemas
controles y medidas preventivas y correctivas para salvaguardar sus bienes lógicos. Con ello se pretende un buen uso del software, de los
programas, de los sistemas operativos, del procesamiento de información, de los accesos al sistema, de la información.

Control para el acceso al sistema, a los programas Establecimiento de niveles de acceso

y a la información
Implementación de las medidas de seguridad y de
los controles necesarios para delimitar el nivel de
acceso de los usuarios y personal al área de
sistemas, estableciendo los privilegios, modos de
entrada, forma de uso del sistema y otras
características, para el control de los usuarios.
Dígitos verificadores y cifras de control
Es la definición, mediante la programación y las
Es el establecimiento de operaciones aritméticas,
paqueterías específicas de control lógico, de los
controles sumarizados y dígitos de verificación
límites de acceso de los usuarios a los programas
matemática de los datos que se capturan y se
institucionales, paqueterías y herramientas de
procesan en el sistema, con el propósito de
desarrollo, de acuerdo con la importancia del
mantener la confiabilidad de estos últimos.
software e información que pueden manejar.

Controles para el seguimiento de las secuencias y

rutinas lógicas del sistema
Palabras clave de acceso Se establecen para controlar las rutinas de
Es el control que se establece por medio de procesamiento y las secuen-
palabras clave (contraseñas) para el acceso y uso cias lógicas del sistema operativo, de los
de los programas y archivos de información. lenguajes de programación y de las paquete-
rías especializadas que permiten el manejo de los
sistemas.
Controles para la seguridad de las bases de datos
El activo más importante de cualquier empresa es la información que se captura, por ende estos controles ayudan a
proteger las bases de datos de la empresa, por medio de controles especiales y medidas preventivas y correctivas.

•Los controles establecidos por medio
de programación, del sistema operativo,
de lenguajes y paqueterías o de
programas de desarrollo y aplicación,
• Es la implementación de los
ayudan a proteger la información
contenida en los archivos del sistema,
ya que sólo el usuario autorizado tiene
acceso a ella.
Programas de protección
para impedir el uso
inadecuado y la alteración de
datos de uso exclusivo.
Respaldos periódicos de
información
• Es la elaboración, implementación y
seguimiento de planes para prevenir
contingencias y riesgos que se pueden
presentar en el manejo de información de
la empresa; dichos planes se establecen
planes y programas de respaldo
con el propósito de salvaguardar las
de la información de las bases de bases de datos de la institución.
datos, de la información de cada
usuario, la de las diferentes áreas
o de toda la institución, según sea
el caso.
Planes y programas para
prevenir contingencias y
recuperar información
Control de accesos a las bases de datos

• Es el establecimiento de los controles administrativos y del

propio sistema por medio de los cuales se limita el acceso de
usuarios no autorizados a las bases de datos; con estos
controles también se establecen en forma específica el
acceso a las bases de datos.

Rutinas de monitoreo y evaluación de

operaciones relacionadas con las bases de datos
• Es el establecimiento de las rutinas y procedimientos de
monitoreo de la información de las bases de datos, a fin de
evaluar su manejo y uso.
 Controles para la seguridad en la operación de los sistemas computacionales
Controles y medidas preventivas para evitar accidentes, actos dolosos premeditados o negligencias que repercutan en la operación y
funcionamiento del sistema o en la emisión de resultados del procesamiento de la información.

• Se establecen en función a las

Controles características del hardware,
software, periféricos y demás
específicos para componentes asociados del
sistema para su buen

Controles para Controles para el Controles para la la operación de la funcionamiento y para la

protección de las operaciones que
los procesamiento de emisión de computadora se realizan en el mismo.

procedimientos información resultados

de operación •medidas de •Controles que se
seguridad necesarias establecen para • Medidas de seguridad y
•Son métodos y protección, internas y externas,
para controlar la asegurar la oportuna,
procedimientos que
entrada de datos al confiable y eficiente
Controles para el que se adoptan en el área de
ayudan en la correcta sistemas para el almacenamiento
operación de los sistema, así como emisión de los almacenamiento de la información contenida en las
bases de datos, así como de los
para vigilar su resultados del
sistemas.
procesamiento y la procesamiento de de información programas, lenguajes, y
paqueterías
emisión de sus datos, así como para
resultados; el la correcta
propósito es evitar administración y
alteraciones, control en • Establecimiento de los
modificaciones, distribución, respaldo reportes de fallas, bitácoras
duplicidad o adición y resguardo de dichos Controles para el de mantenimiento
preventivo y correctivo que
de datos. resultados.
mantenimiento permiten valorar las
incidencias sobre el

del sistema
funciona miento de los
sistemas de información, de
sus periféricos y demás
equipos asociados.
Controles para la seguridad del personal de informática
En el área de sistemas de una empresa, el personal informático y los usuarios del sistema también conforman el activo más importante, debido a
que es el que demanda, analiza, diseña e implementa los sistemas de la empresa; además opera, procesa, emite, almacena y custodia su
información.

Controles administrativos de personal

Seguros y fianzas para el personal de sistemas

Establecimiento de controles y
aspectos normativos,
administrativos y disciplinarios de
la empresa para el manejo del
personal, como de sus sueldos y
prestaciones, derechos y
obligaciones, entrada, salida y
cumplimiento de las jornadas de
trabajo de dicho personal.
Establecimiento de las medidas
preventivas para asegurar la vida y
la salud de los trabajadores y
usuarios del área de sistemas de
una empresa.
Planes y programas de capacitación
Planes, programas y eventos de
capacitación tanto para el
personal del área como para los
usuarios del sistema, con el fin de
utilizar correctamente los
sistemas, su información y sus
archivos.
Controles para la seguridad en la telecomunicación de
datos
• Es el establecimiento de protocolos de comunicación, contraseñas y
medios controlados de transmisión, hasta la adopción de medidas de
verificación de transmisión de la información, las cuales pueden ser
dígitos verificadores, dígitos de paridad, protocolos de acceso a
frecuencias.

Controles para la seguridad en sistemas de redes y

multiusuarios
• Es el establecimiento de estos controles para la seguridad en sistemas
de redes y sistemas multiusuarios de una empresa.
• Se debe adaptar a los constantes cambios tecnológicos que buscan
garantizar la seguridad en el funcionamiento de las propias redes, de
sus programas de uso colectivo, de sus archivos de información y de
sus demás características.