Auditoria de Sistemas

Informáticos
Controles de la Tecnología de la Información
 LOGRO DE APRENDIZAJE DE LA SESIÓN

Conocer los principales controles de TI que deben de tener las instituciones

y organizaciones empresariales que tenga implementados recursos
informáticos y plataformas tecnológicas para las operatividad y continuidad
del negocio de las mismas.
¿Por qué son importantes las TI en las empresas?

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”.
¿Qué relación existe entre TI , transformación digital
y modelo de negocio?

En la modalidad virtual participamos a través del chat, para ello usamos la opción “Levantar la mano”.
Controles Internos

 Están constituidos por : Políticas, procedimientos, practicas y

estructuras organizacionales, implementadas para reducir los
riesgos de la organización
 Los controles pueden ser manuales o automáticos.
 Se pueden clasificar como: Preventivos, Detectivos y Correctivos.

Controles Preventivos
Evitan que ocurran un error, omisión o acto malicioso. Ejemplo:
Control de acceso al centro de datos
Controles Internos

Controles Detectivos
Detectan e informan la ocurrencia de un error. Ejemplo: Revisión de
los registros de eventos log.

Controles Correctivos
Corrigen errores que surgen de un problema. Ejemplo:
Procedimientos de respaldo de backup.
 Controles Generales
 Incluyen políticas, procedimientos, practicas, tareas y actividades
que son establecidos por la gerencia para proveer una certeza
razonable de que se alcanzaran los objetivos específicos de la
organización.
 Los controles generales son aplicables a todas las áreas de la
organización, incluyendo infraestructura y servicios de soporte de
TI.
 Controles Generales de TI

 El propósito de los controles generales de TI es: Establecer un

marco conceptual de control general sobre las actividades del
sistema informático y asegurar razonablemente la consecución de
los objetivos de control interno.
 Los controles generales están inmersos en los procesos y servicios
de TI como lo son:
 Desarrollo de sistemas
 Administración de cambios
 Acceso a programas y datos
 Operaciones de computo
 Controles Generales de TI

 Los controles incluidos en las aplicaciones de los procesos de

negocio se conocen por lo general como “Controles de aplicación”
y procuran integridad, disponibilidad, precisión, validez,
autorización y segregación de funciones.
 Cada control general puede ser traducido a un control especifico de
sistemas de información.
 Un sistema bien diseñado debería contar con controles integrados
en si mismo para todas sus funciones sensitivas o criticas
 El procedimiento general para asegurar la adecuada custodia del
acceso a los activos e instalaciones puede traducirse en un
conjunto de procedimientos de control relacionados
con sistemas de información.
 Controles Generales de TI

 Que abarquen controles de accesos a los programas de

computación, dados y equipos informáticos.
 El auditor de sistemas debería entender los objetivos básicos de
control que existen para todas las funciones.
 Ejemplos de controles generales de TI
 Procedimientos de creación o alta de usuarios.
 Procedimiento de desactivación o bajas de usuarios.
 Monitoreo de superusuarios
 Segregación de funciones
 Seguridad plataforma sistema operativo
 Seguridad de base de dato
 Controles Generales de TI

Los procedimientos de control de sistemas de información incluyen:

 Estrategia y dirección de las funciones de TI.
 Organización general y gestión de las funciones de TI.
 Acceso a los recursos de TI, incluyendo datos o programas.
 Metodología de desarrollo de sistemas y control de cambios
 Procedimiento de operaciones.
 Programación de sistemas y funciones de soporte técnico.
 Procedimiento de aseguramiento de calidad.
 Controles de acceso físico.
 Planificación continuidad del negocio (BCP)/
Recuperación den de desastre (DRP)
 Controles Generales de TI

 Redes y comunicaciones
 Administración de bases de datos
 Protección y mecanismos de detección contra ataques internos y
externos.
 La auditoria de los controles generales de TI puede incluir las
siguientes revisiones:
 Controles sobre cambios o programas
 Controles sobre operaciones de computo
 Controles sobre acceso a programas y datos.
 Validación de la seguridad de plataforma
 Validación de seguridad de base de datos
 Controles sobre desarrollo de programas.
 Controles Generales de TI

Para realizar auditoria en uno de estos dominios.

 El auditor de sistemas debe entender primero como es el proceso a

través de reuniones con el personal correspondiente.
 En este caso que el dueño del proceso y analizando la
documentación disponible como políticas o procedimientos,
incluyendo informes de auditoria anteriores, en caso de que exista
alguna, entendido el proceso se deben identificar los riesgos
existentes e identificar los controles implementados para mitigar
dichos riesgos.
 Controles Generales de TI

Para realizar auditoria en uno de estos dominios.

En caso de no existir controles para algún riesgo Identificado por el
auditor debemos de buscar referencias de mejores practicas para
formular una recomendación basada en sugerencia de marcos de
mejores practicas como :
NIST(National Institute of Standards and Tecnology
COBIT 5
ISO 27001, etc.
Necesarios para el proceso auditado también podemos utilizar esta
referencia para validar si los controles existentes son suficientes para
mitigar dichos riesgos o existen algunos otros controles
Sugeridos que pueden ser implementados.
 Controles Generales de TI

Para realizar auditoria en uno de estos dominios.

 Al analizar las políticas y procedimientos podemos realizar una

auditoria de cumplimiento es decir podemos validar que se cumpla
con los pasos y directrices que fueron formalmente documentados
 Controles de la Tecnología de la Información

 Los controles generales se enfocan a la organización general del

área y a las funciones de quienes intervienen en el desarrollo de
sistemas; esto es, el medio ambiente en que se desarrollan los
sistemas.
 Los controles de aplicación o específicos se refieren a los
establecidos en la operación del computador que incluye la
entrada, el proceso y la salida de datos, o sea, que todos los datos
se procesan una sola vez oportunamente (entrada), sujetos a un
proceso de validación (proceso) y que sean la base para producir
información confiable y completa (salida).
 Controles de la Tecnología de la Información

Todo lo anterior se traduce en vigilar, entre otros aspectos, los siguientes:

. Administración de la tecnología de información.

• Seguridad física y lógica.
• Continuidad del negocio.
• Administración de cambios.
• Desarrollo de sistemas.
• Pruebas especificas de control interno.

Cuando se tiene TI en la propia empresa, la revisión del estudio y

evaluación de control interno, deberá dirigirse principalmente a los
siguientes aspectos:
 Controles de la Tecnología de la Información
Pre-instalación
Se refiere al estudio de viabilidad y selección de equipo que debe
(o que debió) efectuarse previo a la adquisición de
un equipo de cómputo,
así como el acondicionamiento físico y medidas de seguridad en
el área donde se localiza el equipo y a la capacitación de perso
nal y adquisición o desarrollo de sistemas.

Organización del departamento de TI

Comprende la correcta estructura organizacional del departamento,
principalmente la adecuada segregación de labores,
la definición de políticas, funciones y responsabilidades,
así como la asignación de personal competente.
 Controles de la Tecnología de la Información

Control del desarrollo de sistemas

Se debe contar con estudios preliminares que justifiquen las aplicaciones,
así como con definición de los estándares para el diseño, programación,
prueba y mantenimiento de los sistemas.
Estos estudios y los estándares definidos por la empresa deben quedar
documentados adecuadamente.
Control de la documentación
Necesidad de que todos los programas,
la operación y los procedimientos relativos estén adecuadamente
documentados y actualizados.
Es conveniente que se tenga un respaldo actualizado de esta
documentación fuera de las instalaciones del centro de cómputo,
así como la historia de los cambios efectuados.
 Controles de la Tecnología de la Información

Control de la operación

Comprende la creación de un medio ambiente que garantice efectividad en

la producción de la sección de operaciones y proporcione la seguridad física
suficiente sobre los registros que se mantienen en el centro de cómputo, así
como el establecimiento de controles adecuados que eviten el acceso de
personal no autorizado.
 Controles de la Tecnología de la Información

Controles de aplicación o específicos

Controles de entrada
Asegurar que toda la información que vaya a ser procesada por el c
omputador esté completa y correcta y que existan controles adecuado s
para el manejo de información rechazada (revisión, corrección, previsión y
oportuna reentrada en TI).

Controles de proceso
Asegurar la exactitud del proceso de la información por el computador.
 Controles de la Tecnología de la Información

Controles de aplicación o específicos

Autorización y controles de salida

Asegurar que toda la información que se procesa está debidamente
autorizada y que existen controles sobre el acceso al computador, ya sea
para obtener información o para modificarla por alguna transa cción, sobre
todo cuando es a través de sistemas en línea o
de teleproceso distribuido (terminales remotas),
puesto que únicamente personal autorizado debe tener acceso a los
datos e informes de TI y que los cambios a los archivos sean autori
zados únicamente por el personal designado.
 Controles de Implementación
El plan de implementación estará sujeto a las instrucciones de la evaluación
dadas por la gerencia , así como el objetivo y alcance a desarrollar, por ello
el auditor de sistemas debe considerar antes de realizar la evaluación los
siguientes elementos para su aplicación:

 planeación,
 factores del entorno,
 supervisión,
 solicitud de requerimientos,
 programas de auditoría,
 papeles de trabajo,
 memorando e informe y
 seguimiento.
 Actividad

Proponga 6 controles para el departamento de TI.

“La tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
Conclusiones

Participación de los estudiantes