Control Interno Informático Jorge Fernando

Cruz
Contenido:
2.1. Terminología, elementos del control interno. Tipos de control interno
informático.

2.2. Riesgos y amenazas Informáticas. Normas de control Interno

para el área de sistema informáticos

2.3. Estándares, certificación (ISO, COBIT, ITIL)

2.4. Implantación de un sistema de control interno

informático
¿ Qué es el Control Interno?
Control Interno
Es un proceso realizado por una organización para proporcionar un grado
de seguridad razonable respecto al logro de sus objetivos:

• eficacia y eficiencia de las operaciones,

• fiabilidad de la información y

• cumplimiento de las leyes y normas aplicables.

Control Interno

Sistema integrado por el esquema de organización y el

conjunto de los planes, métodos, principios, normas,
procedimientos y mecanismos de verificación y
evaluación, con el fin de procurar que todas las actividades,
operaciones y actuaciones, se realicen de acuerdo con las
normas legales dentro de las políticas trazadas por la
dirección y en atención a las metas u objetivos previstos.
Objetivo del Control Interno en las Empresas

Resguardar los recursos de la empresa o negocio evitando

pérdidas por fraude o negligencia, como así también detectar las
desviaciones que se presenten en la empresa y que puedan afectar
al cumplimiento de los objetivos de la organización.
Objetivo del Control Interno en las Empresas
Importancia del Control

 Aumenten la productividad del

negocio.
 Permitirá alimentar el sistema
de información y ayudar a la
adecuada toma de decisiones.
 Disminuye la ocurrencia de
errores  y fraude en la
información
 Generarán un impacto positivo
en su negocio, pudiendo
inclusive atraer a inversionistas
Finalidad del Control

Prevenir, detectar,
Fortalecer el
Coadyudgar el controlar y evaluar Generar una
cumplimiento de Transparentar el
cumplimiento de los riesgos que adecuada
leyes y ejercicio de las
las metas y pueden afectar el rendición de
disposiciones función
objetivos logro de objetivos cuentas
normativas
y metas
¿Quiénes son los responsables del Control
Interno?

Todo el personal:
Estratégico, Directivo y Operativo

El Control Interno debe de convertirse en una parte de la cultura organizacional

¿ Qué es el Control Interno
Informático?
Control Interno Informático

Cualquier actividad o acción realizada manual y/o

automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus
objetivos.
(Auditoría Informática -Un Enfoque Práctico –
Mario G. Piattini)
Control Interno Informático

Sistema integrado al proceso administrativo, en la planeación,

organización, dirección y control de las operaciones con el objeto
de asegurar la protección de todos los recursos informáticos y
mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.
(Auditoría Informática – Aplicaciones en Producción – José Dagoberto Pinilla)
Control Interno Informático

Controla diariamente que todas las

actividades de los sistemas de información
sean realizadas cumpliendo los
procedimientos, estándares y normas
fijados por la dirección de la organización
y/o la dirección informática, así como los
requerimientos legales.
Control Interno Informático de Sistemas

“ Asegura la confidencialidad,
integridad, disponibilidad y
eficacia de los sistemas
informáticos
“ a través de
mecanismos o actividades de
control.
Beneficios Control Interno Informático

Prevenir errores de operaciones por seguir un control

adecuado en sus actividades;

Previene manipulación fraudulenta de la información

Implementa seguridad en sus operaciones y mantiene la confiabilidad,

oportunidad y veracidad en el procesamiento de la información en dicha
empresa.
Función Departamento Informática
Objetivo

Controlar que todas las actividades

relacionadas a los sistemas de información
automatizados se realicen cumpliendo las
normas, estándares, procedimientos y
disposiciones legales establecidas interna y
externamente
Control Interno Informático
Funciones Específicas

 Difundir y controlar el cumplimiento de las normas, estándares y procedimientos

al personal de programadores, técnicos y operadores.
 Diseñar la estructura del Sistema de Control Interno de la Dirección de
Informática en los siguientes aspectos:
o Desarrollo y mantenimiento del software de aplicación.
o Explotación de servidores principales
o Software de Base
o Redes de Computación
o Seguridad Informática
o Licencias de software
o Relaciones contractuales con terceros
o Cultura de riesgo informático en la organización
o Control interno informático (áreas de aplicación)
o Controles generales organizativos
¿ Cuáles son los objetivos
Control Interno Informático?
OBJETIVOS PRINCIPALES DEL CONTROL
INTERNO INFORMÁTICO
• Controlar que todas las actividades se
realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse
del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoria

informática, así como de las auditorias externas
al grupo.

• Definir, implantar y ejecutar mecanismos y

controles para comprobar el logro del servicio
informático.
Control Interno Informático – Auditor
Informático
SIMILITUDES

 Personal interno.
 Conocimientos especializados en Tecnología de la Información.
 Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la
Dirección de Informática y la Dirección General para los sistemas de información.

DIFERENCIAS

 Análisis de los controles en el día a día.  Análisis de un momento informático determinado

 Informa a la Dirección del Departamento
de Informática.
 Sólo personal interno.
 El alcance de sus funciones es únicamente
sobre el Departamento de Informática.
 Informa a la Dirección General de la
Organización.
 Personal interno y/o externo.
 Tiene cobertura sobre todos los componentes de
los sistemas de información  de la Organización.
Controles Informáticos
Control Interno Informático
Áreas de Aplicación

 Controles generales organizativos.

 Controles de desarrollo, adquisición y mantenimiento de sistemas

de información.
 Controles de explotación de sistemas de información.

 Controles en aplicaciones.

 Controles en sistemas de gestión de base de datos

 Controles informáticos sobre redes

 Controles sobre computadores y redes de área local

Control Interno Informático
Áreas de Aplicación

 Controles generales organizativos.

Son la base para la planificación, control y evaluación por
la Dirección General de las actividades del Departamento
de Informática.

 Plan Estratégico de Información realizado por el

Comité de Informática.
 Plan Informático, realizado por el Departamento de
Informática.
 Plan General de Seguridad (física y lógica).
 Plan de Contingencia ante desastres.
Control Interno Informático
Áreas de Aplicación
 Controles actividades productivas:
• El cumplimiento de procedimientos, normas y controles
dictados.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informático.
• Controles en las redes de comunicación
• Controles sobre el software de base
• Controles en los sistemas microinformáticos
• La seguridad informática
• Usuarios, responsables, perfiles , archivos, base de datos
• Normas de seguridad. Control información clasificada.
• Control dual de la seguridad informática
• Asesorar y trasmitir cultura sobre el riesgo informático
Controles internos en un Sistema de
Información (SI)
Estos deben permitir alcanzar la eficiencia del
sistema económico e integridad de los datos,
protección de los recursos y cumplimiento de las
leyes y regulaciones.
• Metodología del ciclo de vida para el desarrollo de
sistemas.
• Explotación y mantenimiento
Tipos de Controles Internos
Informático
Tipos de control interno informático:

Según el ambiente informático

• Controles manuales
• Controles automáticos

Según su finalidad
• Controles preventivos
• Controles detectivos
• Controles correctivos
• Controles lógicos
• Controles físicos
TIPOS DE CONTROLES

Controles Manuales
• Aquellos que son ejecutados por
usuarios o el personal informática sin la
utilización de herramientas
computacionales

Controles Automáticos
• Son generalmente los incorporados en el
software, llámese estos de operación,
de comunicación, de gestión de base de
datos, programas de aplicación, etc.
Tipos de Controles Informáticos
Controles Preventivos
• Tratar de evitar o prevenir una acción
• Ejemplo: Software de seguridad evita los accesos no autorizados.

Controles Detectivos
• Cuando fallan los preventivos para tratar de conocer antes el
evento.
• Ejemplo: Registro de intentos de acceso no autorizado

Controles Correctivos
• Facilitan la vuelta a la normalidad cuando se han producido fallas
• Ejemplo: Recuperación de una archivo dañado a partir de las
copias de seguridad.
Tipos de Controles Informáticos

Controles Lógicos
• Basados en un software o parte de él
• Permiten, identificar los usuarios de ciertos datos y/o recursos. Hacer una
clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.
• Restringir el acceso a datos y recursos de los sistemas. Establecer los
permisos por tipo de usuario
• Producir pistas para posterior auditorías. Todos los movimientos hechos por
los usuarios deben ser registrados y guardados a modo de historia de lo que
ocurrió.

Controles Físicos
• Controles y mecanismos de seguridad dentro y alrededor de centros de
cómputo.
• Medios de acceso remoto implementados para proteger el hardware y
medios de almacenamiento de datos.
Ejemplos controles:
¿ Elementos Control Interno
Informático?
Elementos del Control Interno

Entrada de
Organización Análisis y datos, Seguridad del
Operación de
del área de desarrollo de procesamient área de
sistemas
informática sistemas o y salida de sistemas
información
Elementos del Control Interno

Recopilación de
Establecimiento Comparación y
los resultados Retroalimentaci
de estándares y evaluación de
obtenidos y ón a los planes
mecanismos de los resultados
análisis de la y programas
medición alcanzados
información
Elementos del control interno

De organización área informática

• Dirección
• Coordinación
• Asignación de responsabilidades
Elementos del control interno

De procedimientos
• Planeación y sistematización
• Registros y formas
• Informes
Elementos del control interno

De personal
• Entrenamiento
• Eficiencia y eficacia
• Moralidad
• Retribución
Elementos del control interno

De supervisión
• Revisión para precisar
• Pérdidas y deficiencias
• Mejores métodos
• Mejores formas de control
• Operaciones más eficientes
• Mejor uso de los recursos físicos y
humanos
Elementos del control interno: ÁREA DE
SISTEMAS

Seguridad en el área
de sistemas
Procedimientos de
entrada,
Análisis, desarrollo e procesamiento y
implementación de resultados
Sobre la organización sistemas
del área de
informática
Controles para manejar la seguridad de los
Sistemas:
Control de acceso físico del personal al
área de computo

Control de acceso al Sistema a las

bases de datos, a los programas y a la
Identificación de riesgos. Elaboración información
de planes de contingencia, simulacros
bitácoras de seguimiento Controles para
prevenir y
evitar
amenazas,
riesgos y Uso de niveles de privilegios para
contingencias acceso, de control de palabras y
control de usuarios

Existencia de manuales e instructivos,

así como difusión y vigilancia de
cumplimiento Monitoreo de acceso de usuarios,
información y programas de uso
 Controles para manejar la seguridad de los
Sistemas:

Controles para el seguimiento de las Controles

secuencias y rutinas lógicas del
sistemas
para la
seguridad
lógica de los Controles para el acceso al Sistema a
sistemas los programas y la información

Palabras claves de acceso

Establecimiento de niveles de acceso

Dígitos verificadores y cifras de

control
Controles para manejar la seguridad de los Sistemas:
Operación Sistemas computacionales

Controles para los procedimientos de

operación

Controles para el mantenimiento del

sistema

Controles para el procesamiento de

información

Controles para el almacenamiento de la

información

Controles para la emisión de resultados

Controles para manejar la seguridad de los
Sistemas:

Inventario de hardware, mobiliario y

equipos.
Controles de acceso del personal al área
de sistemas

Resguardo del equipo de cómputo

Controles para
la seguridad
Control del mantenimiento a
del área física
instalaciones y construcciones
de sistemas

Contratos de actualización, asesoría y

mantenimiento de hardware

Seguros y fianzas para el personal,

equipos y sistemas
Controles para manejar la seguridad de los
Sistemas: Base de Datos

Rutinas de monitoreo y evaluación de

operaciones relacionadas con las Base de Controles
datos
para la
seguridad
Programas de protección para impedir el
uso inadecuado y la alteración de datos de
uso exclusivo

Controles de acceso a las bases de datos

Respaldo periódico de la información

Planes y programas para prevenir

contingencias y recuperación de datos
 Controles para manejar la seguridad de los
Sistemas: Redes y multiusuarios

Controles para evitar modificar la

configuración de una red

Controles parra el mantenimiento y

evaluación

Implementar herramientas de gestión de la

red con el fin de valorar su rendimiento,
lanificación y control
Controles para asegurar la compatibilidad de
un conjunto de datos entre aplicaciones
cuando la red es distribuida

Existencia de un grupo de control de red

 Controles para manejar la seguridad de los
Sistemas:

 Controles administrativos del personal

 Planes y programas de capacitación
 Seguros y fianzas para el personal de
sistemas

Controles de seguridad
del personal de
informática

 Verificación de protocolos de comunicación, Controles de seguridad

contraseñas. Y medios controlados de en Telecomunicaciones
transmisión de datos
 Adopción de medidas de verificación de
trasmisión
Riesgos Informáticos
Riesgos de la información
Terminología:
• Riesgo: Es todo tipo de vulnerabilidades, amenazas que
pueden ocurrir sin previo aviso y producir numerosas pérdidas
para las empresas.

• Riesgo Informático: Son exposiciones tales como atentados y

amenazas a los sistemas de información.

• Amenaza: Un incidente nuevo o recién descubierto que tiene

el potencial de dañar un sistema o una empresa en general.

• Vulnerabilidad: Es una debilidad o fallo en un sistema de

información que pone en riesgo la seguridad de la
información, pudiendo comprometer la integridad,
disponibilidad o confidencialidad de la misma
Terminología:

• Seguridad: Es una forma de protección contra los riesgos.

• Información: Se refiere a los datos que han sido procesados

y comunicados de tal manera que pueden ser entendidos e
interpretados por el receptor.

• Control: Medidas, normas y procedimientos que se

disponen para proteger los recursos contra las amenazas a
que están expuestos y contra los riesgos que éstas podrían
generar.
Tipos de Amenazas:

A) Amenazas B) Amenazas
Humanas lógicas

Software malicioso
Hackers: Ataques Vulnerabilidades Software
pasivos
Obtener
información sin
alterarla
C) Amenazas
Crackers: Ataques físicas
activos
Dañar y manipular Fallos dispositivos
información Accidentes
Catástrofes
naturales
Riesgo Informático

En la actualidad gracias a la infinidad de posibilidades que se tiene

para tener acceso a los recursos de manera remota y al gran
incremento en las conexiones a la internet los delitos en el ámbito de
TI se han visto incrementado, bajo estas circunstancias los riesgos
informáticos son más latentes.

Venta de Destrucción de
Fraudes. Falsificación.
información. la información.
Riesgos Sistema Informático

Conjunto de factores que ponen en peligro la integridad, la

operatividad o la privacidad de la operación.

Clasificación según su origen:

• Ruido • Códigos • Factores de • Sabotaje

• maliciosos organización • Robo
Temperatura • Efectos adversos
• Presión • Piratería desarrollo,
• Iluminación • Spam adquisición y
• Ingeniería social mantenimiento

Físicos Lógicos Técnicos Humanos

Riesgos de la Seguridad de la Información

Para poder garantizar la SEGURIDAD DE LA INFORMACIÓN de

una empresa hace falta que se CUMPLAN LOS PRINCIPIOS
conocidos como “triada CID”

• Impide que la información sea divulgada a personas,

entidades o sistemas no autorizados
Confidencialidad • Acceder aquellas personas que cuenten con la debida
autorización y de forma controlada.

• Busca proteger la exactitud de la información, evitar que

sufra modificaciones no autorizadas.
Integridad

• Garantiza que la información sea accesible y usable bajo

demanda de un usuario autorizado
Disponibilidad • Disponible en todo momento, evitando interrupciones del
servicio por cortes de electricidad, fallos de hardware, etc.
Riesgos de la Seguridad de la Información

Permiso de administrador en el ordenador

Correos maliciosos o no deseados

No realizar copias de seguridad

Buen uso de las contraseñas

Uso de aplicaciones de almacenamiento on-line

Riesgos para la información

HACKER

CRACKER

LAMMER

COPYHACKER

BUCANEROS

PHREAKER

NEWBIE
Seguridad informática – Seguridad de la
Información
SEGURIDAD DE LA INFORMACIÓN son
todas aquellas medidas preventivas y reactivas
del hombre, de las organizaciones y de los
sistemas tecnológicos que permitan resguardar
y proteger la información buscando mantener la
confidencialidad, la autenticidad e integridad
de la misma.

El concepto de SEGURIDAD DE LA
INFORMACIÓN no debe ser confundido con el
de SEGURIDAD INFORMÁTICA, ya que este
último sólo se encarga de la seguridad en el
medio informático, pudiendo encontrar
información en diferentes medios o formas.
Centro de Computo
Riesgos
Centro de cómputo

Representa una entidad dentro de la organización, la cual tiene

como OBJETIVO satisfacer las necesidades de información de
la empresa, de manera veraz y oportuna.

Su FUNCIÓN primordial es apoyar la labor administrativa

para hacerla más segura, fluida, y así simplificarla.
Riesgos en el centro de cómputo

Factores físicos:

 Cableado.
 La iluminación
 El aire de renovación o
ventilación
 Las fuentes de alimentación
Riesgos en el centro de cómputo

Factores ambientales:

 Incendios.
 Inundaciones.
 Sismos.
 Humedad
RIESGOS EN EL CENTRO DE CÓMPUTO

Factores humanos

 Robos.
 Actos vandálicos.
 Actos vandálicos contra el sistema de red
 Fraude.
 Sabotaje.
 Terrorismo
Fases para el análisis del Riesgo
El manejo de riesgos
El manejo de riesgos dentro de la
seguridad en la información
• Comprometerse a no realizar la acción que origine elriesgo
Evitar • Técnica tiene más desventajas que ventajas
• La empresa podría abstenerse de aprovechar muchas
oportunidades

Reducir
• La alternativa puede ser su reducción hasta el nivel más bajo
posible
• Se consigue optimizando los procedimientos, la
implementación controles y su monitoreo constante

• La voluntaria se caracteriza por el reconocimiento de la existencia

Aceptar del riesgo y el acuerdo de asumir las perdidas involucradas, esta

decisión se da por falta de alternativas
• La retención involuntaria se da cuando el riesgo es
retenido inconscientemente.

• Buscar un respaldo y compartir el riego con otros controles o

Transferir entidades.
• Esta técnica se usa ya sea para eliminar un riego de un lugar y
transferirlo aotro, o para minimizar el mismo, compartiéndolo
con otras entidades.
Metodologías que ayudan en el proceso
de revisión de riesgos informáticos
Metodología:

Evaluación que se basa en riesgos y planeación técnica de seguridad computacional.

Octave
Es un proceso interno de la organización, significa que las personas de la empresa tienen la
responsabilidad de establecer la estrategia de seguridad

La evaluación se basa en el conocimiento del personal de la empresa para capturar el estado actual
de la seguridad

Está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la
práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones

El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc., lleva a
cabo la evaluación,

Metodología y gobierno de la gestión de riesgo de TI

Metodología:

La CSAE (Consejo Superior de Administración Electrónica) promueve la utilización de esta metodología

Magerit como respuesta a la creciente dependencia de las empresas para lograr sus objetivos de servicio.

Se conocerá el nivel de riesgo actual de los activos

Se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.

Ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación,
confidencialidad, integridad y disponibilidad de los sistemas de información.

Las fases que contempla el modelo MAGERIT son: 1. Planificación del Proyecto; 2. Análisis de Riesgos;
3. Gestión de Riesgos :

MAGERIT: metodología práctica para gestionar riesgos

Evidencias
Evidencia
• La evidencia es la base razonable de la
opinión del auditor informático, es decir el
informe de Auditoria Informática.

• El auditor obtendrá la certeza suficiente y

apropiada a través de la ejecución de sus
comprobaciones de procedimientos para
permitirle emitir las conclusiones sobre las
que fundamentar su opinión acerca del
estado del sistema de Informático.
Calificativos de las evidencias

La Evidencia Relevante

La Evidencia Fiable

La Evidencia Suficiente

La Evidencia Adecuada
Métodos para la obtención de evidencias

INSPECCIÓN

OBSERVACIÓ

PREGUNTAS

CONFIRMACIÓN

CÁLCULOS
Métodos de evaluación del control interno
informático

Descripciones
Narrativas

Cuestionarios Diagramas de
especializados flujo
Pruebas sustantivas – Pruebas cumplimiento

Pruebas sustantivas
Verifican el grado de confiabilidad del SI del organismo.
Se suelen obtener mediante observación, cálculos,
muestreos, entrevistas, técnicas de examen analítico,
revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.

Pruebas cumplimiento
Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona
evidencias de que los controles claves existen y que son
aplicables efectiva y uniformemente.
Estándares, certificación: ISO,
COBIT e ITIL
ISO

Corresponde al acrónimo
International Standard
Organization. Son normas y
estándares internacionales diseñados
para ser aplicadas en el desarrollo de
productos y servicios que deben usar
las empresas para mejorar su
eficiencia y rentabilidad económica.
ISO más DESTACADAS

ISO 9000 ISO 22000

calidad Seguridad y salud

ISO

ISO 31000 ISO 20000

Gestión de Riesgos Tecnologías de laa
Información
Pros y Contra normas ISO – departamento IT
COBIT

COBIT corresponde a las siglas en inglés

Control Objectives for Information and
related Technology. Son un conjunto de
herramientas orientadas a garantizar el
control y seguimiento de gobernabilidad
de Sistemas de Información a largo plazo
a través de auditorías.

Cobit 5 está enfocado en el gobierno

empresarial de las tecnologías de
información, a diferencia de su antecesor,
enfocado principalmente al gobierno de TI
COBIT 5 - ¿Qué integra?

Integra: Val IT, Risk IT, BMIS (Business

Model for Information Security) e ITA (IT
Assurance Framework), desarrollados y
publicados por ISACA.
Además de considerar para sus procesos
otros estándares internacionales, mejores
prácticas y marcos de referencia como
COSO, ISO-9000, ISO-31000, ISO-38500,
ITIL, TOGAF y la familia ISO-27000, entre
otros.
COBIT 5 – Áreas que presentan cambios

Dominio “Evaluar, dirigir y

Cinco Principios monitorear”.

Modelo de referencia de
procesos Modelo de madures de
procesos
COBIT 5 - DOMINIOS y PROCESOS
Evaluar, Dirigir y Monitorear: Dominio de gobierno de TI – (EDM)
Alinear, Planear y Organizar –
(APO)
Busca cómo hacer el mejor uso de
las tecnologías para que la
empresa logre sus objetivos.
COBIT está
estructurado según 37 Entrega, Dar Servicio y
Soporte – (DSS)
procesos agrupados en
estos 5 dominios Garantiza la efectividad y
eficiencia de los sistemas
tecnológicos en acción.
Construir, Adquirir e Implementar
– (BAI)
Define, adquiere, ajusta e implementa
las tecnologías necesarias en línea con
los procesos de negocios de la empresa
Monitorear, Evaluar y Valorar
– (MEA)
Vigila que la solución
implementada corresponda a las
necesidades de la empresa desde
una perspectiva estratégica.
MODELO COBIT 5 – DOMINIOS y OBJETIVOS
COBIT 5: Dominios de Gobierno

Evaluar, Orientar y Supervisar

(EDM)
EDM01.
Asegurar el
EDM05.
establecimiento EDM02. EDM03. EDM04.
Asegurar la
y Asegurar la Asegurar la Asegurar la
transparencia
mantenimiento entrega de optimización del optimización de
hacia las partes
del marco de beneficios riesgo recursos
interesadas
referencia de
gobierno
COBIT 5: Dominios para la Gestión TI

Alinear, Planear y Organizar

(APO)

APO01. Gestionar APO03.  Gestionar

APO02. Gestionar APO04. Gestionar APO05. Gestionar
el Marco de la Arquitectura
la Estrategia la Innovación el Portafolio
Gestión de TI: Empresarial
COBIT 5: Dominios para la Gestión TI

Alinear, Planear y Organizar

(APO)

APO07.
APO06 Gestionar AP009. Gestionar
Gestionar los AP008. Gestionar
el Presupuesto y los acuerdos de
Recursos las relaciones
los Costes servicio
Humanos
COBIT 5: Dominios para la Gestión TI

Alinear, Planear y Organizar

(APO)
APO10.
Gestionar APO11. APO12 APO13.
los Gestionar la Gestionar el Gestionar la
Proveedore Calidad Riesgo Seguridad
s
COBIT 5: Dominios para la Gestión TI

Construir, Adquirir e
Implementar (BAI)
BAI03.
BAI04. BAI05.
BAI01. BAI02. Gestionar la
Gestionar la Gestionar la
Gestión de Gestionar la Identificación
Disponibilida Facilitación
Programas y Definición de y
d y la del Cambio
Proyectos Requisitos Construcción
Capacidad Organizativo
de Soluciones
COBIT 5: Dominios para la Gestión TI

Construir, Adquirir e
Implementar (BAI)
BAI03.
BAI04. BAI05.
BAI01. BAI02. Gestionar la
Gestionar la Gestionar la
Gestión de Gestionar la Identificación
Disponibilida Facilitación
Programas y Definición de y
d y la del Cambio
Proyectos Requisitos Construcción
Capacidad Organizativo
de Soluciones
COBIT 5: Dominios para la Gestión TI

Construir, Adquirir e
Implementar (BAI)
BAI07.
BAI06. Gestionar la BAI08. BAI09. BAI10.
Gestionar los Aceptación Gestionar el Gestionar los Gestionar la
Cambios del Cambio y Conocimiento Activos Configuración
la Transición
COBIT 5: Dominios para la Gestión TI

Entregar, Dar Servicio y Soporte

(DSS)

DSS02. Gestionar
DSS01. Gestionar DSS03. Gestionar
Peticiones e Incidentes
Operaciones Problemas
de Servicio
COBIT 5: Dominios para la Gestión TI

Entregar, Dar Servicio y Soporte

(DSS)

DSS06. Gestionar
DSS04. Gestionar la DSS05. Gestionar
Controles de Proceso de
Continuidad Servicios de Seguridad
Negocio
COBIT 5: Dominios para la Gestión TI

Supervisar, Evaluar y Valorar

(MEA)

MEA01. Supervisar, MEA02. Supervisar, MEA03. Supervisar,

Evaluar y Valorar el Evaluar y Valorar el Evaluar y Valorar la
Rendimiento y la Sistema de Control Conformidad con los
Conformidad Interno Requerimientos Externos
Pros y Contra normas COBIT
COBIT 2019 — EL NUEVO MODELO DE GOBIERNO
EMPRESARIAL PARA INFORMACIÓN Y
TECNOLOGÍA
Dar un clic para ir a la información
ITIL

Corresponde a las siglas en inglés Information

Technology Infrastructure Library – Biblioteca
de Infraestructura de Tecnología de la Información.
Es una colección de mejores prácticas para la
administración efectiva de los Sistemas de
Información (SI).

ITIL V3, esta versión se concentra en el ciclo de

vida de un sistema centrado en la red y que luego
abarcará la integración de TI con la alineación de
TI ya que se busca una medición que vaya
orientada al valor.
ITIL V3 – Consta de 6 libros

Introducción a la Estrategia de
Diseño de Servicio
Gestión de Servicio Servicio

Servicio de Servicio continuo

Operación de
Transición (Gestión (Mejora Continua
Servicio
del Cambio) de Servicios
Pros y Contra normas ITIL
Parámetros para elegir ISO – COBIT e ITIL
¿ En qué consiste un Sistema de
Control Interno Informático?
Sistema de Control Interno Informático

¿Qué es? Conjunto de planes, principios,

normas, procedimientos,
sistemas de información,
acciones y actividades.

SCI ¿Cómo funciona?

¿Qué busca?

Alcanzar los objetivos

institucionales de manera eficaz De manera independiente e
y eficiente en cada uno de sus interrelacionada
dependencias o áreas.
Sistema de Control Interno

ES EL CONJUNTO de acciones,
actividades, planes, políticas,
normas, registros,
procedimientos y métodos,
incluido el entorno y actividades
que desarrollan autoridades y su
personal a cargo, CON EL
OBJETIVO de prevenir posibles
RIESGOS que afecten a una
entidad.
Objetivos principales Sistema Control Interno
Controlar todas
las actividades

Asesorar

Colaborar y
apoyar

Definir, implantar
y ejecutar
Beneficios del Control Interno Informático
Componentes Sistema de Control Interno
Componentes – Principios: Sistema de
Control Interno
Componentes – Cobit: Sistema de Control
Interno
Áreas focales del Gobierno de TI
Cobit

Asegura que tanto los procesos de negocios Asegurando que sea tan eficiente y eficaz
como los de tecnología de la información como sea posible.
trabajen en conjunto.

Uso de indicadores que van mucho

más allá de los criterios financieros,
asegura la medición y la evaluación Visualice ampliamente los posibles
precisa de los resultados del riesgos para el negocio y suministra
negocio. formas de minimizarlos.

Asegurar que la gestión de los recursos

humanos y tecnológicos de la empresa
sea lo más optimizada posible.
Implantación de un sistema de
controles interno informático
Funcionamiento del control interno
informático

DIRECCIÓN POLÍTICAS Y
Exigencias DIRECTRICES POLÍTICA
Internas
y
externas
ESTÁNDARES,
PROCEDIMIENTO
, NORMAS Y
COMPROBACIÓN METODOLOGÍAS
Y SEGUIMIENTO CULTURA
DE CONTROLES

IMPLANTAR
PROCEDIMIENTO
S DE CONTROL
Niveles de Control
Esquema Niveles de Control

Normativa Estándares, Políticas

Organización Funciones, procedimientos y planes

Procedimientos de Informática de usuario

control
Hardware y Software
Tecnología de seguridad
Aplicación de los controles internos en la
gestión de SI

Controles en Controles Controles sobre

sistemas gestión informáticos sobre computadores
BD redes y redes LAN
• Garantizar • Diseño • Políticas
entrada, • Instalación de
actualización y • Mantenimiento adquisición
salida, validez • • Instalación
Seguridad
y • Soporte
mantenimiento • Funcionamiento
Técnico tanto
• Integridad Hw como del
• Disponibilidad Sw usuario
• Seguridad • Seguridad datos
Implantación de un sistema de controles
internos informáticos

Gestión de sistemas de información

• Políticas, pautas y normas técnicas
• Base para el diseño y la implantación SI y controles

Administración de sistemas
• Controles de la actividad de centros de datos
• Otras funciones de apoyo (administración de las redes)

Seguridad
• 3 clases de controles implantadas en el software
• Integridad, confidencialidad y disponibilidad

Gestión del cambio

• Separación de las privas y la productividad a nivel de software.
• Controles de procedimientos para la migración de programas
Implantación de un sistema de controles
internos informáticos
EJEMPLO:

Para llega a conocer la configuración del sistema es necesario documentar los

detalles de la red:
• Entorno de red
• Configuración del ordenador base
• Entorno de la aplicación
• Productos y herramientas
• Seguridad del ordenador base
Implementación del SCI Informático
Fase: Planificación
Implementación del SCI Informático
Ejecución
Implementación del SCI Informático
Fase: Evaluación
Bibliografía

Piattinni, G. M &Peso del E.Auditoría Informática. Un enfoque práctico.

Alfaomega
Echenique G. J.A.(2001). Auditoría en Informática.2da.Ed.Mc Graw-Hil