Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cruz
Contenido:
2.1. Terminología, elementos del control interno. Tipos de control interno
informático.
• fiabilidad de la información y
Prevenir, detectar,
Fortalecer el
Coadyudgar el controlar y evaluar Generar una
cumplimiento de Transparentar el
cumplimiento de los riesgos que adecuada
leyes y ejercicio de las
las metas y pueden afectar el rendición de
disposiciones función
objetivos logro de objetivos cuentas
normativas
y metas
¿Quiénes son los responsables del Control
Interno?
Todo el personal:
Estratégico, Directivo y Operativo
“ Asegura la confidencialidad,
integridad, disponibilidad y
eficacia de los sistemas
informáticos
“ a través de
mecanismos o actividades de
control.
Beneficios Control Interno Informático
Personal interno.
Conocimientos especializados en Tecnología de la Información.
Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la
Dirección de Informática y la Dirección General para los sistemas de información.
DIFERENCIAS
Controles en aplicaciones.
Según su finalidad
• Controles preventivos
• Controles detectivos
• Controles correctivos
• Controles lógicos
• Controles físicos
TIPOS DE CONTROLES
Controles Manuales
• Aquellos que son ejecutados por
usuarios o el personal informática sin la
utilización de herramientas
computacionales
Controles Automáticos
• Son generalmente los incorporados en el
software, llámese estos de operación,
de comunicación, de gestión de base de
datos, programas de aplicación, etc.
Tipos de Controles Informáticos
Controles Preventivos
• Tratar de evitar o prevenir una acción
• Ejemplo: Software de seguridad evita los accesos no autorizados.
Controles Detectivos
• Cuando fallan los preventivos para tratar de conocer antes el
evento.
• Ejemplo: Registro de intentos de acceso no autorizado
Controles Correctivos
• Facilitan la vuelta a la normalidad cuando se han producido fallas
• Ejemplo: Recuperación de una archivo dañado a partir de las
copias de seguridad.
Tipos de Controles Informáticos
Controles Lógicos
• Basados en un software o parte de él
• Permiten, identificar los usuarios de ciertos datos y/o recursos. Hacer una
clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.
• Restringir el acceso a datos y recursos de los sistemas. Establecer los
permisos por tipo de usuario
• Producir pistas para posterior auditorías. Todos los movimientos hechos por
los usuarios deben ser registrados y guardados a modo de historia de lo que
ocurrió.
Controles Físicos
• Controles y mecanismos de seguridad dentro y alrededor de centros de
cómputo.
• Medios de acceso remoto implementados para proteger el hardware y
medios de almacenamiento de datos.
Ejemplos controles:
¿ Elementos Control Interno
Informático?
Elementos del Control Interno
Entrada de
Organización Análisis y datos, Seguridad del
Operación de
del área de desarrollo de procesamient área de
sistemas
informática sistemas o y salida de sistemas
información
Elementos del Control Interno
Recopilación de
Establecimiento Comparación y
los resultados Retroalimentaci
de estándares y evaluación de
obtenidos y ón a los planes
mecanismos de los resultados
análisis de la y programas
medición alcanzados
información
Elementos del control interno
De procedimientos
• Planeación y sistematización
• Registros y formas
• Informes
Elementos del control interno
De personal
• Entrenamiento
• Eficiencia y eficacia
• Moralidad
• Retribución
Elementos del control interno
De supervisión
• Revisión para precisar
• Pérdidas y deficiencias
• Mejores métodos
• Mejores formas de control
• Operaciones más eficientes
• Mejor uso de los recursos físicos y
humanos
Elementos del control interno: ÁREA DE
SISTEMAS
Seguridad en el área
de sistemas
Procedimientos de
entrada,
Análisis, desarrollo e procesamiento y
implementación de resultados
Sobre la organización sistemas
del área de
informática
Controles para manejar la seguridad de los
Sistemas:
Control de acceso físico del personal al
área de computo
Controles para
la seguridad
Control del mantenimiento a
del área física
instalaciones y construcciones
de sistemas
Controles de seguridad
del personal de
informática
A) Amenazas B) Amenazas
Humanas lógicas
Software malicioso
Hackers: Ataques Vulnerabilidades Software
pasivos
Obtener
información sin
alterarla
C) Amenazas
Crackers: Ataques físicas
activos
Dañar y manipular Fallos dispositivos
información Accidentes
Catástrofes
naturales
Riesgo Informático
Venta de Destrucción de
Fraudes. Falsificación.
información. la información.
Riesgos Sistema Informático
HACKER
CRACKER
LAMMER
COPYHACKER
BUCANEROS
PHREAKER
NEWBIE
Seguridad informática – Seguridad de la
Información
SEGURIDAD DE LA INFORMACIÓN son
todas aquellas medidas preventivas y reactivas
del hombre, de las organizaciones y de los
sistemas tecnológicos que permitan resguardar
y proteger la información buscando mantener la
confidencialidad, la autenticidad e integridad
de la misma.
El concepto de SEGURIDAD DE LA
INFORMACIÓN no debe ser confundido con el
de SEGURIDAD INFORMÁTICA, ya que este
último sólo se encarga de la seguridad en el
medio informático, pudiendo encontrar
información en diferentes medios o formas.
Centro de Computo
Riesgos
Centro de cómputo
Factores físicos:
Cableado.
La iluminación
El aire de renovación o
ventilación
Las fuentes de alimentación
Riesgos en el centro de cómputo
Factores ambientales:
Incendios.
Inundaciones.
Sismos.
Humedad
RIESGOS EN EL CENTRO DE CÓMPUTO
Factores humanos
Robos.
Actos vandálicos.
Actos vandálicos contra el sistema de red
Fraude.
Sabotaje.
Terrorismo
Fases para el análisis del Riesgo
El manejo de riesgos
El manejo de riesgos dentro de la
seguridad en la información
• Comprometerse a no realizar la acción que origine elriesgo
Evitar • Técnica tiene más desventajas que ventajas
• La empresa podría abstenerse de aprovechar muchas
oportunidades
Reducir
• La alternativa puede ser su reducción hasta el nivel más bajo
posible
• Se consigue optimizando los procedimientos, la
implementación controles y su monitoreo constante
Transferir entidades.
• Esta técnica se usa ya sea para eliminar un riego de un lugar y
transferirlo aotro, o para minimizar el mismo, compartiéndolo
con otras entidades.
Metodologías que ayudan en el proceso
de revisión de riesgos informáticos
Metodología:
Octave
Es un proceso interno de la organización, significa que las personas de la empresa tienen la
responsabilidad de establecer la estrategia de seguridad
La evaluación se basa en el conocimiento del personal de la empresa para capturar el estado actual
de la seguridad
Está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la
práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones
El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc., lleva a
cabo la evaluación,
Se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.
Ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación,
confidencialidad, integridad y disponibilidad de los sistemas de información.
Las fases que contempla el modelo MAGERIT son: 1. Planificación del Proyecto; 2. Análisis de Riesgos;
3. Gestión de Riesgos :
La Evidencia Relevante
La Evidencia Fiable
La Evidencia Suficiente
La Evidencia Adecuada
Métodos para la obtención de evidencias
INSPECCIÓN
OBSERVACIÓ
PREGUNTAS
CONFIRMACIÓN
CÁLCULOS
Métodos de evaluación del control interno
informático
Descripciones
Narrativas
Cuestionarios Diagramas de
especializados flujo
Pruebas sustantivas – Pruebas cumplimiento
Pruebas sustantivas
Verifican el grado de confiabilidad del SI del organismo.
Se suelen obtener mediante observación, cálculos,
muestreos, entrevistas, técnicas de examen analítico,
revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.
Pruebas cumplimiento
Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona
evidencias de que los controles claves existen y que son
aplicables efectiva y uniformemente.
Estándares, certificación: ISO,
COBIT e ITIL
ISO
Corresponde al acrónimo
International Standard
Organization. Son normas y
estándares internacionales diseñados
para ser aplicadas en el desarrollo de
productos y servicios que deben usar
las empresas para mejorar su
eficiencia y rentabilidad económica.
ISO más DESTACADAS
ISO
Modelo de referencia de
procesos Modelo de madures de
procesos
COBIT 5 - DOMINIOS y PROCESOS
COBIT está
estructurado según 37 Entrega, Dar Servicio y Monitorear, Evaluar y Valorar
Soporte – (DSS) – (MEA)
procesos agrupados en
estos 5 dominios Garantiza la efectividad y Vigila que la solución
eficiencia de los sistemas implementada corresponda a las
tecnológicos en acción. necesidades de la empresa desde
una perspectiva estratégica.
MODELO COBIT 5 – DOMINIOS y OBJETIVOS
COBIT 5: Dominios de Gobierno
APO07.
APO06 Gestionar AP009. Gestionar
Gestionar los AP008. Gestionar
el Presupuesto y los acuerdos de
Recursos las relaciones
los Costes servicio
Humanos
COBIT 5: Dominios para la Gestión TI
Construir, Adquirir e
Implementar (BAI)
BAI03.
BAI04. BAI05.
BAI01. BAI02. Gestionar la
Gestionar la Gestionar la
Gestión de Gestionar la Identificación
Disponibilida Facilitación
Programas y Definición de y
d y la del Cambio
Proyectos Requisitos Construcción
Capacidad Organizativo
de Soluciones
COBIT 5: Dominios para la Gestión TI
Construir, Adquirir e
Implementar (BAI)
BAI03.
BAI04. BAI05.
BAI01. BAI02. Gestionar la
Gestionar la Gestionar la
Gestión de Gestionar la Identificación
Disponibilida Facilitación
Programas y Definición de y
d y la del Cambio
Proyectos Requisitos Construcción
Capacidad Organizativo
de Soluciones
COBIT 5: Dominios para la Gestión TI
Construir, Adquirir e
Implementar (BAI)
BAI07.
BAI06. Gestionar la BAI08. BAI09. BAI10.
Gestionar los Aceptación Gestionar el Gestionar los Gestionar la
Cambios del Cambio y Conocimiento Activos Configuración
la Transición
COBIT 5: Dominios para la Gestión TI
DSS02. Gestionar
DSS01. Gestionar DSS03. Gestionar
Peticiones e Incidentes
Operaciones Problemas
de Servicio
COBIT 5: Dominios para la Gestión TI
DSS06. Gestionar
DSS04. Gestionar la DSS05. Gestionar
Controles de Proceso de
Continuidad Servicios de Seguridad
Negocio
COBIT 5: Dominios para la Gestión TI
Introducción a la Estrategia de
Diseño de Servicio
Gestión de Servicio Servicio
ES EL CONJUNTO de acciones,
actividades, planes, políticas,
normas, registros,
procedimientos y métodos,
incluido el entorno y actividades
que desarrollan autoridades y su
personal a cargo, CON EL
OBJETIVO de prevenir posibles
RIESGOS que afecten a una
entidad.
Objetivos principales Sistema Control Interno
Controlar todas
las actividades
Asesorar
Colaborar y
apoyar
Definir, implantar
y ejecutar
Beneficios del Control Interno Informático
Componentes Sistema de Control Interno
Componentes – Principios: Sistema de
Control Interno
Componentes – Cobit: Sistema de Control
Interno
Áreas focales del Gobierno de TI
Cobit
Asegura que tanto los procesos de negocios Asegurando que sea tan eficiente y eficaz
como los de tecnología de la información como sea posible.
trabajen en conjunto.
DIRECCIÓN POLÍTICAS Y
Exigencias DIRECTRICES POLÍTICA
Internas
y
externas
ESTÁNDARES,
PROCEDIMIENTO
, NORMAS Y
COMPROBACIÓN METODOLOGÍAS
Y SEGUIMIENTO CULTURA
DE CONTROLES
IMPLANTAR
PROCEDIMIENTO
S DE CONTROL
Niveles de Control
Esquema Niveles de Control
Administración de sistemas
• Controles de la actividad de centros de datos
• Otras funciones de apoyo (administración de las redes)
Seguridad
• 3 clases de controles implantadas en el software
• Integridad, confidencialidad y disponibilidad