Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NOMBRES CARNÉ
NILSON OSWALDO ROSALES TRABANINO 202041018
FERNANDA YVETTE GOMEZ ESTRADA 202041715
LUIS CARLOS LUARCA GARCÍA 202041524
LUIS DIEGO GUERRA GOMEZ 202045174
KLEIDY NAYHELY CHACÓN FRANCO 202041711
1.12 Cintoteca......................................................................................................................... 15
CONCLUSIONES ........................................................................................................................ 23
REFERENCIAS ............................................................................................................................ 24
INTRODUCCIÓN
En la era digital actual, donde la información es un activo invaluable para las organizaciones, la
seguridad y la integridad de los datos se han vuelto prioridades cruciales. En este contexto, el
control interno en informática emerge como un pilar fundamental para garantizar la confiabilidad,
disponibilidad y confidencialidad de la información. Este control abarca un conjunto de políticas,
procedimientos y medidas diseñadas para salvaguardar los activos de información, mitigar riesgos
y garantizar el cumplimiento normativo en el entorno de la tecnología de la información.
El estudio y la evaluación del control interno en informática son procesos esenciales para
identificar y abordar los riesgos relacionados con la seguridad informática, así como para mejorar
la eficiencia operativa de los sistemas y procesos tecnológicos. A través de este análisis exhaustivo,
las organizaciones pueden identificar vulnerabilidades, fortalecer sus defensas cibernéticas y
asegurar la protección adecuada de los datos sensibles.
En este contexto, este estudio se propone explorar en profundidad cómo se diseñan, implementan
y evalúan los controles internos en informática, con el objetivo de fortalecer la seguridad y la
confiabilidad de los sistemas de información. A lo largo de esta investigación, se analizarán los
principales desafíos en materia de seguridad informática, se examinarán las mejores prácticas en
el diseño de controles internos y se propondrán recomendaciones para mejorar la gestión de riesgos
y la eficacia operativa en el ámbito de la tecnología de la información.
i
ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO EN
INFORMATICA
1.1 Organización del Departamento
• Diagrama de organización: El diagrama de organización del departamento de informática
es un documento que representa la estructura jerárquica y funcional del departamento,
mostrando los roles y responsabilidades de cada miembro del equipo. Este diagrama es
crucial para comprender la cadena de mando, las líneas de comunicación y las interacciones
entre diferentes unidades dentro del departamento. Permite identificar quién es responsable
de qué tareas y cómo se distribuyen las responsabilidades dentro del equipo.
1
• Existencia de contratos con los proveedores: La existencia de contratos con los
proveedores de hardware, software y servicios relacionados es crucial para garantizar una
relación comercial sólida y para proteger los intereses de la organización. Estos contratos
deben especificar los términos y condiciones de la adquisición de productos o servicios,
incluyendo precios, plazos de entrega, garantías y soporte técnico. Es importante asegurar
que los contratos estén actualizados y que se cumplan los términos acordados para evitar
posibles conflictos o incumplimientos contractuales.
2
técnico. Es esencial revisar los términos y condiciones de estos contratos para asegurar que
se cumplan los niveles de servicio acordados y que se garantice la integridad y seguridad
de los datos almacenados.
• Fianzas de fidelidad: Las fianzas de fidelidad son importantes para proteger los activos
de la organización contra posibles pérdidas causadas por actos de fraude o negligencia por
3
parte del personal. Estas fianzas garantizan que la organización pueda recuperar las
pérdidas financieras causadas por acciones indebidas de sus empleados. Es importante
revisar regularmente las fianzas de fidelidad para asegurar que proporcionen la cobertura
adecuada y que estén vigentes en todo momento.
4
1.4 Políticas de seguridad
✓ Existencia de planes de contingencia: Los planes de contingencia informática
constituyen un conjunto de procedimientos alternativos y recursos técnicos destinados
a la recuperación de la infraestructura crítica de tecnologías de información,
aplicaciones vitales para la operación y la información esencial de una organización en
caso de interrupciones graves como desastres naturales, fallas técnicas masivas,
ciberataques u otros eventos que puedan impactar severamente las funciones
habituales.
Dentro del alcance de una auditoría de control interno de TI, se debe examinar la existencia,
alcance, vigencia y viabilidad operativa de dichos convenios, considerando aspectos como:
inventario actualizado de equipos críticos bajo este esquema, términos y condiciones de respuesta
del proveedor, costos asociados, capacidad y características técnicas de los equipos de reemplazo,
logística de restablecimiento, pruebas realizadas y todo otro elemento que evidencie la capacidad
de recuperar la operatividad en los plazos necesarios según los requerimientos del negocio y los
acuerdos de nivel de servicio establecidos
5
base para la aplicación de niveles de protección y controles de seguridad proporcionales
al impacto que tendría la alteración o eliminación de dichos archivos.
En el marco de una auditoría de control interno sobre tecnologías de información, el auditor debe
verificar la existencia de un inventario actualizado de archivos críticos clasificados de esa manera
a través de un proceso formal vinculado con el análisis de impacto al negocio. Asimismo, deberá
examinar de manera muestral la implementación efectiva de medidas de seguridad
correspondientes al nivel de criticidad, tales como encriptación, respaldos robustos, registros de
acceso, monitoreo especial, entre otros
6
✓ Políticas de respaldo: Las políticas de respaldo son un conjunto integral de
regulaciones, estándares y procedimientos que tiene por objetivo garantizar la
realización periódica de copias de seguridad de la información crítica de una
organización, así como verificar la utilidad de dichos respaldos para fines de
recuperación ante desastres y continuidad del negocio.
Su cumplimiento es obligatorio por todas las áreas técnicas y usuarios que gestionan sistemas de
información en la organización. La efectividad de estas políticas será evaluada por auditores de
control interno mediante revisión de evidencias, verificación de registros de respaldo y
restauración de muestras, asegurando así la integridad, confiabilidad y disponibilidad de los datos
críticos
7
1.5 Sistema y Medidas de Seguridad
✓ Procedimientos escritos del sistema de seguridad: Los procedimientos escritos del
sistema de seguridad constituyen el conjunto de documentos formales y actualizados que
establecen las políticas, estándares, guías operativas, manuales de configuración y planes
adoptados por una organización para regular los controles de acceso, resguardo de
información crítica y recuperación ante desastres, así como la respuesta ante incidentes que
pongan en riesgo la confidencialidad, integridad y disponibilidad de los sistemas y datos.
En el marco de una auditoría del control interno en materia de seguridad de tecnologías de
información, el auditor debe verificar la existencia, suficiencia, vigencia, aprobación,
socialización y seguimiento de dichos procedimientos escritos mediante técnicas de
revisión documental, entrevistas, y la ejecución controlada de pruebas y simulacros de
compromiso de seguridad.
✓ Localización del centro: Se refiere al lugar físico escogido para alojar, proteger y operar
la infraestructura crítica de equipos de cómputo, comunicaciones y sistemas de respaldo
que sustentan las operaciones fundamentales de la organización.
Esta evaluación del control interno implica revisar y analizar las políticas, procedimientos,
controles y tecnologías utilizadas para proteger la integridad, confidencialidad y disponibilidad de
la información dentro de una organización. Esto puede incluir el acceso a los centros de datos,
salas de servidores, cuartos de comunicaciones, entre otros espacios relevantes donde se alojan los
sistemas y datos críticos.
8
✓ Construcción del edificio: Busca garantizar que las instalaciones físicas sean capaces de
proteger adecuadamente la infraestructura tecnológica y los datos sensibles de la
organización contra amenazas físicas y ambientales, así como cumplir con los estándares
y regulaciones de seguridad aplicables. Esto es fundamental para asegurar la integridad,
confidencialidad y disponibilidad de la información crítica de la organización.
Este registro puede incluir varios componentes, como la identificación de las personas que
solicitan acceso, la verificación de su identidad a través de credenciales como tarjetas de acceso,
códigos de seguridad o biometría, y la documentación de la hora y el propósito de su visita.
Además, puede implicar la firma de acuerdos de confidencialidad o la aceptación de políticas de
seguridad antes de permitir el ingreso.
Además de facilitar el control de acceso físico, los gafetes de identificación también pueden ayudar
en la gestión de la seguridad al proporcionar un registro visual de quién ha estado presente en
ciertas áreas en momentos específicos. Esto puede ser útil para propósitos de seguimiento y para
investigaciones de incidentes de seguridad.
9
sobre situaciones de riesgo o intrusiones detectadas por los sistemas de vigilancia o por
otros dispositivos de seguridad, como sensores de movimiento o sistemas de detección de
intrusos. Estas alarmas pueden ser audibles, visuales o enviarse a través de sistemas de
notificación electrónica para garantizar una respuesta rápida y efectiva ante una amenaza
potencial.
10
dispositivos son comúnmente utilizados en sistemas de seguridad para supervisar
el acceso a áreas restringidas y para activar alarmas en caso de intrusión no
autorizada.
11
1.6 Programas de Capacitación
✓ Plan de capacitación constante para el personal: Este plan está diseñado para garantizar
que el personal esté actualizado sobre las últimas tendencias, tecnologías y prácticas en
seguridad de la información y auditoría informática.
✓ Control sobre trabajo y desempeño del personal: Son todos os procesos y mecanismos
utilizados para supervisar y evaluar la efectividad de la capacitación proporcionada, así
como el rendimiento de los empleados en relación con los conocimientos y habilidades
adquiridos. Este control es fundamental para asegurar que la capacitación sea efectiva y
que los empleados estén desarrollando las competencias necesarias para cumplir con los
objetivos de seguridad informática y auditoría de la organización.
• Se debe comprobar que los registros de recepción contengan: hora de recepción, numero
correlativo de orden de trabajo, descripción del trabajo y la copia en donde solicita el
reporte.
12
1.8 Control De Calidad
• Cotejo de totales entrada/salida.
Se deben desarrollar controles de entrada que den la seguridad de que se recibe la información, se
traduce y entra si error al sistema. Algunas de las técnicas utilizadas para lograr esto incluyen: a.
Registro de todos los números de los documentos de entrada pre numerados por la unidad de
control. b. Establecimiento de cifras de control por lotes antes de entrar la información, y antes de
su procesamiento comparar estas cifras con las de la información convertida. c. Uso de
verificadoras para controlar errores de entrada de información. d. Mantenimiento de un
procedimiento controlado de corrección de errores. e. Uso de conteo de mensajes o procedimientos
de transmisión doble cuando se transmite la información entre distintas localidades geográficas. f.
Conservación de documentos fuente durante períodos razonables, de modo de poder reconstruir la
información si fuera necesario. 32 g. Uso de dígitos de verificación para detectar errores cometidos
por empleados, como pueden ser las transposiciones.
El concepto básico de control de salida es que se deben comparar los totales de las entradas, e
investigar y conciliar cualquier diferencia. Esta es una función importante de la unidad de control
en el departamento de PED. En muchas compañías los departamentos usuarios llevarán a cabo una
función de control similar como una verificación adicional. Para evitar entradas fraudulentas en
este punto, todas las correcciones de errores se deben realizar y registrar de acuerdo con
procedimientos autorizados. Los procedimientos para la entrega oportuna y apropiada de la
información de salida a los usuarios representan un aspecto adicional del control de salidas.
13
1.9 Despacho De Trabajos
• Directorio de usuarios.
• Métodos de captura de datos: Revisar los métodos utilizados para capturar datos, como
formularios en línea, sistemas de información automatizados, escaneo de documentos,
dispositivos de IoT (Internet de las cosas), entre otros.
• Precisión de los datos: Verificar la precisión de los datos capturados asegurando que se
implementen controles para validar y verificar la información entrante.
• Integridad de los datos: Evaluar la integridad de los datos capturados para asegurar que
no haya errores o manipulaciones indebidas durante el proceso de captura.
14
1.11 Proceso de datos
El proceso de datos abarca todas las actividades realizadas para transformar los datos capturados
en información significativa y útil para la toma de decisiones. Durante la auditoría, es importante
evaluar este proceso para garantizar la calidad y confiabilidad de la información resultante.
Algunos aspectos a considerar son:
• Estructuración de datos: Evaluar cómo se estructuran y organizan los datos para facilitar
su procesamiento y análisis posterior.
• Integración de datos: Verificar cómo se integran los datos de diferentes fuentes para crear
una visión unificada y completa de la información.
• Calidad de los datos: Evaluar la calidad de los datos resultantes del proceso, incluyendo
la limpieza de datos, la normalización y la eliminación de duplicados.
1.12 Cintoteca
Es un dispositivo de almacenamiento que contiene una o más unidades de cinta, varias ranuras
para almacenar cartuchos de cinta, un lector de código de barras para identificar los cartuchos de
cinta y un método automatizado (un robot) para cargar las cintas. También se denomina biblioteca
de cintas el área donde se almacenan Cintas que no se encuentran realmente en un silo. Las
bibliotecas de Cintas pueden contener millones de Cintas.
15
Uno de los primeros ejemplos fue el IBM 3850 Mass Storage System (MSS), anunciado en 1974.
Estos dispositivos pueden almacenar inmensas cantidades de datos, desde 20 terabytes hasta 2,1
exabytes de datos partir de 2016. Tal capacidad es miles de veces mayor que la de un disco duro
típico y muy por encima de lo que es capaz con el almacenamiento conectado a la red. Las
soluciones de nivel de entrada típicas cuestan alrededor de $10 000 USD, mientras que las
soluciones de gama alta pueden comenzar en tanto como $200.000 USD y cuestan mucho más de
$1 millón para una biblioteca completamente expandida y configurada.
Para el almacenamiento de datos de gran tamaño, son una solución rentable, con un costo por
gigabyte tan bajo como 2 centavos de dólar. La compensación por su mayor capacidad es su tiempo
de acceso más lento, que generalmente implica la manipulación mecánica de las cintas. El acceso
a los datos de una biblioteca tarda desde varios segundos hasta varios minutos.
Debido a su acceso secuencial lento y su gran capacidad, las bibliotecas de cintas se utilizan
principalmente para copias de seguridad y como la etapa final del archivo digital a largo plazo.
Una aplicación típica de este último sería el extenso registro de transacciones de una organización
con fines legales o de auditoría. Otro ejemplo es la gestión de almacenamiento jerárquico (HSM),
en la que la biblioteca de cintas se utiliza para almacenar archivos de sistemas de archivos que se
utilizan con poca frecuencia.
Las bibliotecas de cintas comúnmente tienen la capacidad de escanear ópticamente las etiquetas
de código de barras que se adjuntan a cada cinta, lo que les permite mantener automáticamente un
inventario de las cintas que se encuentran dentro de la biblioteca. Las etiquetas de código de barras
preimpresas están disponibles comercialmente o se pueden generar etiquetas personalizadas
mediante software. La etiqueta del código de barras es con frecuencia parte de la etiqueta de la
cinta, información registrada al principio del medio para identificar de forma única la cinta.
Computadoras personales
El primer ordenador personal del mundo nació en un garaje en 1970: así era el Kenbak-1.
16
Cuando nos hablan de los primeros ordenadores personales solemos pensar en el Apple I, el MITS
Altair 8800 o el Sinclair ZX Spectrum. Sin embargo, antes de que estos ejemplares dieran sus
primeros pasos, y mucho antes de que Bill Gates dijera la famosa frase "Un ordenador en cada
oficina y en cada hogar", el estadounidense John V. Blankenbaker soñaba desde hace tiempo con
un dispositivo informático que estuviera al alcance de todos. Así es como este ingeniero logró
conseguir su más preciada meta.
Con el paso del tiempo, Blankenbaker se convencía más y más de que los ordenadores personales
serían parte del futuro. Decidido a hacer algo al respecto, en 1959 obtuvo una titulación en
ingeniería eléctrica del Instituto de Tecnología de Massachusetts, algo que le abrió las puertas de
Curtis Wright, una compañía que por aquel entonces estaba abocada a crear sistemas digitales para
los misiles balísticos de la Armada estadounidense. Tiempo más tarde empezó a trabajar en
Scantlin Electronics, quienes desarrollaron unos de primeros sistemas de cotización del mercado
de valores. Los ejecutivos de esta compañía sabían de su sueño, por lo que decidieron apoyarlo.
Al renunciar, Blankenbaker recibió el dinero necesario para empezar a desarrollar su sueño: 6.000
dólares.
Con ese capital, este visionario dedicó todo su tiempo a materializar el sueño que llevaba
persiguiéndolo por años. Entonces, convirtió el garaje de su casa en Kenbak Corporation y
construyó el Kenbak-1. Como este ordenador nació antes que el primer microprocesador, en su
interior no tenía un CPU como tal, sino estaba compuesto de una placa de circuito impreso con
circuitos integrados de pequeña y mediana escala y dos registros de tipo MOS para la memoria e
interruptores.
La configuración de hardware del Kenbak-1 tenía 256 bytes de memoria y alcanzaba una velocidad
equivalente a 1 MHz. A diferencia de los ordenadores que llegaron más adelante, este no mostraba
17
imágenes, sino que se utilizaba con código máquina a través de una serie de botones e interruptores.
La salida de información consistía en una fila de luces.
El primer prototipo fue terminado en 1971 y presentado en una convención educativa ya que se
pensaba que el destino del primer ordenador debían ser las escuelas. Si bien todos se mostraron
entusiasmados por lo que la máquina hacía, el campo de la computación personal no estaba
desarrollado, por lo que Kenbak Corporation tuvo muchas dificultades para vender su producto.
A pesar del avance que significó para la informática, en total se fabricaron 50 ordenadores Kenbak-
1 y solo se vendieron 40 de ellos a 750 dólares cada uno (unos 4.400 dólares de hoy). La compañía
dejó de fabricarlos en 1973, cediendo su producción a CTI Education Products. Se cree que
actualmente existen 10 unidades repartidas en diferentes partes del mundo, las cuales se encuentran
en manos de museos y coleccionistas.
Una computadora personal, computador personal u ordenador, conocida como PC, es un tipo de
microcomputadora diseñada en principio para ser utilizada por una sola persona. Habitualmente,
la sigla PC se refiere a las computadoras IBM PC compatibles. Una computadora personal es
generalmente de tamaño medio y es usada por un solo usuario. Suele denominarse ordenador de
sobremesa, debido a su posición estática e imposibilidad de transporte a diferencia de un ordenador
portátil.
Una computadora personal suele estar equipada para cumplir tareas comunes de la informática
moderna, es decir, permite navegar por Internet, estudiar, escribir textos y realizar otros trabajos
de oficina o educativos, como editar textos y bases de datos, además de actividades de ocio, como
escuchar música, ver videos, jugar, etc.
18
Existen diferentes tipos de computadoras según su tamaño: supercomputadoras,
macrocomputadoras, minicomputadoras y microcomputadoras. Y según el tipo de tecnología que
utilicen pueden ser analógicas, digitales, híbridas o cuánticas.
La computadora de alto rendimiento más potente del mundo es Fugaku, un equipo fabricado en
Japón que alcanza los 415 petaflops, que equivalen a la potencia de 230.800 consolas PS4
funcionando al mismo tiempo.
Otro ejemplo de supercomputadoras sería Summit, un equipo creado por IBM para el
Departamento de Energía de Estados Unidos que alcanza un rendimiento de 148,6 petaflops.
Aunque los mainframes suelen confundirse con las supercomputadoras, se diferencian no solo por
su capacidad de cálculo, sino porque requieren un número limitado de procesadores para funcionar,
mientras que una supercomputadora requiere miles de ellos.
Además, los mainframes están diseñados para cálculos simples, mientras que las
supercomputadoras están hechas para cálculos complejos.
19
Hoy en día, los mainframes son la opción más viable para las empresas y organismos que requieren
procesar grandes cantidades de datos. Si bien las computadoras personales actuales pueden
ejecutar las mismas tareas que una macrocomputadora, estas últimas tienen una mayor capacidad
de almacenamiento, velocidad de procesamiento, seguridad y la posibilidad de ser utilizada por
múltiples usuarios.
Un ejemplo de uno de los mainframes más potentes de los últimos años es el z13, desarrollado por
IBM, capaz de procesar 2500 millones de transacciones diarias. Esto equivale a procesar
diariamente las ventas de 100 CyberMondays en Estados Unidos.
Las workstation se utilizan también como servidores, especialmente en pequeñas empresas que no
pueden costear una macrocomputadora. Esto significa que el equipo puede ejecutar diversos
servicios que requieran un procesamiento intensivo de datos, como una tienda en línea que genere
múltiples transacciones diarias.
Sin embargo, la tendencia actual en el mercado de la computación apunta a que las workstation
van a desaparecer en el mediano plazo, a medida que las computadoras personales se vuelvan más
potentes.
Las microcomputadoras están conformadas por una unidad central (CPU) en la cual se ubican tanto
la memoria como los circuitos de entrada y salida del equipo, integrados al microprocesador. Esto
20
las hace mucho más pequeñas y económicas que las estaciones de trabajo, las macrocomputadoras
y las supercomputadoras, que requieren más de un CPU.
- Computadoras portátiles
Computadoras analógicas son aquellas que están basadas en circuitos de tipo electrónico o
mecánico y miden una magnitud física expresada en números, como peso, temperatura, presión,
velocidad o voltaje.
Muchas computadoras analógicas se han reemplazado por tecnología digital, aunque hay industrias
que las siguen utilizando. Un ejemplo son las empresas petroleras, en donde se requiere un
monitoreo y comparación constante de datos como la temperatura.
Algunos ejemplos de computadoras analógicas son las computadoras de los submarinos, los
predictores de mareas, el termostato o la regla de cálculo.
Computadoras digitales, son un tipo de computadora compuesta por varias unidades con tareas
diferenciadas para recibir, procesar y entregar los datos que han sido introducidos previamente por
el usuario. Estos datos se almacenan en unidades fundamentales de información, llamadas bits,
compuestas por un dígito binario (cero o uno).
Las computadoras digitales requieren ser programadas antes de ser utilizadas y necesitan tener
instalado un software de acuerdo al problema que se requiera resolver. Por ejemplo, si es un
dispositivo para procesar transacciones bancarias, requiere un programa o conjunto de programas
específicos para ese tipo de operaciones.
Este tipo de equipos además tienen una capacidad de almacenamiento para guardar todos los datos
procesados y permiten la conexión a internet.
21
Algunos ejemplos de computadoras digitales son las estaciones de trabajo, las computadoras
portátiles o las macrocomputadoras.
La ventaja de este tipo de equipos es que combinan las mejores características de cada tipo de
tecnología. Las computadoras analógicas pueden ser rápidas, pero no son precisas. En cambio, la
tecnología digital aporta mayor exactitud en los cálculos.
Un ejemplo de computadora híbrida son los surtidores de gasolina, que además de medir la
cantidad de combustible convierten esa medida en un precio de venta.
Computadoras cuánticas al igual que las computadoras digitales, utilizan código binario para el
procesamiento de datos. En este caso, la unidad fundamental de información no es un bit (que solo
permite ceros o unos), sino un cúbit, una unidad que puede tener los dos estados binarios al mismo
tiempo.
Un ejemplo de este tipo de tecnología es el IBM Q System One, el primer computador cuántico de
uso comercial, diseñado para aplicaciones de negocios e investigación científica. (Diferenciador,
2018)
22
CONCLUSIONES
1. La seguridad informática es un aspecto crítico para cualquier organización en la era digital.
A través de este estudio, hemos confirmado la importancia de implementar controles
internos sólidos en informática para proteger los activos de información, mitigar riesgos y
garantizar la continuidad del negocio. Es fundamental que las organizaciones dediquen
recursos y atención a la evaluación y mejora continua de sus controles internos en
informática para adaptarse a las amenazas en constante evolución en el panorama
cibernético.
23
REFERENCIAS
Culture, A. y. (s.f.). Obtenido de https://artsandculture.google.com/entity/m0643t?hl=es
https://slideplayer.es/slide/4029004/
https://ri.ues.edu.sv/id/eprint/11381/1/C579.pdf
https://www.bib.uia.mx/tesis/pdf/01466384/014663_s.pdf
https://pdfcoffee.com/auditoria-de-la-seguridad-7842-pdf-free.html
24