Universidad Autónoma de Santo Domingo

(UASD)
Facultad de Ciencias de la Salud
Escuela de Informática

Auditoria de sistemas informáticos

Asignatura

Sandino Perdomo A.
Profesor

Controles internos informáticos

Tema

Walter Argellys
Hernández Guerrero
Sustentante

100258676
Matricula

05 de Octubre de 2023
Fecha

1
 Introducción

El Control Interno Informático es una función del departamento

de Informática de una organización, cuyo objetivo es el de controlar
que todas las actividades relacionadas a los sistemas de
información automatizados se realicen cumpliendo las normas,
estándares, procedimientos y disposiciones legales establecidas .
La seguridad informática tiene el propósito de proteger la
información de una amplia gama de amenazas para garantizar la
continuidad del negocio, minimizar el costo de posibles daños para
el giro del negocio y maximizar el retorno de las inversiones a la par
que provee de competitividad para aprovechar oportunidades a
través de un mejor posicionamiento competitivo.

2
1. ¿Qué son Perfiles de puestos?

El Perfil de Puestos es una herramienta que permite organizar y

agrupar los requisitos y habilidades que se requieren para ocupar un
cierto puesto de trabajo.

2. Diseña un perfil de puesto para la posición de auditor

informático.

El auditor informático es el profesional encargado de evaluar los

procesos relacionados con las tecnologías de la información de la
empresa, así como su infraestructura tecnológica, para asegurarse
de que se ajustan a su actividad principal y ofrecer soluciones
viables para los problemas detectados.

3. Nombra:

a. Los controles para prevenir y evitar las amenazas, riesgos y

contingencias en las áreas de sistematización.

 Dirección

 División del trabajo

 Asignación de responsabilidad y autoridad

 Establecimiento de estándares y métodos

• Perfiles de puestos
Al instalar este elemento del control interno informático, se busca
determinar si la estructura de organización del área de sistemas
computacionales, con todo lo que esto conlleva, es la más apropiada
para que éstos funcionen con eficacia y eficiencia en la empresa;
esto se logra mediante el diseño adecuado de la estructura de
puestos, unidades de trabajo, líneas de autoridad y canales de
comunicación, complementados con la definición correcta de
funciones y actividades, la asignación de responsabilidad y la
definición clara de los perfiles de puestos. Todo ello permitirá
realizar adecuadamente el trabajo encomendado al área de
sistemas de la empresa.

3
b. Los controles para la seguridad lógica de los sistema.

 Estandarización de metodologías para el desarrollo de

proyectos

 Asegurar que el beneficio de los sistemas sea el óptimo

 Elaborar estudios de factibilidad del sistema

 Garantizar la eficiencia y eficacia en el análisis y diseño de

sistemas

 Vigilar la efectividad y eficiencia en la implementación y

mantenimiento del sistema

 Optimizar el uso del sistema por medio de su

documentación
Si buscamos encontrar alguna semejanza entre los elementos del
control interno que estudiamos en el capítulo anterior y el elemento
del control interno informático que a continuación analizaremos, será
difícil que podamos establecer algún tipo de similitud entre ambos,
ya que las actividades tan especializadas que se realizan para el
análisis, diseño, desarrollo e implementación de sistemas de
cualquier empresa son únicas y, por lo tanto, no tienen parecido
alguno con otras actividades. Por esta razón, merecen un
tratamiento más especializado en su exposición. Para entender este
elemento del control interno. El uso de esta metodología, la cual sólo
presentamos en sus principales fases, requiere un seguimiento paso
a paso, y un uso casi irrestricto de todas sus fases y de cada una de
las etapas que las integran. Con la aplicación de esta metodología
para el desarrollo de un proyecto, se puede garantizar el análisis,
desarrollo e implementación correctos de cualquier sistema.

c. Los controles para la seguridad física del área de sistemas.

Se refiere a la seguridad en la operación de los sistemas

computacionales, en cuanto a su acceso y aprovechamiento por

4
parte del personal informático y de los usuarios, al acceso a la
información y bases de datos, a la forma de archivar y utilizar la
información y los programas institucionales, a la forma de proteger la
operación de los equipos, los archivos y programas, así como las
instalaciones, mobiliario. Seguridad del personal de informática: Se
refiere a la seguridad y protección de los operadores, analistas,
programadores y demás personal que está en contacto directo con
el sistema, así como a la seguridad de los beneficiarios de la
información. Seguridad de las telecomunicaciones: Es todo lo
relacionado con la seguridad y protección de los niveles de acceso,
privilegios, recepción y envío de información por medio del sistema
de cómputo, protocolos, software, equipos e instalaciones que
permiten la comunicación y transmisión de la información en la
empresa, etcétera. Seguridad en las redes: Es todo lo relacionado
con la seguridad y control de contingencias para la protección
adecuada de los sistemas de redes de cómputo, en cuanto a la
salvaguarda de información y datos de las redes, la seguridad en el
acceso a los sistemas computacionales, a la información y a los
programas del sistema, así como la protección de accesos físicos,
del mobiliario, del equipo y de los usuarios de los sistemas.
Incluyendo el respaldo de información y los privilegios de accesos a
sistemas, información y programas.

d. Los controles para la seguridad de las bases de datos?

La seguridad de las bases de datos se refiere al conjunto de

herramientas, medidas y controles diseñados para establecer y
mantener la confidencialidad, la integridad y la disponibilidad de las
bases de datos. Este artículo se va a centrar principalmente en la
confidencialidad, ya que es el elemento que se ve comprometido en
la mayoría de las infracciones de datos.

La seguridad de las bases de datos debe tratar y proteger lo

siguiente:

 Los datos de la base de datos

 El sistema de gestión de bases de datos (DBMS)

5
  Cualquier aplicación asociada

 El servidor de base de datos físico y/o el servidor de base de

datos virtual, y el hardware subyacente

 La infraestructura informática y/o de red utilizada para

acceder a la base de datos
La seguridad de las bases de datos es una iniciativa compleja que
implica todos los aspectos de las tecnologías y las prácticas de
seguridad de la información. Además, se enfrenta a la usabilidad de
la base de datos. Cuanto más accesible y utilizable sea la base de
datos, más vulnerable será ante las amenazas de seguridad; cuanto
más protegida esté la base de datos ante las amenazas, más difícil
será acceder a ella y utilizarla. En ocasiones, esta paradoja se
denomina regla de Anderson (enlace externo a IBM).
¿Por qué es importante?

Por definición, una infracción de datos es la incapacidad de

mantener la confidencialidad de los datos en una base de datos. La
cantidad de daño que las infracciones de datos infligen a su
empresa depende de varios factores o consecuencias:

 Propiedad intelectual comprometida: la propiedad

intelectual —secretos comerciales, invenciones, prácticas
propietarias— puede ser fundamental para poder mantener
una ventaja competitiva en el mercado. Si dicha propiedad
intelectual es robada o queda expuesta, su ventaja
competitiva puede ser difícil o imposible de mantener o
recuperar.

 Daño a la reputación de la marca: los clientes o los socios

pueden no estar dispuestos a comprar sus productos o
servicios (o a hacer negocios con su empresa) si no sienten
que pueden confiar en usted para proteger los datos.

 Continuidad del negocio (o falta de ella): algunas

operaciones de negocio no pueden continuar hasta que se
resuelva la infracción.

 Multas o sanciones por falta de conformidad: el impacto

financiero por no cumplir con las normativas globales, como
la Sarbannes-Oxley Act (SAO) o eñ Payment Card Industry
Data Security Standard (PCI DSS); las normativas de
privacidad de datos específicas del sector, como la HIPAA, o
las normativas regionales de privacidad de datos, como el
Reglamento General de Protección de Datos (RGPD) de
Europa, puede ser devastador, con sanciones superiores, en
el peor de los casos, a varios millones de dólares por
violación.

6
  Costes de reparación de infracciones y notificación a los
clientes: además del coste de comunicar una infracción al
cliente, la organización que sufre la infracción debe abonar
las actividades forenses y de investigación, de gestión de
crisis, triaje, reparación de los sistemas afectados, etc.

e. Los controles para la seguridad en las operación de los

sistemas computacionales.

Con el establecimiento de los siguientes subelementos

del control interno informático se busca determinar las bases
fundamentales sobre las que se establecerán los requerimientos
para

manejar la seguridad de los sistemas de información

Controles para prevenir y evitar las amenazas, riesgos y
contingencias en las áreas de sistematización
Control para prevenir y evitar amenazas, riesgos y contingencias en
las áreas de sistematización
Control de acceso al sistema, a las bases de datos, a los programas
y a la información
Uso de niveles de privilegios para acceso, de palabras clave y de
control de usuarios
Monitoreo de acceso de usuarios, información y programas de uso
Existencia de manuales e instructivos, así como difusión y vigilancia
del cumplimiento de los reglamentos del sistema
Controles para la seguridad física del área de sistemas
Inventario del hardware, mobiliario y equipo
Resguardo del equipo de computo
Bitácoras de mantenimiento y correcciones
Controles de acceso del personal al área de sistemas
Control de mantenimiento a instalaciones y construcciones
Seguros y fianzas para el personal, equipos y sistemas
Contratos de actualizaciones, asesoría y mantenimiento del
hardware
Controles para la seguridad lógica de los sistemas

7
Control para el acceso al sistema, a los programas y a la
información
Establecimiento de niveles de acceso
Dígitos verificadores y cifras de control
Palabras clave de accesos
Controles para el seguimiento de las secuencias y rutinas lógicas del
sistema
Controles para la seguridad de las bases de datos
Programas de protección para impedir el uso inadecuado y la
alteración de datos de uso exclusivo
Respaldos periódicos de información
Planes y programas para prevenir contingencias y recuperar
información
Control de accesos a las bases de datos
Rutinas de monitoreo y evaluación de operaciones relacionadas con
las bases de datos
Controles para la seguridad en la operación de los sistemas
computacionales
Controles para los procedimientos de operación
Controles para el procesamiento de información
Controles para la emisión de resultados
Controles específicos para la operación de las computadoras
Controles para el almacenamiento de información
Controles para el mantenimiento del sistema

f. Los controles para la seguridad del personal de informática.

Controles administrativos de personal

Seguros y fianza para el personal de sistemas

Planes y programas de capacitación

Controles para la seguridad en la telecomunicación

8
g. Los controles para la seguridad en la telecomunicación de
datos.

Entre las industrias críticas, el sector de telecomunicaciones es uno

de los que más ha avanzado en los últimos años. Por ello, es
esencial contar con estrategias de seguridad para las
infraestructuras de telecomunicaciones que permitan satisfacer las
necesidades de la demanda actual.

Debido a la importancia de este sector para la seguridad, la

economía y el bienestar social, es fundamental la implementación de
un sistema eficiente de seguridad para las infraestructuras vitales de
telecomunicaciones. Esta industria puede experimentar ataques o
accidentes físicos que pongan en riesgo la información, las
instalaciones, los equipos, la vida de trabajadores y la seguridad de
terceros.

Claves para garantizar la seguridad para las infraestructuras de

telecomunicaciones

Para proteger las infraestructuras esenciales de telecomunicaciones

es necesario implementar una serie de estrategias que permitan
prevenir cualquier incidente.

● Contar con un espacio adecuado

Una de las principales estrategias de seguridad es contar con un
espacio adecuado donde se concentre toda la infraestructura
tecnológica. Debe ser un espacio correctamente separado y
organizado donde se alojen todos los equipos de
telecomunicaciones como equipos eléctricos, electrónicos y de
telefonía, servidores, cableado, etc. Este espacio también debe
estar diseñado para la incorporación de otros sistemas importantes
como alarmas, circuito cerrado de televisión, audio, entre otros.

● Instalar gabinetes industriales especializados

Uno de los elementos imprescindibles en las infraestructuras críticas
como las de telecomunicaciones son los gabinetes industriales.
Estos pueden ser soluciones estándar o especializadas, lo
importante es que sean compatibles con los equipos que existan en
las instalaciones.

● Contar con una solución de climatización

Ten en cuenta que cada infraestructura puede tener necesidades
diferentes en cuanto al tamaño de los gabinetes. Por lo tanto,
también requieren de soluciones de climatización adaptadas y
acorde a los requerimientos, para equilibrar la carga térmica y
garantizar el desempeño de los equipos.

9
● Analizar los riesgos a través de una evaluación periódica
Otra estrategia de seguridad para las infraestructuras vitales de
telecomunicaciones es realizar una evaluación periódica de los
riesgos de las instalaciones. Esto puede ayudar a determinar el
porcentaje de probabilidad de que una amenaza se materialice en
las instalaciones, redes de comunicaciones, equipos, sistemas
informáticos, etc.

● Estricto control de accesos de personas y materiales

Cuando se trata de infraestructuras críticas debe haber siempre un
estricto control, tanto de las personas que acceden a las
instalaciones, como de los materiales que se ingresan. Personas
ajenas y sin conocimientos podrían ocasionar algún daño en el
lugar, y algunos materiales también podrían influir en las
condiciones del espacio.

4. Emite tu opinión acerca la importancia de los controles

internos informáticos.

Las empresas pequeñas y medianas no suelen implementar este

tipo de dispositivos frecuentemente. La mayoría de las veces
trabajan en forma empírica. Así, los problemas se solucionan a
medida que se presentan.

Este tipo de estrategia puede funcionar durante un tiempo pero,

cuando la organización crece, es necesario profesionalizarla.
Muchos inconvenientes de las empresas, como impactos financieros
inesperados, incumplimiento de normas legales o impositivas o
daños a la reputación, podrían prevenirse revelando la importancia
del sistema de control interno. Realmente el tamaño de la institución
no es una excusa para no tenerlo.

De hecho, el sistema de control interno es versátil y puede

adaptarse a todos los gustos y necesidades. En esencia, el sistema
de control interno es un dispositivo destinado a brindar una
seguridad razonable respecto del logro de los objetivos de la
organización. Por ejemplo: Efectividad y eficiencia de las
operaciones. Fiabilidad de la información financiera. Salvaguarda de
activos. Cumplimiento de leyes y regulaciones aplicables.

10
 CONCLUSIONES.

 La Auditoría de Sistemas de Información, hoy en día es de

vital importancia para las empresas modernas con visión
de futuro, sobre todo inmersas en el mundo globalizado,
porque si no se prevé los mecanismos de control,
seguridad y respaldo de la información dentro de una
institución se verá sumida a riesgos lógicos, físicos y
humanos, que conlleven a perdidas tanto humanas,
económicas y lo más valioso la información.
 La auditoría en informática es la revisión y la evaluación
de los controles, sistemas, procedimientos de informática;
de los equipos de cómputo su utilización, eficiencia y
seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio
del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que
servirá para una adecuada toma de decisiones.
 La auditoría en informática deberá comprender no sólo la
evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y
obtención de información.
 Toda empresa, pública o privada, que posean Sistemas
de Información medianamente complejos, deben de
someterse a un control estricto de evaluación de eficacia y
eficiencia. Hoy en día, la mayoría de las empresas tienen
toda su información estructurada en Sistemas
Informáticos, de aquí, la vital importancia que los sistemas
de información funcionen correctamente.. El éxito de una
empresa depende de la eficiencia de sus sistemas de
información. Una empresa puede contar con personal
altamente capacitado, pero si tiene un sistema informático
propenso a errores, lento, frágil e inestable; la empresa
nunca saldrá a adelante.
 La Cooperativa de Ahorro y Crédito Yaman Kutx cuenta
con un excelente Sistema de Información, con un alto
porcentaje de Seguridad, un plan de Contingencia casi
perfecto, sin embargo, hasta donde llegamos en esta
Auditoria, aun así, se detectaron hallazgos y elementos
que necesitan mejorar.

11
12