1- ---

Control Interno Informático: Ha de definir los diferentes controles periódicos arealizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada tina (k ellas, y ser diseñados conforme a los objetivos de negocio y dentro del mar­co kg,¡] aplicable. Éstos se plasmarán en los oportunos procedimientos de control in

Dirección de Informática: Ha de definir las normas de funcionamiento del entor­no informático y de cada una de las funciones de Informática mediante la creación ypublicación de procedimientos, estándares, metodología y normas, aplicables a todaslas áreas de Informática así como a los usuarios, que establezcan el marco de funcio­namiento.

Direccián de Negocio o Dirección de Sistemas de Información (S.I.): Han de de­finir la política y/o directrices para los sistemas de información en base a las exigen­cias del negocio, que podrán ser internas o externas.

La implantación de una política y cultura sobre la seguridad requiere que searealizada por fases y esté respaldada por la Dirección. Cada función juega un papelimportanteen las distintas etapas:

FOP1,IlACrON y MENT ALlZAc:rON

Gestión del cambio: separación de las pruebas y la producción a nivel desoftware y controles de procedimientos para la migración de programas soft­ware aprobados y probados.

Se<Turidad:incluye las tres clases de controles fundamentales implantados enel~oftware del sistema, integridad del sistema, confidencialidad (control deacceso) y disponibilidad.

Administración de sistemas: controles sobre la actividad de los centros de da­tos y otras funciones ele apoyo al sistema, incluyendo la administración de lasredes.

cAPínJLO 2:CONTROLINTERNOYAUDITORÍAINFORMÁTICA 33

~~~----~~------------ -_ ..

Gestión de sistemas de información: políticas, pautas y normas técnicas quesirvan de base para el diseño y la implantación de los sistemas de infony de los controles correspondientes.

Para la implantación de un sistema de controles internos informáticos habrádefinir:

• Seguridad del ordenador base: identificar y verificar usuarios, control deceso, registro e información, integridad del sistema, controles deetc.

• Productos y herramientas: software para desarrollo de programas, softwaregestión de bibliotecas y para operaciones automáticas.

• Entorno de aplicaciones: procesos de transacciones, sistemasbases de datos y entornos de procesos distribuidos.

• Configuración del ordenador base: configuración del soporte físico,del sistema operativo, software con particiones, entornos (pruebas y real),bliotecas de programas y conjunto de datos.

• Entorno de red: esquema de la red, descripción de la configuración hardde comunicaciones, descripción del software que se utiliza como acceso atelecomunicaciones, control de red, situación general de los ordenadoresentornos de base que soportan aplicaciones críticas y consideracionesa la seguridad de la red.

Para llegar a conocer la configuración del sistema es necesario documentardetalles de la red, así como los distintos niveles de control y elementos relacionados:

Los controles pueden implantarse a varios niveles diferentes. La evaluaciónlos controles de la Tecnología de la Información exige analizar diversos ele:memtOJinterdependientes. Por ello es importante llegar a conocer bien la configuraciónsistema, con el objeto de identificar los elementos, productos y herramientasexisten para saber dónde pueden implantarse los controles, así como para 'U~""'ll"aposibles riesgos.

2.3.2. Implantación de un sistema de controles internosinformáticos

• Objetivo de Control de seguridad de programas: garantizar que no seefectuar cambios no autorizados en los procedimientos programados.

32 AUDrroRÍA INFORlY!ÁTICA:UNENFOQ!JEPRÁCTICO

~-

• Designar oficialmente la figura de Control Interno Informático y de AuditoríaInformática (estas dos figuras se nombrarán internamente en base al tamañodelDepartamento de Informática).

• Asegurar que existe una política de clasificación de la información para saberdentro de la Organización qué personas están autorizadas y a qué informa­ción.

• Asegurar que la Dirección revisa todos los informes de control y resuelve lasexcepciones que ocurran.

• Políticas de personal: selección, plan de formación, plan de vacaciones y eva­luación y promoción.

• Descripción de las funciones y responsabilidades dentro del Departamento conuna clara separación de las mismas.

• Organizar el Departamento de Informática en un nivel suficientemente supe­rior de estructura organizativa como para asegurar su independencia de losdepartamentos usuarios.

• Procedimientos: que describan la forma y las responsabilidades de ejecutoriapara regular las relaciones entre el Departamento de Informática y los depar­tamentos usuarios.

~t"nrt',rp,,"' que regulen la adquisición de recursos, el diseño, desarrollo y mo­dificación y explotación de sistemas.

Plan Estratégico de Información, real.izado por los órganos de la Alta Di-ección de la Empresa donde se defmen los procesos corporativos y se~onsidera el uso de las diversas tecnologías de información así como lasamenazas y oportunidades de su uso o de su ausencia.

Plan Informático, realizado por el Departamento de Informática, determinalos caminos precisos para cubrir las necesidades de la Empresa plasmán-,dolas en proyectos informáticos.

Plan General de Seguridad (física y lógica), que garantice la confidencia­lidad, integridad y disponibilidad de la información.

Plan de emergencia ante desastres, que garantice la disponibilidad de lossistemas ante eventos.

CAPÍTULO 2: CONTROL INTERNO Y AUDITORÍA INFORMÁTICA' 35

• Políticas: deberán servir de base para la planificación, control y evaluaciónla Dirección de las actividades del Departamento de Informática.

1. Controles generales organizativos

A continuación se indican algunos controles internos (no todos los que debel1atí.definirse) para sistemas de información, agrupados por secciones funcionales, yserían los que Control Interno Informático y Auditoría Informática deberían VeI1.tlj::ar:~.para determinar su cumplimiento y validez:

La creación de un sistema de control informático es una responsabilidad deGerencia y un punto destacable de la política en el entorno informático.

Auditor interno/externo informático: Ha de revisar. los diferentes einternos definidos en cada una de las funciones informáticas y el cumplimientonormativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetidefinidos por la Dirección de Negocio y la Dirección de Informática. Informará aalta Dirección de los hechos observados y al detectarse deficiencias o ausenciascontroles recomendarán acciones que minimicen los riesgos que pueden originarse.

1+--_---1 IMPLANTARPROCEDIMIENTOS

DE CONTROL

1COMPROBACIÓNy SEGUIMIENTODECONTROLES

1ESTÁNDARES

PROCEDIMIENTOSNORl\'lASy

METODOLOGÍAS

POLÍTICASY

DIRECTRICES

DIRECCIÓNexigencias

~ internas yexternas

temo y podrán ser preventivos o de detección. Realizará periódicamente la relos controles establecidos de Control Interno Informático informando de lasciones a la Dirección de Informática y sugiriendo cuantos cambios crea conen los controles, así como transmitirá constantemente a toda la organización demática la cultura y políticas del riesgo informático.

34 AUDITORÍA INFORNIÁTICA: UN ENFOQUE PRÁCTICO

El software de gestión de bases de datos para prever el acceso a, laturación de, y el control sobre los datos compartidos, deberá .mantenerse de modo tal que asegure la integridad del software, lasde datos y las instrucciones de control que definen el entorno.Que están definidas las responsabilidades sobre la planificación,ción, dotación y control de los activos de datos, es decir, un adrnde datos.Que existen procedimientos para la descripción y los cambios de datos..como para el mantenimiento del diccionario de datos.Controles sobre el acceso a datos y de concurrencia.Controles para minimizar fallos, recuperar el entorno de las bases dehasta el punto de la caída y minimizar el tiempo necesario para laración.Controles para asegurar la integridad de los datos: programas de Ll

para comprobar los enlaces físicos -punteros- asociados a los datos.

• Controles en Sistemas de Gestión de Bases de Datos:

S. Controles específicos de ciertas tecnologías

• Controles de salidas de datos: sobre el cuadre y reconciliación de salidas,cedimientos de distribución de salidas, de gestión de errores en lasetc.

• Controles de tratamientos de datos para asegurar que no se dan de alta,fican o borran datos no autorizados para garantizar la integridad de losmas mediante procesos no autorizados.

• Control de entrada de datos: procedimientos de conversión y de entrada,dación y corrección de datos.

Cada aplicación debe llevar controles incorporados para garantizar laactualización, validez y mantenimiento completos y exactos de los datos. Lanes más importantes en el control de los datos son:

_ Planes adecuados de implantación, conversión y pruebas de aceptación pa-ra la red.

_ Existencia de un grupo de control de red.Controles para asegurar la compatibilidad de conjunto de datos entre apli­caciones cuando la red es distribuida.

_ Procedimientos que definan las medidas y controles de seguridad a serusados en la red de informática en conexión con la distribución del conte­nido de bases de datos entre los departamentos que usan la red.Que se identifican todos l~s.con~lIntosde datos sensibles de la red y que sehan determmado las especificaciones para su seguridad.

_ Existencia de inventario de todos los activos de la red.Procedimientos de respaldo del hardware y del software de la red.Existencia de mantenimiento preventivo de todos los activos.

- Que existen controles que verifican que todos los mensajes de salida sevalidan de forma rutinaria para asegurar que contienen direcciones de des­tino validas.Controles de seguridad lógica: control de acceso a la red, establecimientode perfiles de usuario.Procedimientos de cifrado de información sensible que se transmite a tra­vés de la red.Procedimientos automáticos para resolver cierres del sistema.Monitorización para medir la eficiencia de la recl.Diseñar el trazado físico y las medidas de seguridad de las líneas de comu­nicación local dentro de la organización.Detectar la correcta o mala recepción de mensajes.Identificar los mensajes por una clave individual de usuario, por terminal,y por el número de secuencia del mensaje.

- Revisar los contratos de mantenimiento y el tiempo medio de servicioacordados con el proveedor con objeto de obtener una cifra de controlconstante.Determinar si el equipo multiplexor/concentrador/procesador frontal re­moto tiene lógica redundante y poder de respaldo con realimentación au­tomática para el caso de que falle.Asegurarse de que haya procedimientos de recuperación y reinicio.Asegurarse de que existan pistas de auditoría que puedan usarse en la re­construcción de los archivos de datos y de las transacciones de los diversos

4. Controles en aplicaciones

Controles en informática distribuida y redes:

.gistros de control para mantener los balances transitorios de transaccionespara su postenor cuadre con totales generados por el usuario o por otrossistemas.

Normas que regulen el acceso a los recursos informáticos.Existencia de un plan de contingencias para el respaldo de recursosdenador críticos y para la recuperación de los servicios delInformático después de una interrupción imprevista de los mismos.

CAPÍTULO 2: CONTROL INTERNO y AUDITORÍA INFORMATICA 3938 AUDITORÍA lNFOR1v!ÁT!CA: UN ENFOQUE PRÁCTICO

Políticas de adquisición y utilización.Normativas y procedimientos de desarrollo y adquisición de software·aplicaciones.Procedimientos de control del software contratado bajo licencia.Controles de acceso a redes, mediante palabra clave, a través deres personales.Revisiones periódicas del uso de los ordenadores personales.Políticas que contemplen la selección, adquisición e instalación de redesárea local.Procedimientos de seguridad física y lógica.Departamento que realice la gestión y soporte técnico de la red.Controles para evitar modificar la configuración de una red.Recoger información detallada sobre los Mínis existentes:(CPU's, Discos, Memoria, Strcamers, Terminales, etc.), Conecti(LAN, MINI TO HOST, etc.), software (sistema operativo, utilidades,guajes, aplicaciones, etc.), Servicios soportados.Inventaría actualizado de todas las aplicaciones de la Entidad.Política referente a la organización y utilización de los discos eluros deequipos, así como para la nomenclatura de los ficheros que contienen, ....verificar que contiene al menos: obligatoriedad de etiquetar el disco .con el número de serie del equipo, Creación ele un subdirectorio porrio en el que se almacenarán todos sus ficheros privados, así comoción de un subdirectorio público que contendrá todas las aplicacionesuso común para los distintos usuarios.Implantar herramientas de gestión de la red con el fin de valorar sumiento, planificación y control.

- Procedimientos de control de los file-transfer que se realizan y deles de acceso para los equipos con posibilidades de comunicación.Políticas que obliguen a la desconexión de los equipos de las líneas demunicación cuando no se está haciendo uso de ellas.Adoptar los procedimientos de control y gestión adecuados para la .dad, privacidad, confidencialidad y seguridad de la información ~"U"''''''-..._en redes de área local.

• Controles sobre ordenadores personales y redes de área local:

. conexión PC-Host, comprobar que opera bajo los controlesC ndo eXistan . dua .'. vitar la carsa/extracción de datos de forma no autoriza a.esanos para e b "

nec d' tenimiento (tanto preventivo como correctrvo o detecti-ContratoS e man

vo), l ' .ciones de mantenimiento se requiera la acción de tercerosCuando en as ac d ' bl. ' di' equipos de los límites de la oficina, se eberan esta ecero la salida e os . , fi d '1

. .' t para evitar la divulgación de información con J encia oprocedl11l1enossensible. .. , j'. zistro documental de las acciones de mantenimiento fea 1-Mantener un ree . , d d al .

. l' ndo la descripción del problema y la solución a a rrus-zadas, me uye

mo . , id d. d dores deberán estar conectados a equipos de contmui aLos or ena '(UPS'S,grupo, etc.). ... .. , ' . "

., contra incendios inundaciones o electricidad estanca.Proteccron , .., . C'C . tr 1de a'cceso físico a los recursos mlcromfof.máticos: Llaves de P s.on 10 . d) P ". . tri 'das Ubicación de impresoras (propias y de re . revencionAreas res nngl . ..

de robos de dispositivos. Autorización para desplazamientos de equipos,Acceso físico fuera de horario normal. .C t 01 de acceso físico a los datos y aplicaciones: almacenamiento d.edi~~:etes con copias de backup u ~tra información o aplica~ión, ,proce~l­mientas de destrucción de datos e informes confidenciales, identificaciónde disquetes/cintas, inventario completo de disquetes almacenados, alma-cenamiento de documentación. . .En los ordenadores en que se procesen aplicaciones o datos se~slbles l~:S­talar protectores de oscilación de línea eléctrica y sistemas de alimentaciónininterrumpida, .Implantar en la red local productos de seguridad así como herramientas yutilidades de seguridad. .

~ Adecuada identificación de usuarios en cuanto a las siguientes operacio­nes: altas, bajas y modificaciones, cambios de password, explotación dellog del sistema.Controlar las conexiones remotas in/out (CAL): Modems, Gateways,Mapper.Procedimientos para la instalación o modificación de software y establecerque la dirección es consciente del riesgo de virus informáticos y otrossoftware maliciosos, así como de fraude por modificaciones no autonzadasde software y daños.Controles para evitar la introducción de un sistema operativo a través dedisquete que pudiera vulnerar el sistema de seguridad establecido.

terminales. Debe existir la capacidad de rastrear los datos entre lay el usuario.Considerar circuitos de conmutación que usen rutas alternativas pararentes paquetes de información provenientes del mismo mensaje;ofrece una forma de seguridad en caso de alguien intercepte los

CAPÍTULO 2: CONTROL INTERNO y AUDITORÍA INFORlvlATICA 41.+0 AUDITORÍA INFORIvl,\TICA: UN ENFOQUE pRACTICO

tTl

Cl.

::o » en ::o m o O ::.: m z e » e » en

••

••