Control Interno Informatico II

Control Interno Informatico

Alejandro Alcntara.

Control Interno Informtico

Tipos de CI Informatico

En el ambiente informtico, el control interno se

materializa fundamentalmente en controles de dos tipos:

Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin

de herramientas computacionales.

Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin,

de comunicacin, de gestin de base de datos, programas

de aplicacin, etc.

Entrada ? Proceso Salida

Adecuaciones

Punto de Control

Preventivos: Anticipan eventos no deseados antes de suceder.

Preventivo

CONTROLES PREVENTIVOS

Son ms rentables.

Deben quedar incorporados en los sistemas.

Evitan costos de correccin o reproceso.

Evitar problemas antes de que aparezcan.

Monitorear tanto las operaciones como las transacciones de entrada.

Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes.

Prevenir la ocurrencia de un error, omisin o acto delictivo.

Las aplicaciones gateway

ofrecen un nmero de ventajas generales sobre el modo default

de permitir que la aplicacin

trafique directamente para hosts

internos.

Estas ventajas incluyen:

Ocultamiento de la informacin.

Robusta autenticacin y registro.

Costo - eficacia.

Menos complejas las reglas de filtrado.

Entrada Proceso ? Salida

Adecuaciones

Punto de Control

detectivo

Detectivos: Identifican eventos en el momento de presentarse

CONTROLES DETECTIVOS

Son ms costosos que los preventivos.

Miden la efectividad de los preventivos.

Algunos errores no pueden ser evitados en la etapa preventiva.

Incluyen revisiones y comparaciones (registro de desempeo).

Conciliaciones, confirmaciones, conteos fsicos de inventarios, anlisis de

variaciones, tcnicas automatizadas.

Lmite de transacciones, password, edicin de reportes.

Controles que detectan un error

Mensajes de error sobre las etiquetas internas de las cintas

Entrada Proceso Salida ?

Adecuaciones

Punto de Control

Detectivos: Aseguran tomar acciones para revertir un

evento no deseado.

detectivo

CONTROLES CORRECTIVOS

Acciones y procedimientos rectificatorios en recurrencia.

Comprenden documentacin y reportes, sobre supervisin a

los asuntos, hasta su

reformulacin o solucin.

PROCEDIMIENTOS DE ALMACENAMIENTO Y RESPALDO

Elaboracin de Backups

EJEMPLOS DE CONTROLES

El Proceso de

Backup a que tipo

de control

pertenece?

Correctivo

Pregunta

BENEFICIOS DEL CONTROL INTERNO

Pueden ayudar al Jefe de la organizacin.

Se consideran como medios favorecedores al logro de metas y objetivos.

Es un medio integrador del personal con los objetivos.

Ayuda al personal a medir su desempeo y mejorarlo.

Ayuda a evitar tentaciones de fraude.

Facilita a los Jefes de las organizacin a demostrar cmo han aplicado los recursos y logrado los objetivos.

Elementos fundamentales del CI INF

CI sobre la organizacin del rea de informtica.

CI sobre el anlisis, desarrollo e implementacin de sistemas.

CI sobre operacin del sistema. CI sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados.

CI sobre la seguridad del rea de sistemas

Control interno para la organizacin del area de informtica

Dentro del rea de TIC de cualquier empresa, se proponen los siguientes sub-elementos de organizacin:

Melvis E. Len

Direccin

Divisin del Trabajo

Asignacin de responsabilidad

y autoridad

Establecimiento de estndares y

mtodos

Perfiles de puestos


La coordinacin de recursos

La supervisin de actividades

La delegacin de autoridad y responsabilidad

La asignacin de actividades

La distribucin de recursos

Controles internos para la organizacin del area de informtica


Divisin del trabajo



Asignacin de responsabilidad y autoridad

Establecimientos de estndares y mtodos

Perfiles de puestos


Estandarizacin De Metodologas Para El Desarrollo De Proyectos

Metodologa Estandarizada

Uniformidad en aplicaciones y Eficiencia en recursos.

Estandarizacin De Metodologas Para El Desarrollo De Proyectos

Por ende: o Estandarizacin de mtodos para el diseo de sistemas o Lineamientos en la realizacin de sistemas o Polticas para el desarrollo de sistemas o Normas para regular el desarrollo de proyectos

Asegurar Que El Beneficio Del Sistema Sea ptimo

Optimizacion de las tareas

Mejorar las operaciones

Optimizacion de los equipos

Elaborar Estudios De Factibilidad Del Sistema

Viable: se dice del asunto con posibilidad de salir adelante. (Valorar la posibilidad de hacerlo)

Factible: que se puede llevar a cabo o que es posible realizar. (Valorar si se puede realizar).

Viabilidad y factibilidad operativa.

Viabilidad y factibilidad econmica.

Viabilidad y factibilidad tcnica.

Garantizar La Eficiencia Y Eficacia En El Anlisis Y Diseo Del Sistema.

Eficacia Objetivos

Eficiencia Recursos

Garantizar La Eficiencia Y Eficacia En El Anlisis Y Diseo Del Sistema

Adopcin y seguimiento de una metodologa institucional.

Adoptar una adecuada planeacin, programacin

Contar con la participacin activa de los usuarios finales

Contar con el personal que tenga la disposicin, experiencia, capacitacin y

conocimientos para el desarrollo de sistemas.

Utilizar los requerimientos tcnicos necesarios para el desarrollo del sistema,

como son el hardware, software y personal informtico.

Disear y aplicar las pruebas previas a la implementacin del sistema.

Supervisar permanentemente el avance de las actividades del proyecto.

Vigilar La Efectividad Y Eficacia En La Implementacin Y En El Mantenimiento Del Sistema.

Es necesario vigilar la efectividad en la implementacin del sistema y, una vez liberado, tambin se debe procurar su eficiencia a travs del mantenimiento.

No basta con elaborar el sistema, tambin se tiene que implementar totalmente, se tiene que liberar a cargo del propio usuario y se le tiene que dar un mantenimiento permanente para garantizar su efectividad.

Lograr Un Uso Eficiente Del Sistema Por Medio De Su Documentacin

Es indispensable elaborar

manuales

Es de suma importancia que se

proporcione capacitacin a

usuarios finales

Lograr Un Uso Eficiente Del Sistema Por Medio De Su Documentacin

Manuales e instructivos del usuario.

Manual e instructivo de operacin del sistema

Manual tcnico del sistema

Manual e instructivo de mantenimiento del sistema.

Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operacin

de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos

del control interno tales como:

o Establecer la seguridad y proteccin de la informacin, del sistema de cmputo y

de los recursos informticos de la empresa.

o Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su

procesamiento en el sistema y la emisin de informes.

Contando con este elemento bsico, se puede prevenir y evitar posibles errores y

deficiencias de operacin, as como el uso fraudulento de la informacin que se

procesa en un centro de cmputo, adems de posibles robos, piratera, alteracin de

la informacin y de los sistemas, lenguajes y programas.

Controles internos sobre la operacin del

sistema.

Prevenir y corregir errores de operacin.

Prevenir y evitar la manipulacin fraudulenta de la informacin.

Sub-Elementos del control interno sobre la

operacin del sistema.

Deben disearse con el propsito de salvaguardar los datos fuente de

origen, operaciones de proceso y salida de informacin procesada por la

entidad.

01. Para implementar los controles sobre datos fuente, es necesario que

la entidad designe a los usuarios encargados de salvaguardar los datos.

Para ello, deben establecerse polticas que definan las claves de acceso

para los tres niveles:

a) Primer nivel: nicamente tiene opcin de consulta de datos,

b) Segundo nivel: captura, modifica y consulta datos,

c) Tercer nivel: captura, modifica, consulta y adems puede realizar

bajas de los datos.

Controles de datos fuente, de operacin y

de salida

02. Los controles de operacin de los equipos de cmputo estn dados

por procedimientos estandarizados y formales que se efectivizan de la

siguiente forma:

a) Describen en forma clara y detallada los procedimientos;

b) Actualizan peridicamente los procedimientos;

c) Asignan los trabajos con niveles efectivos de utilizacin de equipos.

03. Los controles de salida de datos deben proteger la integridad de la

informacin, para cuyo efecto es necesario tener en cuenta aspectos

tales como: copias de la informacin en otros locales, la identificacin de

las personas que entregan el documento de salida y, la definicin de las

personas que reciben la informacin.

04. Corresponde a la direccin de la entidad en coordinacin con el rea

de Informtica, establecer los controles de datos fuente, los controles de

operacin y los controles de seguridad, con el objeto de asegurar la

integridad y adecuado uso de la informacin que produce la entidad.

Implementar y mantener la seguridad en la operacin.

Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la informacin de la institucin.

La adopcin de estos controles en el rea de sistematizacin es de gran

ayuda en el procesamiento de informacin. Para lograr la eficiencia y

eficacia al establecer este elemento en la captura de datos, es necesario

tener bien establecidos aquellos mtodos, procedimientos y actividades

que regularn la entrada de datos al sistema, verificar que los datos sean

procesados de manera oportuna, evaluar la veracidad de los datos que se

introducen al sistema y proporcionar la informacin que se requiere en las

dems reas de la empresa.

Controles internos sobre los procedimientos de

entrada e datos, el procesamiento de

informacin y la emisin de resultados

Eficacia en la captura de datos: la captura de datos depende tanto del hardware que se usa como el software que est encargado de capturarlos. Ambos deben estar en buen estado para que la captura del dato introducido sea el correcto.

Mtodos para regular la entrada de datos: pueden regularse la cantidad de caracteres introducidos por teclado, por campos del sistema. Tambin puede regularse la cantidad de veces que una aplicacin pueda abrirse, en especial si se especializa en la entrada de datos. Para el caso de datos o informacin no deseada como hackers y sobre carga del sistema se pueden incorporar firewalls, antivirus y anti espas.

Los datos sean procesados de manera oportuna: los datos deben ser procesados de manera eficiente y veloz para dar respuesta rpida a los procesos que necesitan de este procesamiento en una etapa posterior. Un sistema que procese los datos de una manera lenta puede atrasar los procesos siguientes de necesiten uso de los datos.

Aspectos en la entrada de datos, el

procesamiento de informacin y emisin de

resultados.

Evaluar la veracidad de los datos que se introducen: los datos introducidos deben ser del tipo que se requiera y que se solicite. Los sistemas que soliciten

datos y que estos sean introducidos por el usuario, deben evaluar que sus

campos restrinjan el tipo de datos introducidos, por ejemplo: que en campos

donde se soliciten nmeros, el campo solo acepte nmeros, si se desea

introducir algn nombre, que el campo correspondiente solo admita caracteres

validos por el sistema y vlidos segn la planificacin y diseo del mismo.

Proporcionar la informacin a las dems reas de la empresa: luego de que los datos hayan sido procesados si se hayan transformado en informacin, estos

deben pasar a las dems reas de la empresa que necesiten uso de este. Este

aspecto cubre tanto el medio fsico por el cual se llevar la informacin a

distintos lugares de la empresa y el aspecto lgico ya que se debe enviar la

informacin justa y necesaria sin enviar informacin que no sea relevante para

esa parte de la empresa.

Seguridad fisica

Seguridad informatica

La seguridad fsica, comprende las medidas de seguridad aplicables a un

Sistema de Informacin, que tratan de

proteger a este y a su entorno de

amenazas fsicas tanto procedentes de

la naturaleza, de los propios medios,

como del hombre.

Amenaza

Acciones que pueden ocasionar

consecuencias negativas en la

plataforma informtica disponible: fallas,

ingresos no autorizados a las reas de

computo, virus, uso inadecuado de

activos informticos, desastres

ambientales, incendios, accesos ilegales

a los sistemas, fallas elctricas.

Pueden ser de tipo lgico o fsico.

Vulnerabilidad

Condiciones inherentes a los

activos o presentes en su entorno

que facilitan que las amenazas se

materialicen.

Se manifiestan como debilidades o

carencias: falta de conocimiento

del usuario, tecnologa

inadecuada, fallas en la

transmisin, inexistencia de

antivirus, entre otros.

Impacto

Consecuencias de la

ocurrencia de las distintas

amenazas: financieras o no

financieras.

Perdida de dinero, deterioro

de la imagen de la empresa,

reduccin de eficiencia, fallas

operativas a corto o largo

plazo, prdida de vidas

humanas, etc.

Riesgo Informtico

La Organizacin Internacional de

Normalizacin (ISO) define riesgo

informtico (Guas para la Gestin

de la Seguridad) como:

La probabilidad de que una

amenaza se materialice de

acuerdo al nivel de vulnerabilidad

existente de un activo, generando

un impacto especfico, el cual

puede estar representado por

prdidas y daos.

Por qu es tan importante

la seguridad?

Por la existencia de personas ajenas a la informacin, tambin conocidas

como piratas

informticos o hackers, que buscan

tener acceso a la red empresarial para

modificar, sustraer o

borrar datos.

Propositos y objetivos de la

seguridad fisica

Asegurar la capacidad de supervivencia de la organizacion ante eventos que pongan en peligro su existencia.

Proteger y conservar los activos de la organizacion, de riesgos, de desastres naturales o actos mal intencionados.

Reducir la probabilidad de las perdidas, a un minimo nivel aceptable, a un costo razonable y asegurar la adecuadad recuperacion.

Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del sotfware, y de los medios de almacenamiento.

Controlar el acceso de agentes de riesgo, a la organizacion para minimizar la vulnerabilidad potencial.

Factores ambientales

Incendios

Inundaciones

Sismos

Humedad

Factores humanos

Robos

Actos vandalicos

Actos Vandalicos contra el sistema de Red

Fraude

Sabotaje

Terrorismo

Algunas Consideraciones

sobre seguridad

Que se quiere proteger?

Contra que se quiere proteger?

Cuanto tiempo, esfuerzo y dinero se esta dispuesto a invertir?

TIPO DE INSTALACIONES

Instalaciones de alto riesgo

Instalacin de riesgo medio

Instalacin de bajo riesgo

CONTROL DE ACCESO

FSICO

Estructura y disposicin del rea de recepcin

Acceso de terceras personas

Identificacin del personal

A) Algo que se porta

B) Algo que se sabe

C) Algunas caractersticas fsicas

especiales

Otros CONTROLES DE

ACCESO

Guardias y escoltas especiales.

Registro de firma de entrada y salida.

Puertas con chapas de control electrnico

Tarjetas de acceso y gafetes de identificacin.

Entradas de dobles puertas

Equipos de monitoreo (CCTV)

Alarmas contra robos.

Trituradores de papel.

CONTROL DE RIESGOS

Aire acondicionado

Instalacin elctrica

Riesgo de inundacin

Proteccin, deteccin y extincin de incendios

Mantenimiento

SEGURIDAD DE LOS

EQUIPOS

Proteccin fsica de los equipos Proteccin emanaciones electromagnticas Proteccin frente a accidentes naturales Proteccin frente a incendios Proteccin frente a explosivos Proteccin frente a inundaciones Suministro Elctrico Climatizacin Seguros Suministro elctrico

Proteccin, deteccin y

extincin de incendios

Consideraciones sobresalientes

Paredes de material incombustible

Techo resistente al fuego

Canales y aislantes resistentes al fuego

Sala y reas de almacenamiento impermeables

Sistema de drenaje en el piso firme

Detectores de fuego alejados del AC

Alarmas de incendios conectado al general

Principios

El intruso probablemente es alguien conocido

No confies, y s cauteloso con quien requiera tu confianza

No confies en t mismo, o verifica lo que haces

Haga que el intruso crea que ser atrapado

Evidencias

1 El crecimiento del acceso a Internet y de usuarios conectados

incrementa la posibilidad de concrecin de amenazas informticas.

2 Crecimiento de la informacin disponible de empresas y sus

empleados en redes sociales Ingeniera Social.

3 Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.

4 Robo de credenciales o captura ilegal de datos.

5 Acceso a redes empresariales a travs de cdigos maliciosos

diseados para obtener informacin sensitiva.

6 En el 2009 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de

telecomunicaciones y el gobierno han sido los ms vulnerables ante

las amenazas informticas.

7 En el 2009 Symantec identific 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2008. Fuente: Symantec (2010).

Evidencias

8 En el 2010 hubo 286 millones de nuevas ciberamenazas.

9 Junto con las redes sociales otra rea de peligro en el espacio mvil

(Smartphones).

10 Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

mundo, como Estados Unidos, UK o Espaa, han mostrado la

preocupacin que tienen ante ataques que puedan afectar a la

economa del pas o incluso a otras reas, tales como las

denominadas infraestructuras crticas. Tambin este ao 2009 vimos

un ataque lanzado a diferentes pginas web de Estados Unidos y

Corea del Sur.

Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxo-

community.com

11 Cuidar a las empresas en esos momentos no es labor fcil. Los

ataques son incesantes (al menos 10,000 amenazas circulan en la red

cada minuto), y cada ao causan prdidas por ms de 650,000

millones de dlares, dice el grupo Crime-Research.org.

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..


Seguridad en la operacin

Seguridad Fsica

Seguridad en las redes

Seguridad Lgica

Seguridad del personal de inf.

Controles internos para la seguridad del area de sistemas

Controles para prevenir y evitar las amenazas, riesgos y contingencias en las reas de sistematizacin

Control de acceso fsico del personal del rea de computo

Control de accesos al sistema, a las bases de datos, a los programas y a la informacin

Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios


Subelementos del control interno Informatico

Monitoreo de accesos de usuarios, informacin y programas de uso

Existencia de manuales e instructivos, as como difusin y vigilancia del cumplimiento de los reglamento del sistema

Identificacin de los riesgos de los riesgos y amenazas Para el sistema, con el fin de adoptar las medidas preventivas necesarias

Elaboracin de planes de contingencia, simulacros y bitcoras de seguimiento


Controles para la seguridad fsica del rea de sistemas

Inventario del hardware, mobiliario y equipo

Resguardo del equipo de cmputos

Bitcoras de mantenimientos y correcciones

Controles de acceso del personal al rea de sistema

Seguros y fianzas para el personal, equipos y sistemas


Controles para la seguridad lgica de los sistemas

Control para el acceso al sistema, a los programas y a la informacin

Establecimiento de niveles de acceso

Dgitos verificacin y cifras de control

Palabras claves de accesos

Controles para el seguimiento de las secuencias y rutinas lgicas del sistema


Controles para la seguridad de las bases de datos

Respaldo peridico de informacin

Planes y programas para prevenir contingencias y recuperar informacin

Control de acceso a las base de datos

Rutinas de monitoreo y evaluacin de operaciones Relacionadas con las bases de datos



Controles para la seguridad en la operacin de los sistemas computacionales

Controles para los procedimientos de operacin

Controles para el procesamiento de informacin

Controles para la emisin de resultados

Controles especficos para la operacin de la computadora

Controles para el almacenamiento de informacin

Controles para el mantenimiento del sistema


Controles para Prevenir y evitar las amenazas, riesgos y contingencias en las reas de sistematizacin

Es el primer paso para prevenir las repercusiones de

posibles amenazas, riesgos y contingencias en las

reas del centro de cmputos.

Es identificar aquellos elementos que pueden influir

en la seguridad de sus instalaciones.


Controles bsicos que debern ser adoptados en las reas de sistematizacin para evitar amenazas a los sistemas

La seguridad no es una opcin, es una

obligacin para cualquier empresa.

No es un producto sino, un proceso


Controles para la seguridad fsica del rea de Sistemas


Bitcoras de Mantenimiento y correcciones

Controles de acceso del personal al rea de sistemas

Control de mantenimiento a instalaciones y construcciones

Seguros y fianzas para el personal, equipos y sistemas

Contrato de actualizacin, asesora y mantenimiento de hardware

Controles para la seguridad lgica de los sistemas

As como es necesario establecer controles para salvaguardar los bienes fsicos del sistema computacional de la empresa, tambin es necesario establecer controles y medidas preventivas y correctivas para salvaguardar sus bienes lgicos.


Controles que se deben considerar en la seguridad lgica:


Control para el acceso al sistema, a los programas y a la informacin

Dgitos verificadores y cifras de control

Establecimiento a los niveles de acceso

Palabras clave de acceso

Controles para el seguimiento de las secuencias y rutinas lgicas del sistema.

Controles para la seguridad de las bases de datos

El control interno informtico ayuda a proteger las bases de datos de la empresa, por medio de controles especiales y medidas preventivas y correctivas. Estos controles pueden ser establecidos por el rea administrativa Para vigilar el acceso de los usuarios al sistema, as como para proteger la informacin atreves de respaldo peridicos y recuperacin de datos en caso de perdidas, deterioros y de cualquier mal uso que de haga de ellos.


Algunos de los controles que se pueden establecer para la seguridad de las bases de datos


Programas de Proteccin para impedir el uso inadecuado y la alteracin de datos de uso exclusivo

Respaldo peridicos de informacin

Rutinas de monitoreo y evaluacin de operaciones relacionadas con las base de datos

Control de accesos a la base de datos

Planes y programas para prevenir contingencias y recuperar informacin

Controles para la seguridad en la operacin de los sistemas computacionales

Para el buen funcionamiento de los sistemas de procesamiento de datos, es necesario establecer controles y medidas preventivas para evitar accidentes, actos dolosos premeditados o negligencias que repercutan en la operacin y funcionamiento del sistema en la emisin del resultados del procesamiento de la informacin.


Los siguientes aspectos deben ser tomados en cuenta para la seguridad en la operacin del sistema


Controles para los procedimientos de operacin

Controles para el procesamiento de informacin

Controles para la emisin de resultados

Controles especficos para la operacin de la computadora

Controles para el almacenamiento de informacin

Son la medidas de seguridad y proteccin, internas y externas, que se adoptan en el rea de sistemas para el almacenamiento de la informacin contenida en la base de datos as como de los programas, lenguajes, y paqueteras que se utilizan para la operacin normal de dicha rea.


Algunos de los controles para el mantenimiento de sistema

Controles para la seguridad del personal de informtica

Controles administrativos de personal

Seguros y fianzas para l personal de sistemas

Planes de programas de capacitacin


Controles para la seguridad en las telecomunicacin de datos

Controles para la seguridad y sistemas de redes y multiusuario


Preguntas?

Control Interno Informatico II

Documents

Transcript of Control Interno Informatico II