Control InternoConcepto

Es el plan de organización y todos los métodos y procedimientos que en formacoordinada se adoptan en un negocio para:

• Protección de los activos

• Obtención de información correcta y oportuna

• Promoción de la eficiencia de operación

• Cumplir objetivos del negocio y leyes y regulaciones

Conceptos fundamentales del Control Interno

• Seguridad razonable: probabilidad remota de errores materiales.

• Limitaciones inherentes: No son infalibles por error involuntario o intencional.

• Diseño del CI.

• Eficacia operativa de los controles.

• Controles relacionados con los informes financieros: No operativos.

• Controles sobre clases de transacciones: Que alimentan los EEFF

Componentes del CI emitidos por el coso

Controles y su clasificación

Son las políticas, procedimientos, prácticas y estructuras organizacionales que son implementadas para reducir riesgos en la organización.

Por su naturaleza pueden ser:

• Manuales

• Automáticos

Por su tipo pueden ser:

• Preventivos

• Detectivos

• Correctivos

Nivel de fuerza de los controles

V

Ejemplos

• Guardia de seguridad solicita id de visitas antes de permitir el acceso a las oficinas

• Un operador nocturno revisa que todas las transacciones del día se registró en fecha y por el monto correcto revisando el reporte diario de facturas vrs cada factura.

Manuales

Combinados

Automáticos

Detectivos

Correctivos

Preventivos

• El administrador del sistema realiza el respaldo diario de los registros contables, en caso de identificar partidas desbalanceadas programa una rutina que identifica el registro y lo corrige con autorización del contador.

• Las planillas confidenciales se almacenan en una carpeta en la computadora del Gerente Financiero la cual se accede mediante contraseña.

• Una alarma se activa cuando identifica movimiento

• El oficial de seguridad de la información de un banco revisa los registros que el sistema genera cuando se realiza cambios en las tasas de préstamos y verifica con el gerente de préstamos que son autorizados.

Objetivos del control

• Establecer estándares y medir su cumplimiento

• Protección y salvaguarda de los bienes y activos

• Contribuir a la planeación y evaluación del cumplimiento

• Ayudar a la buena marcha de la empresa y las actividades de dirección

Características de control

• Oportuno

• Cuantificable

• Calificable

• Confiable

• Estándares y normas de evaluación

Análisis de riesgo

Riesgo

El potencial que una amenaza dada explotará vulnerabilidades de un activo o grupo de activos y como consecuencia causará daño a la organización.”- (ISO/IEC PDTR 13335-1)

Proceso de Análisis de riesgo

El control como sistema

Ciclo de auditoría para obtener conocimiento del CI

Métodos

1. Narrativa

2. Diagramas

3. Cuestionarios

Diagramas

Diagramación. Ventajas

• Calidad de entendimiento

• Rapidez y facilidad de revisión

• Facilitan el análisis de opciones de mejoramiento.

Diagramación. Requisitos

• Claros, simples y concisos

• Demonstrar secuencia cronológica de los eventos

• Identificar controles

Entender

EvaluarProbar

• Apropiadamente referenciados para proveer más información

• Standarizacion de símbolos

• Conservar el mismo nivel de detalle

Tipos

• Diagrama de bloques

• Diagramas de flujo

• Diagrama de Flujo y Participantes

• Diagrama de relaciones

• Diagrama de contexto de sistemas

Ejercicio Diagrama de Flujo

Para nuestra empresa ficticia comercializadora de muebles para oficina diagramaremos el flujo del proceso de pedido el cual sigue los siguientes pasos:

- El cliente solicita cotización

- El área comercial elabora propuesta técnica y económica

- El departamento de producción revisa los requisitos definidos por el área comercial para confirmar si puede cumplirlos en forma y tiempo. Si producción está de acuerdo, el área comercial envía la propuesta al cliente. Si no está de acuerdo aclara con el área comercial, incluso comercial puede anular la cotización si producción le confirma que no puede cumplir.

- El cliente hace el pedido

- El cliente y área comercial firman el contrato

- El área comercial aprueba el documento formal de pedido FOR-02

Ejercicio próxima clase:

http://tinyurl.com/mwcvcan

Cuestionarios

Evaluación del riesgo de control

Es la expectativa del auditor de que los controles internos no evitarán que ocurran errores de importancia y no los detectarán o corregirán si ya han ocurrido.

Matriz de riesgo

• Identificar los objetivos de las transacciones

• Identificar los controles

• Relacionar los controles con los objetivos

• Identificar y evaluar las deficiencias de control y debilidades: probabilidad e importancia.

• Asociar las debilidades con los objetivos

Identificar deficiencias

• Identificar los controles que existen

• Identificar la ausencia de control

• Considerar la posibilidad de controles compensadores

• Decidir si es deficiencia significativa o debilidad material

• Determinar errores que pudieran ocasionar

Pruebas de controles

• Respaldan la evaluación del riesgo de control

• Se realiza una vez se tenga evidencia del diseño de los controles y que están en operación

• Se realiza para todo el período bajo revisión

• Se debe evaluar el riesgo del control nuevamente

Procedimientos para prueba de controles

Cuestionario de repaso (Pago. 301)

• 10-1, 10-2, 10-10, 10-11, 10-13,10-15, 10-17, 10-21, 10-28, 10-29

Indagar

Observar

Inspeccionar

Reejecutar

Conceptos Fundamentales Auditoría de Sistemas de InformaciónASI 1

Es la revisión técnica, especializada y exhaustiva que se realiza a:

• los sistemas computacionales

• software

• información

• gestión informática

• aprovechamiento de sus recursos

• medidas de seguridad

• bienes de consumo necesarios para el funcionamiento del centro de cómputo

• Propósito de la ASI

Propósito de la ASI

Evaluar el uso adecuado de los sistemas para el correcto

• ingreso de los datos

• procesamiento de la información

• emisión sus resultados

Evaluar el cumplimiento de las funciones, actividades y operaciones de

• funcionarios, empleados

• usuarios

Objetivos de la ASI

• Evaluar para emitir un dictamen independiente

• Evaluar el uso y aprovechamiento de los recursos financieros

• Evaluar el uso y aprovechamiento de los recursos técnicos

• Evaluar el cumplimiento de planes, estándares, políticas, normas y lineamientos

• Minimizar existencias de riesgos en el uso de tecnología de información

Controles de Sistemas de InformaciónControles IS

• Estrategia y dirección de IT

• Organización y administración de la función de IT

• Acceso a recursos de IT incluyendo datos y programas

• Metodologías de desarrollo de sistemas y control de cambios

• Procedimientos de operaciones

• Procedimientos de control de calidad

• Controles de acceso físico

• Plan de recuperación ante desastres

• Redes y comunicaciones

• Administración de base de datos

Dominios de la ASI

Los controles Generales de IT se orientan a las siguientes áreas:

• Gobierno y Administración IT

• Operaciones Computarizadas

• Seguridad

• Adquisición, Desarrollo e implementación de sistemas

Gobierno y Administración ITElementos del Dominio

• Gobierno de TI: Índices de desempeño y presupuestarias.

• Funciones y Competencia de TI: Que tan calificado está el personal. Que tan bien conocen sus funciones.

• Recursos Humanos: Contratación, capacitación, promociones, evaluaciones, terminación.

• Objetivos y riesgos de TI: Existe un método de evaluación

• Cambios en la Administración del Riesgo: Se consideran los cambios pasados y futuros en el análisis.

• Mitigación de riesgos y riesgo residual: Controles y lo que no cubren los controles

• Disponibilidad y calidad de la información: Problemas de corrupción

• Elementos del Dominio

• Propiedad de los datos: ¿Se ha definido?

• Comunicaciones relacionadas con controles de TI: ¿Son efectivas?

• Computación del usuario final: Establecimiento de políticas y procedimientos.

• Monitoreo continuo: Seguimiento de desviaciones en el día a día incluyendo terceros.

• Monitoreo punto-a-tiempo: Se realizan revisiones periódicas

• Comunicación de deficiencias: Seguimiento a debilidades

Puestos

• Jefe del departamento Jefe de desarrollo

• Analista Programador Jefe de Infraestructura y redes

• Técnicos de soporte a usuarios Técnicos de soporte de redes

• Técnicos de hardware Administrador de servidores

• Administrador de base de datos Jefe de soporte técnico

• Oficial de Seguridad Administrador de sistemas

• Administrador de Data Center Aseguramiento de calidad

Controles internos sobre la organización del área de IT (5.1)

Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puesto

Auditando Gobierno IT (Apoyo 12.3)

• Estrategias, planes y presupuestos

• Documentación de políticas de seguridad

• Diagramas de organización/funcionales

• Descripciones de puesto

• Reportes del comité directivo

• Procedimientos de desarrollo de sistemas y cambios a programas

• Procedimientos de Operaciones

• Manuales de RRHH

• Procedimientos de aseguramiento de calidad

Dominio de Operaciones computarizadas Objetivo:

Asegurar que los sistemas de producción se procesan en forma completa y correcta de acuerdo con los objetivos de control de la gerencia, y que los problemas de procesamiento son identificados y resueltos en forma completa y correcta para mantener la integridad de los datos financieros

Subdominios

• Administración general de las actividades de Operaciones Computarizadas

• Organización y procesamiento de procesos por lote

• Procesamiento en línea

• Respaldos y administración de problemas

• Recuperación en caso de desastre

Procesos por lote

En inglés batch processing), o modo batch, se llama a la ejecución de un programa sin el control o supervisión directa del usuario (no es interactivo).

• Tareas repetitivas

• Uso de grandes conjuntos de información

• Proceso propenso a errores al realizarlo manualmente

• Realiza el trabajo en el momento en el que los recursos están menos ocupados, dando prioridad a tareas interactivas.

• Demora en actualizar datos (se acumulan luego se procesan)

• No hay necesidad de interacción y supervisión humanas continuas

Procesamiento en línea

Se llama a la ejecución de un programa con el control o supervisión directa del usuario (es interactivo).

• Tareas que deben actualizarse automáticamente

• Transacciones que necesitan ser realizadas manualmente con supervisión

• Realiza el trabajo en el momento en que son ingresados

Procesamiento en línea

¿Qué nos interesa sobre el tipo de procesamiento?

• Altas/bajas/modificaciones sean autorizadas

• Monitoreo de ejecución de acuerdo a programación aprobada

• Fallas son capturadas y resueltas-seguimiento

• Acceso a herramientas de administración

Controles de Aplicación

• Son controles sobre las funciones de entrada, procesamiento y resultados.

• Son orientados a asegurar la totalidad, exactitud y validez de la data

• Ayudan a la confiabilidad, seguridad y disponibilidad de la información

Controles sobre la entrada y procesamiento de datos

• Aseguran que cada transacción sea registrada sea registrada de manera exacta.

• Aseguran que solamente datos válidos y autorizados sean registrados una sola vez.

Controles de Autorización

• Aprobación manual de formulario de batch o de documento fuente. (ejem: cierre, interfaz)

• Controles de acceso restringido

• Controles de contraseña

• Identificación de terminal

• Documentos fuente

• Chequeos de validación programados (ejm: 3-waymatch)

Controles de Exactitud

• Chequeos de razonabilidad (limites) o lógicos (relación de fechas)

• Chequeos de dependencia (ejm: direcciones)

• Chequeos de formato (numérico, alfabético)

• Chequeo matemático (recalculo rechazado)

• Dígito de verificación

• Comparación con datos anteriores (password)

• Datos preregistrados (combos)

• Chequeo de existencia

• Chequeo de totalidad (blanco)

Controles de Totalidad

• Totalización de lotes

• Chequeos de secuencia o duplicados

• Comparación por computadora (contra archivo control)

• Chequeo uno por uno (vrs reporte)

Controles sobre la salida de datos

• Controles de resguardo físico de documentación prenumerada

• Controlar la fuente de los formularios y firmas digitales

• Acceso restringido sobre la generación de los reportes (físico y lógico)

• Controles de conciliación con evidencia de su procesamiento

• Manejo de errores de salida de datos

Repasando concepto de Operaciones de sistemas

Es la función responsable del soporte del ambiente de los sistemas de información.

Es critica para asegurar que los requerimientos de funciones de procesamiento son alcanzadas, los usuarios es encuentran satisfechos y la información procesada es segura.

La organización de las operaciones computarizadas varía dependiendo del tamaño del ambiente de computación y carga de trabajo.

Administración de Problemas

• Actividades que se enfocan en proveer continuidad de los servicios eliminando o reduciendo el efecto adverso de los elementos que interrumpen los servicios de IT.

• Debe haber un procedimiento de captura, priorización (impacto/urgencia), asignación, resolución y cierre

• Todo incidente debe escalarse según los criterios definidos por la administración.

• Es reactivo y su nivel de resolución debe ser razonable.

• Errores similares pueden ser relacionados para diseñar mecanismos correctivos o preventivos.

Detección, Documentación, Resolución y reporte de incidentes

• Deben existir mecanismos para detectar y documentar cualquier situación anormal que puede llevar a la identificación de un error. Incidente->problema

• Los logs pueden ser de errores del sistema, de redes o de hardware.

• Una entrada de un log de error debe contener: fecha, resolución, código y descripción del error, fuente del error, fecha de escalamiento, responsable de su resolución, área que le dio solución, status.

¿Cuánto tiempo es razonable para solucionar un incidente?

Dependerá de las circunstancias

Lo que debe existir es un procedimiento de escalamiento definiendo nombres a contactar en cada tipo de problema, los tipos de problemas que requieren atención urgente, problemas que pueden esperar horas normales.

Es inaceptable no resolver un problema por tiempo indefinido ya que causa:

- Interrupción del negocio

- Corrupción de datos

Tareas de la función de soporte

• Documentar el incidente del usuario

• Inicializar procedimiento de resolución

• Priorizar para asignar al personal de IT adecuado y escalar a la gerencia de ser necesario

• Seguimiento de incidentes no resueltos

• Cierre de incidentes resueltos con el vo. bo. del usuario

Material de apoyo:

Operaciones y procesamiento de datos. Cap. 5. Secciones 5.3 y 5.4

Pago 157-164

Asignación Grupal

• Investigar sobre las herramientas de software disponibles en el mercado para administración de solicitudes de servicio de soporte de tecnología de información. Cuáles son, quienes son los proveedores y que funciones poseen. Dar su conclusión de cual considera la mejor y sustentarlo. Esta decisión debe tomarse en base a facilidad de uso, funciones que permiten al usuario una mejor gestión de los requerimientos y en la información que provee para que un auditor revise el proceso.

Respaldos

• Es una copia de los datos originales que se realiza con el fin de disponer de un medio de recuperarlos en caso de su pérdida por accidente, intencional o se haya dañado por distintas causas.

• Deben de tenerse en cuenta los requerimientos de almacenamiento.

• Las copias de seguridad garantizan dos objetivos: integridad y disponibilidad

Decisiones en cuanto a respaldos

• Que información almacenar

• En que medio almacenar

• Con que frecuencia almacenar

• Donde guardar los respaldos

• Cuando probar los respaldos

Conceptos

• Compresión: Método para disminuir el espacio de almacenamiento necesario.

• Duplicación. Varias copias de seguridad están duplicadas en un segundo soporte de almacenamiento.

• Cifrado. Proceso para volver ilegible información considerada importante. La información una vez encriptada sólo puede leerse aplicándole una clave.

Esquemas de respaldo

• Completo

• Incremental

• Diferencial

Controles

• Almacenar en un sitio externo las copias y su registro

• Seguridad física del sitio externo

• Almacenar en dispositivos independientes a productivo

• Inventario de medios

• Períodos de retención y rotación

• Accesos a los medios

• Etiquetado de medios

• Registro de bitácoras de ejecución para su monitoreo

• Pruebas de restauración

Ejemplos de ciclo de rotación

Planes de Recuperación ante Desastres (DRP´s)

Disaster Recovery Plan es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Objetivo de los DRP´s

Los DRP están orientados para recuperar en el menor tiempo posible las operaciones de la empresa; utilizando para ello un equipo de cómputo alterno minimizando el impacto y el costo de un desastre.

Actividades de prevención ante los desastres

• Enviar respaldos fuera de sitio semanalmente.

• Incluir en el respaldo el software para facilitar la recuperación.

• Tener una instalación remota de reserva para reducir al mínimo la pérdida de datos.

• El suministro de energía ininterrumpido (SAI).

• La prevención de incendios - más alarmas, extintores accesibles.

• Software del antivirus.

• Seguro en el hardware.

Factores a ser tomados en cuenta

• El árbol telefónico: para notificar al personal clave.

• Clientes: la notificación sobre el problema reduce al mínimo el pánico.

• Instalaciones: teniendo sitios de recuperación disponibles o con proveedores.

• Trabajadores con conocimiento.

• La información de negocio: Almacenadas completamente separadas de la empresa.

Controles DRP

• Plan detallado autorizado por la alta gerencia

• Plan detallado conocido por los involucrados

• Pruebas del plan

Contenido de un DRP

• Procedimiento para declarar un desastre (procesos de escalación)

• Criterio para la activación del plan

• Lista de responsables contacto para cada función. (Equipo de recuperación y sus responsabilidades)

• Lista de contactos y de notificación (dueños de los procesos)

• Explicación paso a paso de todo el proceso (donde, cuando, qué [sistemas, redes, sitios, oficinas, data, servicio, proveedor…], quién, orden)

Adquisición, Desarrollo e implementación de sistemasObjetivo

Asegurar que los cambios en los programas y los componentes de la infraestructura relacionados sean solicitados, autorizados, realizados, probados e implantados para lograr los objetivos de la gerencia para el control de aplicaciones.

Ciclo del desarrollo de sistemas

Controles internos para el análisis, desarrollo e implementación de sistemas

Estudio de Factibilidad

Definición de Requerimientos

Selección del Software

Diseño

Desarrollo

Configuración

Pruebas Finales e implementación

Postimplementación

Metodología de desarrollo de sistemas

• Análisis del sistema actual

• Diseño conceptual

• Diseño detallado

• Programación

• Pruebas y correcciones

• Implementación del sistema

• Documentación del sistema

• Capacitación de usuarios

• Liberación del sistema

• Mantenimiento

Elementos de cumplimiento para el análisis, desarrollo e implementación de sistemas

1. Estandarización de metodologías para el desarrollo de proyectos

2. Asegurar que el beneficio del sistema sea óptimo

3. Elaborar estudios de factibilidad del sistema

4. Garantizar la eficiencia y eficacia en el análisis y diseño del sistema

5. Vigilar la efectividad y eficacia en la implementación y el mantenimiento del sistema

6. Lograr un uso eficiente del sistema por medio de su documentación

1. Estandarización de metodologías para el desarrollo de proyectos

• Métodos de diseño de sistemas

• Lineamientos en la realización de sistemas

• Uniformidad de funciones para desarrollar sistemas

• Políticas para desarrollo de sistemas

• Normas para regular el desarrollo de proyectos

2. Asegurar que el beneficio del sistema sea óptimo

• Beneficios tangibles

• Beneficios intangibles

3. Elaborar estudios de factibilidad del sistema

• Operativa

• Económica

• Técnica

• Administrativa

• Otros

4. Garantizar la eficiencia y eficacia en el análisis y diseño del sistema

• Adopción y seguimiento de metodología institucional

• Adopción de una adecuada planeación, programación y presupuestación

• Contar con la participación activa de los usuarios finales

• Contar con personal que tenga experiencia, capacitación y disposición

• Utilizar los requerimientos técnicos (hw, sw, personal)

• Diseñar y aplicar las pruebas previas a la implementación

• Supervisar el avance del proyecto

5. Vigilar la efectividad y eficacia en la implementación y el mantenimiento del sistema

• ¿Cuánto es la vida estimada de un proyecto informático?

6-8 años

• No solo es implementar sino dar mantenimiento

1. Preventivo

2. Correctivo

6. Lograr un uso eficiente del sistema por medio de su documentación

• Manuales instructivos del usuario

• Manual instructivo de operación

• Manual técnico del sistema

• Manual para seguimiento del desarrollo del proyecto del sistema

• Manual instructivo de mantenimiento del sistema

• Otros

Prácticas de Adquisición, Desarrollo e implementación de sistemas

Plan de pruebas

• Realizar las pruebas

• Reportar los resultados

• Seguimiento de problemas

Clasificación de Pruebas de sistemas

• Pruebas unitarias

• Pruebas de interfaz

• Pruebas de sistemas

• Prueba de aceptación final

Técnicas de pruebas

• Alfa y beta

• Piloto

• Caja blanca

• Caja negra

• Función/validación

• Regresión

• Paralelo

• Sociabilidad

• De escritorio

• Datos ficticios

• Aplicaciones automáticas

Subdominios de Adquisición, Desarrollo e implementación de sistemas

• Administración de las actividades de mantenimiento

• Especificación, autorización y rastreo de solicitudes

• Construcción

• Pruebas y Control de Calidad

• Implementación de sistemas

• Documentación y Capacitación

• Segregación de Funciones

Auditando mantenimiento de programas- ¿Qué se revisa?

• Acceso a las librerías de desarrollo es restringido

• Realización de labores de supervisión sobre los programadores

• Solicitudes de cambios deben ser aprobadas y documentadas

• Realizar pruebas mediante muestreo de cambios en los sistemas

• Cambios de emergencia (acceso temporal de desarrollo)

Riesgo de cambios no autorizados-Condiciones de riesgo

• Acceso a código fuente y no es revisado

• No existe un proceso formalizado

• El usuario y la gerencia no autorizó el cambio o no autorizó su implementación

• La implementación por un tercero no es monitoreada

Otros Riesgos

1. Cambios tienen impacto negativo el ambiente de control existente y en el negocio.

2. Cambios no cumplen los requerimientos antes de ser llevados a producción

3. Las pruebas de los cambios impactan negativamente el ambiente de producción

4. La documentación de los sistemas no están en línea con el ambiente actual

5. Las partes relevantes, usuarios y dueños de los procesos no están al tanto de la implementación de los cambios y de los impactos correspondientes

6. Los cambios de emergencia no son legítimos

Papel del Auditor de sistemas

“El auditor IS debe analizar los riesgos asociados y exposiciones inherentes en cada fase del ciclo de vida de los sistemas y asegurarse que los mecanismos de control apropiados existan para minimizar esos riesgos.” ISACA

ISACA

Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información)

Papel del Auditor de sistemas

• Determinar componentes que necesitan controles.

• Determinar el ranking de riesgos y la mejor selección de controles.

• Evaluar y aconsejar sobre el diseño e implementación de controles.

• Periódicamente revisar documentación vrs. Cambios en el sistema para asegurar que el proceso funciona y se cumplan los requerimientos.

• Revisar los mecanismos de administración del proceso de cambios (losgs).

• Verificar procedimientos de aseguramiento de integridad (accesos)

Fases de revisión del auditor ASI

• Administración del proyecto

• Estudio de factibilidad

• Definición de requerimientos

• Proceso de adquisición del software

• Diseño y desarrollo detallado

• Pruebas

• Fase de implementación

• Revisión postimplementación

• Procesos de migración

Contenido lectura de apoyo

• Cap. 5: Controles internos para el análisis, desarrollo e implementación de sistemas (145-157)

SeguridadNiveles de Seguridad

• Redes

Es un conjunto de dispositivos físicos "hardware" y de programas "software", mediante el cual podemos comunicar computadoras para compartir recursos (discos, impresoras, programas, etc.) así como trabajo (tiempo de cálculo, procesamiento de datos, etc.)

• Sistema Operativo

Es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware y provee servicios a los programas de aplicación

• Aplicaciones

Programa informático diseñado para facilitar al usuario la realización de un determinado tipo de trabajo.

Son software diseñados para soportar un segmento de la empresa. Casi todas las funciones comunes de una organización (bases de datos de clientes, nóminas, contabilidad, etc). Suelen estar contempladas en estos programas.

Abarcan necesidades tan variados como sea posible, facilitando el manejo de la información de gestión de la empresa. Están orientados a manejar áreas específicas de cada empresa, tomando en cuenta su tamaño y el sector de trabajo.

• Bases de datos

Una base de datos o banco de datos es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso.

Subdominios

1. Administración de las actividades de Seguridad

2. Administración de Seguridad

3. Seguridad de datos

4. Seguridad del sistema operativo

5. Seguridad de aplicativos

6. Seguridad de red

7. Seguridad física

1. Administración de las actividades de Seguridad

Debe diseñarse e implantarse una función de seguridad y las políticas y procedimientos respectivos para respaldar los objetivos de integridad de la información de la entidad.

En este subdominio se realiza lo siguiente:

Se define la propiedad de datos por cada unidad de negocio, se documenta y comunica los roles y responsabilidades, se definen, documentan y comunican las políticas y procedimientos, se actualizan las políticas y se capacita periódicamente a los usuarios

Asignación

1. Descargar una política de seguridad de información y uso de sistemas

2. Leerla

3. Comentar sobre su contenido, remarcar que les llamó la atención

2. Administración de Seguridad

Las actividades de administración de la seguridad deben asegurar que los accesos están restringidos en forma apropiada únicamente a los individuos autorizados cuyos derechos de acceso son acordes a sus responsabilidades y a los objetivos de control de la gerencia.

En este subdominio se realiza lo siguiente:

- Se definen y establecen derechos de acceso

- Se diseñan controles para asegurar que los derechos de acceso son correctamente otorgados, modificados y eliminados.

- Revisiones periódicas del acceso de los usuarios.

3. Seguridad de datos

Asegurar que el acceso directo a los datos está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.

En este subdominio se realiza lo siguiente:

- Las bases de datos son configurados de modo de restringir adecuadamente el acceso.

- Cómo monitorea la gerencia las bases de datos para detectar una posible actividad no autorizada (es decir, acceso desde fuera de la aplicación).

4. Seguridad del sistema operativo

Los controles sobre la seguridad del sistema operativo deben asegurar que el acceso al sistema operativo está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.

En este subdominio se realiza lo siguiente:

- Las configuraciones de seguridad, es decir, parámetros de seguridad global, parámetros de contraseñas, etc.

- Que los cambios en configuraciones son modificadas de una manera controlada.

- Cómo monitorea la gerencia para detectar una posible actividad no autorizada

5. Seguridad de aplicativos

Los controles sobre la seguridad del sistema aplicativo deben asegurar que el acceso al sistema está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.

En este subdominio se realiza lo siguiente:

- Las configuraciones de seguridad, es decir, parámetros de seguridad global, parámetros de contraseñas, etc.

- Que los cambios en configuraciones son modificadas de una manera controlada.

- Cómo monitorea la gerencia para detectar una posible actividad no autorizada

6. Seguridad de red (Sección 12.7)

Los controles sobre la seguridad de la red interna y externa para proteger los sistemas de accesos no autorizados

En este subdominio se realiza lo siguiente:

- Diseño de la red para que los sistemas estén protegidos en forma apropiada del acceso no autorizado (p.ej. firewalls)

- Cómo se asegura la gerencia de que en la configuración de la red se incluyen controles de autenticación (controles de contraseñas, asignación de usuarios a los grupos, acceso remoto).

- Cómo monitorea la gerencia los posibles incidentes de seguridad en la red interna y externa, y cómo responde a ellos.

7. Seguridad física (Sección 12.11)

Los controles sobre la seguridad y condiciones ambientales.

Asignación

• Realizar una evaluación de seguridad física y condiciones ambientales de un área de su elección.

• Listar que aspectos se están cumpliendo y cuales no según lo discutido en clase. Se puede apoyar de la sección 12.11 del libro de texto.

• Plazo: Siguiente clase