Evaluación de ControlesEtapa de Ejecución:Auditar de los mecanismos existentes.

Controles Son mecanismos de control, disminuye

el riesgo de una falla o error. Evita problemas en el sistema. Es cualquier tipo de proceso, ya sea

administrativo o computacional, que ha sido desarrollado para verificar si se cumplen las disposiciones, políticas o parámetros de operación de la empresa.

Clasificación Tipos:

Controles Preventivos : establece un parámetro seguro, el cual eventualmente se puede sobre pasar a riesgo del usuario (ej: backups del sistema en caso de catástrofe, evita perdida total de datos)

Controles Detectivos: son aquellos que no evitan que ocurra el problema, porque no se puede evitar y alertan del suceso negativo. (ej: puerto 3 del switch de red desconectado, PC con tarjeta de red dañada)

Controles Correctivos: Ayudan a la investigación y corrección de las causas de riesgo (ej: verificación de logs, reinicio de sistema, reconfiguración de equipos)

Principales controles lógicos y físicos Autenticidad: validación de datos Redundancia: evitan duplicidad de datos Privacidad: encriptación o codificación de datos Protección de activos: proteger la información y

el hardware que la maneja Efectividad: medidas de calidad y satisfacción,

el cliente queda satisfecho Eficiencia: monitorear desempeño del sistema,

costo-beneficio, tiempos de respuesta

Controles En Las Contraseñas Periodicidad de cambio de claves de

acceso: los cambios de clave deben ser periódicos y obligatorios.

Combinación de alfanuméricos en claves de acceso: las claves generadas deben ser lo mas indescifrables e ininteligibles posibles, deben ser: Individuales Confidenciales No significativas

Verificación de datos de entrada Además de la difícil tarea de verificar la exactitud

o veracidad de los datos, validar los datos de entrada es asegurarse que exista COMPATIBILIDAD de los datos de entrada con los tipos definidos en el sistema

Conteo de registros: se cuentan los registros ingresados contra el numero de operaciones atendidas en registros manuales

Totales de control: se generan totales en base a los registros de la base de datos y se comparan con conteos y totales manuales

Software de protección de datos Características: Restringe el uso del computador para que solo

acceda a las funciones o programas autorizados. Restringe la información para que no pueda ser

vista por otros usuarios que puedan hacer mal uso.

Algunos programas permiten encriptar la información o simplemente hacerla inentendible a los usuarios.

Ejemplos: Watchdog, Secure Disk, PGP (archivos)

Control Interno Informático:Procesamiento de Datos Controles de:

Preinstalación Organización y planificación Sistemas en desarrollo y producción Procesamiento Operación Uso de microcomputadores

Controles de preinstalación Objetivos: Garantizar que el hardware y el software

que se hayan adquirido proporcionen los mayores beneficios y prestaciones de acuerdo a los recursos de la empresa

Acciones: Elaborar un informe técnico en el que se

justifique la compra del equipo, software y servicios, es decir estudio costo-beneficio.

Controles de organización y planificación Objetivo: Definir funciones, línea de autoridad y

responsabilidades dentro las unidades del área informática.

Acción: El área de informática debe estar

estrechamente ligada con punta de la pirámide administrativa de manera que hayan menos obstáculos para el cumplimiento de objetivos.

Controles de sistema en desarrollo y producción Objetivos: Analizar el costo-beneficio que proporcionan los

sistemas que se han desarrollado para la empresa. Analizar la calidad tanto del producto final así

como del proceso de desarrollo, documentación e implementación.

Acciones: El personal de auditoria debe formar parte del

grupo de diseño para sugerir y solicitar la implementación de rutinas de control (evaluación estratégica de sistemas)

Controles de procesamiento Objetivo: Asegurar que todos los datos sean procesados

en los procesos correspondientes. Garantizar la exactitud de los datos

procesados. Acción: Capacitar a los usuarios sobre el uso del

sistema, que sigan los pasos adecuados. Validar datos de entrada para tener los datos

de salida correctos.

Controles de operación Objetivos: Prevenir y detectar errores accidentales que puedan

ocurrir en el centro de computo. Garantizar la integridad de los recursos informáticos,

buen uso del computo. Acciones: El acceso a servidores o centros de computo solo a

personal autorizado. Claves y passwords especiales a los administradores de

sistemas. Asegurarse de que existe protección eléctrica como

reguladores de voltaje y UPS’s

UPS profesionales

Controles en el uso del computador Objetivo: Evitar que las terminales o estaciones de trabajo se

conviertan en puertas de entrada para la manipulación fraudulenta de datos.

Evitar que las terminales se conviertan en focos de infección de virus.

Acciones: Establecer políticas de grupos que restrinjan el uso

del computador solo a los programas necesarios Asegurarse de las garantías de los equipos y

mantenimientos.

El caso del cumpleañero Yung-Hsun Lin era sysadmin en una gran

compañía médica. Cuando pensó que sería despedido, insertó un script en los servidores de la compañía que borraría las bases de datos el día de su cumpleaños, al año siguiente.Pero no lo despidieron, y por alguna razón no removió el script, pero se aseguró de que no se iniciara como estaba planeado. Esto no funcionó del todo bien, porque sí se ejecutó en la fecha indicada, pero no causó daño debido a un error de programación. Pero decidió corregir el script y cambiar la fecha para el año siguiente, sólo por si acaso. Otro sysadmin descubrió el código y dio la alarma.