Evaluación de ControlesEtapa de Ejecución:Auditar de los mecanismos existentes.
Controles Son mecanismos de control, disminuye
el riesgo de una falla o error. Evita problemas en el sistema. Es cualquier tipo de proceso, ya sea
administrativo o computacional, que ha sido desarrollado para verificar si se cumplen las disposiciones, políticas o parámetros de operación de la empresa.
Clasificación Tipos:
Controles Preventivos : establece un parámetro seguro, el cual eventualmente se puede sobre pasar a riesgo del usuario (ej: backups del sistema en caso de catástrofe, evita perdida total de datos)
Controles Detectivos: son aquellos que no evitan que ocurra el problema, porque no se puede evitar y alertan del suceso negativo. (ej: puerto 3 del switch de red desconectado, PC con tarjeta de red dañada)
Controles Correctivos: Ayudan a la investigación y corrección de las causas de riesgo (ej: verificación de logs, reinicio de sistema, reconfiguración de equipos)
Principales controles lógicos y físicos Autenticidad: validación de datos Redundancia: evitan duplicidad de datos Privacidad: encriptación o codificación de datos Protección de activos: proteger la información y
el hardware que la maneja Efectividad: medidas de calidad y satisfacción,
el cliente queda satisfecho Eficiencia: monitorear desempeño del sistema,
costo-beneficio, tiempos de respuesta
Controles En Las Contraseñas Periodicidad de cambio de claves de
acceso: los cambios de clave deben ser periódicos y obligatorios.
Combinación de alfanuméricos en claves de acceso: las claves generadas deben ser lo mas indescifrables e ininteligibles posibles, deben ser: Individuales Confidenciales No significativas
Verificación de datos de entrada Además de la difícil tarea de verificar la exactitud
o veracidad de los datos, validar los datos de entrada es asegurarse que exista COMPATIBILIDAD de los datos de entrada con los tipos definidos en el sistema
Conteo de registros: se cuentan los registros ingresados contra el numero de operaciones atendidas en registros manuales
Totales de control: se generan totales en base a los registros de la base de datos y se comparan con conteos y totales manuales
Software de protección de datos Características: Restringe el uso del computador para que solo
acceda a las funciones o programas autorizados. Restringe la información para que no pueda ser
vista por otros usuarios que puedan hacer mal uso.
Algunos programas permiten encriptar la información o simplemente hacerla inentendible a los usuarios.
Ejemplos: Watchdog, Secure Disk, PGP (archivos)
Control Interno Informático:Procesamiento de Datos Controles de:
Preinstalación Organización y planificación Sistemas en desarrollo y producción Procesamiento Operación Uso de microcomputadores
Controles de preinstalación Objetivos: Garantizar que el hardware y el software
que se hayan adquirido proporcionen los mayores beneficios y prestaciones de acuerdo a los recursos de la empresa
Acciones: Elaborar un informe técnico en el que se
justifique la compra del equipo, software y servicios, es decir estudio costo-beneficio.
Controles de organización y planificación Objetivo: Definir funciones, línea de autoridad y
responsabilidades dentro las unidades del área informática.
Acción: El área de informática debe estar
estrechamente ligada con punta de la pirámide administrativa de manera que hayan menos obstáculos para el cumplimiento de objetivos.
Controles de sistema en desarrollo y producción Objetivos: Analizar el costo-beneficio que proporcionan los
sistemas que se han desarrollado para la empresa. Analizar la calidad tanto del producto final así
como del proceso de desarrollo, documentación e implementación.
Acciones: El personal de auditoria debe formar parte del
grupo de diseño para sugerir y solicitar la implementación de rutinas de control (evaluación estratégica de sistemas)
Controles de procesamiento Objetivo: Asegurar que todos los datos sean procesados
en los procesos correspondientes. Garantizar la exactitud de los datos
procesados. Acción: Capacitar a los usuarios sobre el uso del
sistema, que sigan los pasos adecuados. Validar datos de entrada para tener los datos
de salida correctos.
Controles de operación Objetivos: Prevenir y detectar errores accidentales que puedan
ocurrir en el centro de computo. Garantizar la integridad de los recursos informáticos,
buen uso del computo. Acciones: El acceso a servidores o centros de computo solo a
personal autorizado. Claves y passwords especiales a los administradores de
sistemas. Asegurarse de que existe protección eléctrica como
reguladores de voltaje y UPS’s
UPS profesionales
Controles en el uso del computador Objetivo: Evitar que las terminales o estaciones de trabajo se
conviertan en puertas de entrada para la manipulación fraudulenta de datos.
Evitar que las terminales se conviertan en focos de infección de virus.
Acciones: Establecer políticas de grupos que restrinjan el uso
del computador solo a los programas necesarios Asegurarse de las garantías de los equipos y
mantenimientos.
El caso del cumpleañero Yung-Hsun Lin era sysadmin en una gran
compañía médica. Cuando pensó que sería despedido, insertó un script en los servidores de la compañía que borraría las bases de datos el día de su cumpleaños, al año siguiente.Pero no lo despidieron, y por alguna razón no removió el script, pero se aseguró de que no se iniciara como estaba planeado. Esto no funcionó del todo bien, porque sí se ejecutó en la fecha indicada, pero no causó daño debido a un error de programación. Pero decidió corregir el script y cambiar la fecha para el año siguiente, sólo por si acaso. Otro sysadmin descubrió el código y dio la alarma.
Top Related