CONTROLES INFORMÁTICOS

CONTROLES INFORMÁTICOS Control Interno Se puede definir el control interno como “cualquier “cualquier actividad o acción realizada manual y/o automátic automáticamen amente te para prevenir, prevenir, corregir corregir errores errores o irregula irregularida ridades des que puedan puedan afectar el funcionamiento de un sistema para conseguir sus objetivos”. os controles cuando se dise!en, desarrollen e implementen" #an de ser al menos completos, simples, fiables, revisables, adecuados adecuados y rentables. $especto a esto %ltimo #abrá que analizar el coste&riesgo de su implementación. os os cont contro role les s inte intern rnos os que que se util utiliz izan an en el ento entorn rno o info inform rmát átic ico o cont contin in%a %an n evolucionando #oy en d'a en la medida que los sistemas informáticos se vuelven complejos. os progresos que se producen en la tecnolog'a de soportes f'sicos y de soft(are #an modificado de manera significativa los procedimientos que se emplean tradicion tradicionalme almente nte para controlar controlar los procesos procesos de aplicaci aplicaciones ones y para gestionar gestionar los sistemas de información. )ara asegurar la integridad y la disponibilidad, eficacia de los sistemas se requieren complejos mecanismos de control, la mayor'a de los cuáles son automáticos. $esulta intere interesan sante te obser observa var, r, sin sin embarg embargo, o, que que #asta #asta en los los sistem sistemas as servid servidor/ or/cli clien ente te avanzado avanzados, s, aunque aunque algunos algunos controles controles son completa completamente mente automáticos, automáticos, otros son completamente manuales, y muc#os dependen de una combinación de elementos de soft(are y de procedimientos. procedimientos. *istó *istóric ricam ament ente e los los contro controle les s infor informá mátic ticos os se #an #an clasi clasific ficado ado en las las siguie siguiente ntes s categor'as+ •

ontroles preventivos.

•

ontroles detectivos.

•

ontroles correctivos.

a relación que e-iste entre los mtodos de control y los objetivos de control se puede mostrar mediante el siguiente ejemplo, en el que un mismo conjunto de mtodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento cómo de seguridad de los programas+ •

Objetivos de control de mantenimiento: segurar que las modificaciones de los procedimientos programados están adecuadamente dise!adas, probadas, aprobadas e implementadas.

•

0arantiz tizar ar que no se Objetivo de control de seguridad de rogramas: 0aran pueden efectuar cambios no autorizados en los procedimientos programados.

CONTROLES INTERNOS INFORMÁTICOS 1l ontrol 2nterno 2nformático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar  los 'ndices de econom'a, eficiencia y efectividad de los procesos operativos automatizados. 3uditor'a 2nformática 4 plicaciones en )roducción 4 5os 6agoberto )inilla7 1l 2nforme 8S8 define el ontrol 2nterno como “as normas, los procedimientos, las prácticas y las estructuras organizativas dise!adas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. 9ambin se puede definir el ontrol 2nterno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. 3uditor'a 2nformática 4 :n 1nfoque )ráctico 4 ;ario 0. )lattini7

Tios 1n el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos+ < ontroles manuales" aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de #erramientas computacionales. < ontroles utomáticos" son generalmente los incorporados en el soft(are, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. os controles seg%n su finalidad se clasifican en+ < ontroles )reventivos, para tratar de evitar la producción de errores o #ec#os fraudulentos, como por ejemplo el soft(are de seguridad que evita el acceso a personal no autorizado. < ontroles 6etectivos" trata de descubrir a posteriori errores o fraudes que no #aya sido posible evitarlos con controles preventivos. < ontroles orrectivos" tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

Objetivos rinciales: < ontrolar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. < sesorar sobre el conocimiento de las normas < olaborar y apoyar el trabajo de uditor'a 2nformática interna/e-terna < 6efinir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos. < $ealizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

Control interno in!orm"tico #!unci$n% 1l ontrol 2nterno 2nformático es una función del departamento de 2nformática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y e-ternamente. 1ntre sus funciones espec'ficas están+ < 6ifundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, tcnicos y operadores. < 6ise!ar la estructura del Sistema de ontrol 2nterno de la 6irección de 2nformática en los siguientes aspectos+ < 6esarrollo y mantenimiento del soft(are de aplicación. < 1-plotación de servidores principales < Soft(are de =ase < $edes de omputación < Seguridad 2nformática < icencias de soft(are < $elaciones contractuales con terceros < ultura de riesgo informático en la organización

Control interno in!orm"tico #"reas de alicaci$n% Controles generales organi&ativos Son la base para la planificación, control y evaluación por la 6irección 0eneral de las actividades del 6epartamento de 2nformática, y debe contener la siguiente planificación+ < )lan 1stratgico de 2nformación realizado por el omit de 2nformática. < )lan 2nformático, realizado por el 6epartamento de 2nformática. < )lan 0eneral de Seguridad 3f'sica y lógica7. < )lan de ontingencia ante desastres.

Controles de desarrollo ' mantenimiento de sistemas de in!ormaci$n )ermiten alcanzar la eficacia del sistema, econom'a, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a travs de metodolog'as como la del iclo de >ida de 6esarrollo de aplicaciones.

Controles de e(lotaci$n de sistemas de in!ormaci$n 9ienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del #ard(are as' como los procedimientos de, instalación y ejecución del soft(are.

Controles en alicaciones 9oda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y e-actos de los datos.

Controles en sistemas de gesti$n de base de datos 9ienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

Controles in!orm"ticos sobre redes 9ienen que ver sobre el dise!o, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos. 

Controles sobre comutadores ' redes de "rea local Se relacionan a las pol'ticas de adquisición, instalación y soporte tcnico, tanto del #ard(are como del soft(are de usuario, as' como la seguridad de los datos que en ellos se procesan.

CONTROL INTERNO INFORM)TICO 1l control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, as' como los requerimientos legales. a función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. ontrol interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. omo principales objetivos podemos indicar los siguientes+ •

•

•

•

ontrolar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.  sesorar sobre el conocimiento de las normas. olaborar y apoyar el trabajo de uditoria informática, as' como de las auditor'as e-ternas al grupo. 6efinir, implantar y ejecutar mecanismos y controles para comprobar el logro de los casos adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique e-clusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, as' como de la implantación de los medios de medida adecuados.

a auditor'a informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad

de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

SIMILIT*+ES

+IFERENCI)S

CONTROL INTERNO )*+ITOR INFORMÁTICO INFORMÁTICO ,ERSON)L INTERNO onocimientos especializados en tecnolog'as de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por  la dirección informática y la dirección general para los sistemas de información.  nálisis de los controles  nálisis de un momento en el d'a a d'a. 2nforma a informático determinado. la dirección del 2nforma a la dirección departamento de general de la informática sólo personal organización. )ersonal interno el enlace de sus interno y/o e-terno tiene funciones es %nicamente cobertura sobre todos los sobre el departamento de componentes de los informática sistemas de información de la organización

+EFINICION - TI,O +E CONTROLES INTERNOS

Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. os controles internos se clasifican en los siguientes+  



Controles reventivos: )ara tratar de evitar el #ec#o, como un soft(are de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: uando fallan los preventivos para tratar de conocer  cuanto antes el evento. )or ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles correctivos: ?acilitan la suelta a la normalidad cuando se #an producido incidencias. )or ejemplo, la recuperación de un fic#ero da!ado a partir de las copias de seguridad.

IM,L)NT)CION +E *N SISTEM) +E CONTROLES INTERNOS INFORM)TICOS )ara llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, as' como los distintos niveles de control y elementos relacionados+ o

Entorno de red: 1squema de la red, descripción de la configuración #ard(are de comunicaciones, descripción del soft(are que se utiliza como acceso a las

o

o

o

o

telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones cr'ticas y consideraciones relativas a la seguridad de la red. Con!iguraci$n del ordenador base: onfiguración del soporte f'sico, en torno del sistema operativo, soft(are con particiones, entornos 3pruebas y real7, bibliotecas de programas y conjunto de datos. Entorno de alicaciones: )rocesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. ,roductos ' .erramientas: Soft(are para desarrollo de programas, soft(are de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: 2dentificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

)ara la implantación de un sistema de controles internos informáticos #abrá que definir+ 







/esti$n de sistema de in!ormaci$n: )ol'ticas, pautas y normas tcnicas que sirvan de base para el dise!o y la implantación de los sistemas de información y de los controles correspondientes. )dministraci$n de sistemas:  ontroles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes. Seguridad: 2ncluye las tres clases de controles fundamentales implantados en el soft(are del sistema, integridad del sistema, confidencialidad 3control de acceso7 y disponibilidad. /esti$n del cambio: Separación de las pruebas y la producción a nivel del soft(are y controles de procedimientos para la migración de programas soft(are aprobados y probados.

8@:S28@1S