Mecanismos de control para los Sistemas de Misin Crtica.

Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicacin. Controles de aplicacin o mecanismos de control ayudan a asegurar que las transacciones son vlidas, debidamente autorizadas y procesadas de manera completa y exacta por las aplicaciones. Normalmente se dividen en tres fases de un ciclo de procesamiento:

Entrada.- Los datos estn autorizados, convertidos de forma automtica, y capturados de una manera precisa, completa y oportuna. Procesamiento.- Los datos son procesados correctamente por la aplicacin y los archivos se actualizan correctamente. Salida.- Los archivos y los informes generados por la aplicacin se generan y reflejan con precisin los resultados, as como son controlados y distribuidos a los usuarios autorizados.

De acuerdo a las mejores prcticas de control interno de tecnologa, COBIT asume que el diseo e implementacin de los controles de aplicacin automatizados son responsabilidad de TI, con base en los requerimientos de negocio definidos, usando los criterios de informacin: Efectividad.- Tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. Eficiencia.- Consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos. Confidencialidad.- Se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. Integridad.- Est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. Disponibilidad.- Se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas. Cumplimiento.- Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocio, es decir, criterios de negocios impuestos externamente, as como polticas internas. Confiabilidad.- Se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad, ejerciendo sus responsabilidades fiduciarias y de gobierno.

La responsabilidad operativa de administrar y controlar los controles de aplicacin es de los dueos de los procesos de negocio, sin embargo, los controles deben ser automatizados e implementados por el rea de tecnologa con base a los requerimientos funcionales definidos.

1.1. Objetivos de control de aplicaciones.

La siguiente lista ofrece el conjunto recomendado (por COBIT) de objetivos de control de aplicaciones. Identificados por ACn, de Control de Aplicacin nmero (por sus siglas en ingls): AC1 Preparacin y Autorizacin de Informacin Fuente.- Asegurar que los documentos fuente estn preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregacin de funciones respecto al origen y aprobacin de estos documentos. Los errores y omisiones pueden ser minimizados a travs de buenos diseos de formularios de entrada. Detectar errores e irregularidades para que sean informados y corregidos. AC2 Recoleccin y Entrada de Informacin Fuente.- Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, se deben retener los documentos fuente originales durante el tiempo necesario. AC3 Chequeos de Exactitud, Integridad y Autenticidad.- Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. AC4 Integridad y Validez del Procesamiento.- Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe el procesamiento de transacciones validas. AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores.Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la transmisin; que se verifica, detecta y corrige la exactitud de la salida. AC6 Autenticacin e Integridad de Transacciones.- Antes de pasar datos de la transaccin entre aplicaciones internas y funciones de negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad durante la transmisin o el transporte.

1.2. Consideraciones para los controles de aplicaciones.

AC1 AC1.1

Preparacin y Autorizacin de Informacin Fuente. Preparacin documentos fuente.

AC1.2

Autorizacin documentos fuente.

Entrad a de Los documentos fuente son formularios para la captura de datos. Es necesario considerar para todos los Sistemas de Misin Crtica, que los formatos contengan: Informacin estndar o conocida pre-impresa para evitar errores. Ttulos, cabeceras y/o notas sobre la informacin a capturar. Hacer notar las partes diferentes de informacin para el usuario. Colocar en el documento fuente los campos en el mismo orden en que sern capturados. Siempre que sea posible se debern incluir respuestas mltiples. Indicar los formatos de los campos cuando se requiera. Pre-numerar los formularios. Sistema de control de acceso al lugar donde estn almacenados los formularios y control peridico de inventario de los mismos. de Se requieren controles adecuados de acceso para identificar a la persona que accede a la aplicacin y comprobar que tiene permiso para hacerlo. Los controles de acceso debern incluir: Privilegios de acceso. Son los permisos con los que cuenta un usuario especfico o un grupo de usuarios. Tipos de permisos. De creacin, lectura, modificacin y de borrado. Es decir, las acciones que puede hacer un usuario especfico. Autorizaciones. Consideran a ciertos campos de un registro, un registro completo, una porcin de la Base de Datos, y/o a toda una Base de Datos. Privilegios en cascada. Un usuario con cierto privilegio puede otorgar (si tiene permiso

Ciclo

para ello) a otros usuarios un privilegio especifico en algn proceso. Contraseas (passwords). Para la composicin de las contraseas seguras, deben considerarse mecanismos automticos y que estos a su vez se formalicen dentro de una Poltica de Seguridad: Deben de tener una longitud de 6 a 8 caracteres. No deben corresponder a nmeros secuenciales ni a nombres o fechas. Deben de combinar letras y nmeros, as como por maysculas y minsculas. Deben ser cambiadas por lo menos cada 60 das y no deben de poder repetirse durante un cierto perodo de tiempo. Se deben bloquear los usuarios despus de un nmero determinado de intentos fallidos al introducir la contrasea (normalmente tres). Criterios de Informacin aplicados al objetivo de control
Efectividad Eficiencia Confidencialida d Integridad Disponibilida d Cumplimiento Confiabilidad

Secundari o

Primario

Secundari o

Primari o

Secundari o

AC2 AC2.1

Recoleccin y Entrada de Informacin Fuente.

AC2.2

Entrad a Entrada de Se debe garantizar que solo documentos fuentes informacin autorizados sean capturados en la aplicacin, fuente. para lo cual debe asegurarse que: El control de documentos debe comenzar incluso antes de que los datos se registran en el documento. Los documentos originales en blanco debern estar en un lugar restringido y solo personal autorizado podr acceder a estos. Los documentos fuente deben contener autorizacin ya sea por medio de firma electrnica o en papel. Revisiones de control independiente de los datos antes de capturarlos en la aplicacin, ayuda a prevenir la ocurrencia de operaciones no autorizadas. Si se trata de informacin confidencial, podran existir terminales especiales para la entrada de esta informacin. Las terminales debern estar conectadas al sistema slo durante determinados perodos del da, que se corresponde con el horario laboral del personal responsable de la entrada de datos. Para los documentos fuente que sern ingresados por lote, debe contarse con una bitcora de control de cada lote, indicando quin preparo la informacin, la fecha de cada lote, un nmero de control de proceso, el nmero de documentos en el lote, as como un total control de los registros. Retencin de Se debern retener los documentos fuentes por documentos un periodo especfico de tiempo. Si se llegan a fuente. identificar errores post-captura de informacin, debern referirse a los documentos fuente para determinar el motivo de las inconsistencias. Criterios de Informacin aplicados al objetivo de control
Eficiencia Confidencialida d Integridad Disponibilida d Cumplimiento Confiabilida d

Ciclo

Efectividad

Secundari o

Secundari o

Secundari o

Primari o

Secundari o

AC3 AC3.1

AC3.2

Chequeos de Exactitud, Integridad y Cicl Procesamient Autenticidad. o o Validacin de Para realizar una correcta validacin de los datos datos. de entrada es necesario: Determinar en primer lugar lo que es correcto y luego las posibles desviaciones. Determinar una lgica de validacin agrupada en mdulos (Programacin Estructurada). Ordenar los errores por probabilidad de aparicin. Validar todos los errores posibles. Comprobar los valores y cdigos que estarn en tablas y que no debern de estar integrados en el cdigo. Identificar todos los errores posibles en un solo proceso. Validar exhaustivamente las condiciones. Realizar una correccin automtica de errores si es posible. Comprobar la documentacin de los programas de la aplicacin. Validacin de Con base en la validacin de datos, deben entradas. hacerse validaciones preventivas en el momento de la captura de los datos: Validacin de campo. Incluir rutinas que verifiquen la compatibilidad de los datos, ms no su exactitud o precisin. Controlar los datos omitidos, la presencia de espacios en blanco, el tipo del campo (alfabtico, numrico, fecha, etc.), los rangos de los datos, la pertenencia a un conjunto de datos, el dgito de control, entre otros. Criterios de Informacin aplicados al objetivo de control
Eficiencia Confidencialida d Integridad Disponibilidad Cumplimient o Confiabilidad

Efectividad

Secundari o

Primario

Secundari o

Primari o

Secundari o

Primario

Primario

AC4 AC4. 1

Integridad y Validez del Procesamiento.

Procesamien to Integridad del De acuerdo a lo comentado por los administradores, procesamiento. se verific que las bases de datos no cuentan con integridad referencial observando un mayor riesgo, se recomienda aplicar normalizacin de las bases de datos para asegurar la integridad de los datos e informacin del Instituto, adicionalmente y con base en la validacin de datos, se debern realizar validaciones a cuatro niveles: de campo, de registro, de proceso en lote y de archivo. Validacin de campo. Verificar operaciones errneas tales como desbordamiento (overflow), falta de inicializacin de tablas, campos, registros no encontrados con base en campos llave, entre otras validaciones. Validacin de registro. Datos razonables. El valor de un determinado dato debe de estar de acuerdo con las normas especificadas para ese dato, por ejemplo la validacin de composicin de un RFC. Signo vlido. Por ejemplo, el retiro de dinero en una cuenta debe de tener signo negativo. Tamao. Es necesario comprobar la longitud de los registros, cuando stos son de longitud variable. Verificacin de lmites. Consiste en la validacin automtica de tablas, cdigos, lmites mnimos y mximos o bajo determinadas condiciones dadas previamente. Secuencia del registro variable. Cuando un registro lgico tiene ms de un registro fsico, se debe comprobar la secuencia de aparicin de los distintos tipos de registro. Secuencia de registro individual. En caso que se requiera, se debe verificar secuencia numrica o alfabtica, ascendente o descendente de los registros, esta verificacin debe hacerse mediante rutinas independientes del programa Validacin de procesos en lote. Deber generarse una bitcora del proceso por lote que indique:

Ciclo

AC4. 2

Totales. Cifras control de cantidad columnas, registros, sumatorias de campos de importe, registros procesados, con errores, separar aquellos registros con diferencias. Tamao. En caso de que exista un nmero mximo permitido de registros. Secuencia del procesamiento. Si es necesario deber considerase dentro de la programacin en lote la dependencia. Validacin de archivo. Validez del archivo. Se debern considerar aspectos como el etiquetado interno, el nmero de generacin del archivo, la fecha de retencin (fecha a partir de la cual el fichero deja de ser vlido), los totales de control, si ya fue procesado el archivo o se trata de correcciones de errores, entre otros. Validez de datos. Se pueden calcular de modo independiente para comprobar la integridad de la informacin. Tratamiento de Se recomienda incluir una administracin de los errores. errores identificados para los Sistemas de Misin Crtica, la cual deber considerar: Un informe de errores. El informe de errores debe de identificar claramente los errores ordenados por tipo de error. Este informe deber ser asignado a las distintas personas encargadas de corregirlos. Adems se debern documentar todos los errores de un mismo registro e indicar la causa del error para posteriormente obtener una estadstica de los errores encontrados, por tipo de error, frecuencia de cada error, total de errores, etc. Su tratamiento. Cuando se producen errores se debe generar un informe resumen de los errores, as como almacenarlos en un archivo de errores por proceso. Este archivo debe ser actualizado al cierre del procesamiento. Una vez corregidas las inconsistencias del archivo de errores, ste se utilizar como archivo de entrada de datos a la aplicacin. Criterios de Informacin aplicados al objetivo de control
Eficiencia Confidencialida d Integridad Disponibilida d Cumplimiento Confiabilidad

Efectividad

AC5

Primari Primario Primario Primario o Revisin de Salidas, Reconciliacin y Manejo de Ciclo Salida

Primario

AC5.1

AC5.2

AC5.3

Errores. Informacin de Se debe considerar en el diseo de los informes control de (creacin, distribucin y uso) la informacin de salidas en lote. control que debe de tener, tal como: Titulo del informe Nombre del informe Fecha y hora del proceso Lista de distribucin (incluye el nmero de copias) Perodo de proceso cubierto Programa que obtiene el informe Clasificacin de seguridad Fecha de retencin Mtodo de destruccin, si se requieren procedimientos especiales para eliminar el informe Cifras control del reporte (total de registros y de importes) Cabecera del informe Contenido de las columnas del informe Nmero de pginas Marca de fin del informe Adems debe considerarse que solo personal autorizado pueda generar o tener acceso al informe. Se recomienda formalizar y publicar un documento en el cual se estipulen todas las consideraciones antes mencionadas. Informacin de Por medio de los controles de acceso se debe de control de asegurar que los informes por pantalla slo estn salidas en lnea. accesibles al personal autorizado. Visto bueno de Se deber hacer una validacin para detectar y salidas. corregir errores de procesamiento, si existieran. El usuario responsable del informe debe dar el visto bueno del mismo. Criterios de Informacin aplicados al objetivo de control
Eficiencia Confidencialida d Integridad Disponibilida d Cumplimiento Confiabilidad

Efectividad

Primario

Secundar io

Primario

Primari o

Primario

Primario

Primario

AC6 AC6.1

Autenticacin e Integridad de Transacciones. Ciclo Salida Transmisin de Cuando se requiere transmitir informacin ya sea datos. interna o externa, debern considerarse los siguientes controles: Polticas y procedimientos de transmisin y retransmisin de datos. Restricciones de acceso para transmitir o enviar informacin. Adecuada identificacin y autorizacin para los que envan y reciben informacin. Encripcin de datos transmitidos con adecuados algoritmos. Pruebas de integridad de transmisin de datos. Criterios de Informacin aplicados al objetivo de control

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad

Secundario

Primario

Primario

Primario