Auditora Informtica

Clasificacin general de los controles

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores. Ejemplos: Letrero No fumar para salvaguardar las instalaciones, Sistemas de claves de acceso.

Controles Detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora, Procedimientos de validacin

Auditora Informtica
Clasificacin general de los controles (continuacin)
Controles

Correctivos

Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores, y es lo ms caro para la organizacin. Ejemplo: La recuperacin de un archivo daado a partir de respaldos.

Auditora Informtica
Principales Controles Fsicos y Lgicos

Autenticidad.- Permiten verificar la identidad. Passwords Firmas digitales Exactitud.- Aseguran la coherencia de los datos Validacin de campos Validacin de excesos o casos de borde Totalidad.- Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo Conteo de registros Cifras de control. Redundancia.- Evitan la duplicidad de datos. Cancelacin de lotes o proceso batch Verificacin de secuencias.

Auditora Informtica
Principales Controles Fsicos y Lgicos (continuacin)

Privacidad.- Aseguran la proteccin de los datos. Compactacin Encriptacin. Proteccin de Activos.- Destruccin o corrupcin de informacin o del hardware. Extintores Passwords.

Auditora Informtica
Principales Controles (continuacin)

Fsicos

Lgicos

Efectividad.

Aseguran el logro de los objetivos.

Encuestas de satisfaccin Medicin de niveles de servicio.

Eficiencia.recursos.

Aseguran el uso ptimo

de los

Anlisis costo-beneficio

Auditora Informtica
Controles automticos o lgicos.

Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema computacional. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso No es conveniente que la clave est compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.

Auditora Informtica
Controles de Sistema en Desarrollo y Produccin Controles de Desarrollo de Aplicaciones

Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

Auditora Informtica
Controles de Sistema en Desarrollo y Produccin (Continuacin)

Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones posibles. Todos los sistemas deben estar debidamente documentados y actualizados Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo. El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos

Auditora Informtica
Controles de Sistema en Desarrollo y Produccin (Continuacin) Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de medidas de seguridad para: Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora (Log) Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Auditora Informtica
Controles de Sistema (Continuacin) en Desarrollo y Produccin

Controles de Operacin
Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de discos y/o cartridges y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del Centro de Procesamiento Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos

Auditora Informtica
Seguridad de la Informacin.
Son todas las actividades orientadas a preservar la integridad, confidencialidad y disponibilidad de la informacin y los activos asociados a su tratamiento, independientemente de la forma en que sta se presente.

Auditora Informtica Unidad II

Seguridad de la Informacin (Continuacin).
Integridad; Salvaguardar la exactitud y completitud de la informacin y
de sus mtodos de procesamiento.

Confidencialidad; Asegurar que la informacin es accesible slo para

quienes tengan acceso autorizado.

Disponibilidad; asegurar que los usuarios autorizados tengan acceso a

la informacin y sus activos asociados cuando lo requieran.

Auditora Informtica Unidad II

Algunas Consideraciones de Seguridad de la Informacin

La Seguridad de la Informacin y de los bienes asociados, es responsabilidad de todas las personas que trabajan en o para la organizacin, y que por motivos de sus funciones los utilizan en cualquier grado. La informacin debe ser clasificada y protegida, de acuerdo a la importancia que posee para el negocio, considerando sus atributos de confidencialidad, integridad y disponibilidad. Todo personal interno o externo, que preste sus servicios a la organizacin, ya sea en forma directa o a travs de proveedores, debe acceder exclusivamente a la informacin estrictamente necesaria para el cumplimiento de sus funciones.

Auditora Informtica
Seguridad de la Informacin
1.
2.

Seguridad Fsica Seguridad Lgica

Auditora Informtica
Seguridad de la Informacin
1.

La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

2.

Auditora Informtica
Controles del software de seguridad general Aplican para todos los tipos de software y recursos relacionados y sirven para: El control de acceso a programas y a la instalacin Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados o Diseo y cdigo de modificaciones o Coordinacin de otros cambios o Asignacin de responsabilidades. Revisin de estndares y aprobacin o Requerimientos mnimos de prueba o Procedimientos del respaldo en el evento de interrupcin

Auditora Informtica

Controles para prevenir crmenes y fraudes informticos Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."