control interno informatico ii
DESCRIPTION
importancia del control interno informáticoTRANSCRIPT
-
Control Interno Informatico
Alejandro Alcntara.
-
Control Interno Informtico
-
Tipos de CI Informatico
En el ambiente informtico, el control interno se
materializa fundamentalmente en controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin
de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin,
de comunicacin, de gestin de base de datos, programas
de aplicacin, etc.
-
Entrada ? Proceso Salida
Adecuaciones
Punto de Control
Preventivos: Anticipan eventos no deseados antes de suceder.
Preventivo
-
CONTROLES PREVENTIVOS
Son ms rentables.
Deben quedar incorporados en los sistemas.
Evitan costos de correccin o reproceso.
Evitar problemas antes de que aparezcan.
Monitorear tanto las operaciones como las transacciones de entrada.
Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes.
Prevenir la ocurrencia de un error, omisin o acto delictivo.
-
Las aplicaciones gateway
ofrecen un nmero de ventajas generales sobre el modo default
de permitir que la aplicacin
trafique directamente para hosts
internos.
Estas ventajas incluyen:
Ocultamiento de la informacin.
Robusta autenticacin y registro.
Costo - eficacia.
Menos complejas las reglas de filtrado.
-
Entrada Proceso ? Salida
Adecuaciones
Punto de Control
detectivo
Detectivos: Identifican eventos en el momento de presentarse
-
CONTROLES DETECTIVOS
Son ms costosos que los preventivos.
Miden la efectividad de los preventivos.
Algunos errores no pueden ser evitados en la etapa preventiva.
Incluyen revisiones y comparaciones (registro de desempeo).
Conciliaciones, confirmaciones, conteos fsicos de inventarios, anlisis de
variaciones, tcnicas automatizadas.
Lmite de transacciones, password, edicin de reportes.
-
Controles que detectan un error
Mensajes de error sobre las etiquetas internas de las cintas
-
Entrada Proceso Salida ?
Adecuaciones
Punto de Control
Detectivos: Aseguran tomar acciones para revertir un
evento no deseado.
detectivo
-
CONTROLES CORRECTIVOS
Acciones y procedimientos rectificatorios en recurrencia.
Comprenden documentacin y reportes, sobre supervisin a
los asuntos, hasta su
reformulacin o solucin.
-
PROCEDIMIENTOS DE ALMACENAMIENTO Y RESPALDO
Elaboracin de Backups
-
EJEMPLOS DE CONTROLES
-
El Proceso de
Backup a que tipo
de control
pertenece?
Correctivo
Pregunta
-
BENEFICIOS DEL CONTROL INTERNO
Pueden ayudar al Jefe de la organizacin.
Se consideran como medios favorecedores al logro de metas y objetivos.
Es un medio integrador del personal con los objetivos.
Ayuda al personal a medir su desempeo y mejorarlo.
Ayuda a evitar tentaciones de fraude.
Facilita a los Jefes de las organizacin a demostrar cmo han aplicado los recursos y logrado los objetivos.
-
Elementos fundamentales del CI INF
CI sobre la organizacin del rea de informtica.
CI sobre el anlisis, desarrollo e implementacin de sistemas.
CI sobre operacin del sistema. CI sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados.
CI sobre la seguridad del rea de sistemas
-
Control interno para la organizacin del area de informtica
Dentro del rea de TIC de cualquier empresa, se proponen los siguientes sub-elementos de organizacin:
Melvis E. Len
Direccin
Divisin del Trabajo
Asignacin de responsabilidad
y autoridad
Establecimiento de estndares y
mtodos
Perfiles de puestos
-
Control Interno Informtico
La coordinacin de recursos
La supervisin de actividades
La delegacin de autoridad y responsabilidad
La asignacin de actividades
La distribucin de recursos
Controles internos para la organizacin del area de informtica
-
Control Interno Informtico
Divisin del trabajo
Controles internos para la organizacin del area de informtica
-
Control Interno Informtico
Asignacin de responsabilidad y autoridad
Establecimientos de estndares y mtodos
Perfiles de puestos
Controles internos para la organizacin del area de informtica
-
Estandarizacin De Metodologas Para El Desarrollo De Proyectos
Metodologa Estandarizada
Uniformidad en aplicaciones y Eficiencia en recursos.
-
Estandarizacin De Metodologas Para El Desarrollo De Proyectos
Por ende: o Estandarizacin de mtodos para el diseo de sistemas o Lineamientos en la realizacin de sistemas o Polticas para el desarrollo de sistemas o Normas para regular el desarrollo de proyectos
-
Asegurar Que El Beneficio Del Sistema Sea ptimo
Optimizacion de las tareas
Mejorar las operaciones
Optimizacion de los equipos
-
Elaborar Estudios De Factibilidad Del Sistema
Viable: se dice del asunto con posibilidad de salir adelante. (Valorar la posibilidad de hacerlo)
Factible: que se puede llevar a cabo o que es posible realizar. (Valorar si se puede realizar).
Viabilidad y factibilidad operativa.
Viabilidad y factibilidad econmica.
Viabilidad y factibilidad tcnica.
-
Garantizar La Eficiencia Y Eficacia En El Anlisis Y Diseo Del Sistema.
Eficacia Objetivos
Eficiencia Recursos
-
Garantizar La Eficiencia Y Eficacia En El Anlisis Y Diseo Del Sistema
Adopcin y seguimiento de una metodologa institucional.
Adoptar una adecuada planeacin, programacin
Contar con la participacin activa de los usuarios finales
Contar con el personal que tenga la disposicin, experiencia, capacitacin y
conocimientos para el desarrollo de sistemas.
Utilizar los requerimientos tcnicos necesarios para el desarrollo del sistema,
como son el hardware, software y personal informtico.
Disear y aplicar las pruebas previas a la implementacin del sistema.
Supervisar permanentemente el avance de las actividades del proyecto.
-
Vigilar La Efectividad Y Eficacia En La Implementacin Y En El Mantenimiento Del Sistema.
Es necesario vigilar la efectividad en la implementacin del sistema y, una vez liberado, tambin se debe procurar su eficiencia a travs del mantenimiento.
No basta con elaborar el sistema, tambin se tiene que implementar totalmente, se tiene que liberar a cargo del propio usuario y se le tiene que dar un mantenimiento permanente para garantizar su efectividad.
-
Lograr Un Uso Eficiente Del Sistema Por Medio De Su Documentacin
Es indispensable elaborar
manuales
Es de suma importancia que se
proporcione capacitacin a
usuarios finales
-
Lograr Un Uso Eficiente Del Sistema Por Medio De Su Documentacin
Manuales e instructivos del usuario.
Manual e instructivo de operacin del sistema
Manual tcnico del sistema
Manual e instructivo de mantenimiento del sistema.
-
Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operacin
de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos
del control interno tales como:
o Establecer la seguridad y proteccin de la informacin, del sistema de cmputo y
de los recursos informticos de la empresa.
o Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su
procesamiento en el sistema y la emisin de informes.
Contando con este elemento bsico, se puede prevenir y evitar posibles errores y
deficiencias de operacin, as como el uso fraudulento de la informacin que se
procesa en un centro de cmputo, adems de posibles robos, piratera, alteracin de
la informacin y de los sistemas, lenguajes y programas.
Controles internos sobre la operacin del
sistema.
-
Prevenir y corregir errores de operacin.
Prevenir y evitar la manipulacin fraudulenta de la informacin.
Sub-Elementos del control interno sobre la
operacin del sistema.
-
Deben disearse con el propsito de salvaguardar los datos fuente de
origen, operaciones de proceso y salida de informacin procesada por la
entidad.
01. Para implementar los controles sobre datos fuente, es necesario que
la entidad designe a los usuarios encargados de salvaguardar los datos.
Para ello, deben establecerse polticas que definan las claves de acceso
para los tres niveles:
a) Primer nivel: nicamente tiene opcin de consulta de datos,
b) Segundo nivel: captura, modifica y consulta datos,
c) Tercer nivel: captura, modifica, consulta y adems puede realizar
bajas de los datos.
Controles de datos fuente, de operacin y
de salida
-
02. Los controles de operacin de los equipos de cmputo estn dados
por procedimientos estandarizados y formales que se efectivizan de la
siguiente forma:
a) Describen en forma clara y detallada los procedimientos;
b) Actualizan peridicamente los procedimientos;
c) Asignan los trabajos con niveles efectivos de utilizacin de equipos.
03. Los controles de salida de datos deben proteger la integridad de la
informacin, para cuyo efecto es necesario tener en cuenta aspectos
tales como: copias de la informacin en otros locales, la identificacin de
las personas que entregan el documento de salida y, la definicin de las
personas que reciben la informacin.
-
04. Corresponde a la direccin de la entidad en coordinacin con el rea
de Informtica, establecer los controles de datos fuente, los controles de
operacin y los controles de seguridad, con el objeto de asegurar la
integridad y adecuado uso de la informacin que produce la entidad.
Implementar y mantener la seguridad en la operacin.
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la informacin de la institucin.
-
La adopcin de estos controles en el rea de sistematizacin es de gran
ayuda en el procesamiento de informacin. Para lograr la eficiencia y
eficacia al establecer este elemento en la captura de datos, es necesario
tener bien establecidos aquellos mtodos, procedimientos y actividades
que regularn la entrada de datos al sistema, verificar que los datos sean
procesados de manera oportuna, evaluar la veracidad de los datos que se
introducen al sistema y proporcionar la informacin que se requiere en las
dems reas de la empresa.
Controles internos sobre los procedimientos de
entrada e datos, el procesamiento de
informacin y la emisin de resultados
-
Eficacia en la captura de datos: la captura de datos depende tanto del hardware que se usa como el software que est encargado de capturarlos. Ambos deben estar en buen estado para que la captura del dato introducido sea el correcto.
Mtodos para regular la entrada de datos: pueden regularse la cantidad de caracteres introducidos por teclado, por campos del sistema. Tambin puede regularse la cantidad de veces que una aplicacin pueda abrirse, en especial si se especializa en la entrada de datos. Para el caso de datos o informacin no deseada como hackers y sobre carga del sistema se pueden incorporar firewalls, antivirus y anti espas.
Los datos sean procesados de manera oportuna: los datos deben ser procesados de manera eficiente y veloz para dar respuesta rpida a los procesos que necesitan de este procesamiento en una etapa posterior. Un sistema que procese los datos de una manera lenta puede atrasar los procesos siguientes de necesiten uso de los datos.
Aspectos en la entrada de datos, el
procesamiento de informacin y emisin de
resultados.
-
Evaluar la veracidad de los datos que se introducen: los datos introducidos deben ser del tipo que se requiera y que se solicite. Los sistemas que soliciten
datos y que estos sean introducidos por el usuario, deben evaluar que sus
campos restrinjan el tipo de datos introducidos, por ejemplo: que en campos
donde se soliciten nmeros, el campo solo acepte nmeros, si se desea
introducir algn nombre, que el campo correspondiente solo admita caracteres
validos por el sistema y vlidos segn la planificacin y diseo del mismo.
Proporcionar la informacin a las dems reas de la empresa: luego de que los datos hayan sido procesados si se hayan transformado en informacin, estos
deben pasar a las dems reas de la empresa que necesiten uso de este. Este
aspecto cubre tanto el medio fsico por el cual se llevar la informacin a
distintos lugares de la empresa y el aspecto lgico ya que se debe enviar la
informacin justa y necesaria sin enviar informacin que no sea relevante para
esa parte de la empresa.
-
Seguridad fisica
-
Seguridad informatica
La seguridad fsica, comprende las medidas de seguridad aplicables a un
Sistema de Informacin, que tratan de
proteger a este y a su entorno de
amenazas fsicas tanto procedentes de
la naturaleza, de los propios medios,
como del hombre.
-
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos informticos, desastres
ambientales, incendios, accesos ilegales
a los sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
-
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas se
materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnologa
inadecuada, fallas en la
transmisin, inexistencia de
antivirus, entre otros.
-
Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reduccin de eficiencia, fallas
operativas a corto o largo
plazo, prdida de vidas
humanas, etc.
-
Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
informtico (Guas para la Gestin
de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto especfico, el cual
puede estar representado por
prdidas y daos.
-
Por qu es tan importante
la seguridad?
Por la existencia de personas ajenas a la informacin, tambin conocidas
como piratas
informticos o hackers, que buscan
tener acceso a la red empresarial para
modificar, sustraer o
borrar datos.
-
Propositos y objetivos de la
seguridad fisica
Asegurar la capacidad de supervivencia de la organizacion ante eventos que pongan en peligro su existencia.
Proteger y conservar los activos de la organizacion, de riesgos, de desastres naturales o actos mal intencionados.
Reducir la probabilidad de las perdidas, a un minimo nivel aceptable, a un costo razonable y asegurar la adecuadad recuperacion.
Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del sotfware, y de los medios de almacenamiento.
Controlar el acceso de agentes de riesgo, a la organizacion para minimizar la vulnerabilidad potencial.
-
Factores ambientales
Incendios
Inundaciones
Sismos
Humedad
-
Factores humanos
Robos
Actos vandalicos
Actos Vandalicos contra el sistema de Red
Fraude
Sabotaje
Terrorismo
-
Algunas Consideraciones
sobre seguridad
Que se quiere proteger?
Contra que se quiere proteger?
Cuanto tiempo, esfuerzo y dinero se esta dispuesto a invertir?
-
TIPO DE INSTALACIONES
Instalaciones de alto riesgo
Instalacin de riesgo medio
Instalacin de bajo riesgo
-
CONTROL DE ACCESO
FSICO
Estructura y disposicin del rea de recepcin
Acceso de terceras personas
Identificacin del personal
A) Algo que se porta
B) Algo que se sabe
C) Algunas caractersticas fsicas
especiales
-
Otros CONTROLES DE
ACCESO
Guardias y escoltas especiales.
Registro de firma de entrada y salida.
Puertas con chapas de control electrnico
Tarjetas de acceso y gafetes de identificacin.
Entradas de dobles puertas
Equipos de monitoreo (CCTV)
Alarmas contra robos.
Trituradores de papel.
-
CONTROL DE RIESGOS
Aire acondicionado
Instalacin elctrica
Riesgo de inundacin
Proteccin, deteccin y extincin de incendios
Mantenimiento
-
SEGURIDAD DE LOS
EQUIPOS
Proteccin fsica de los equipos Proteccin emanaciones electromagnticas Proteccin frente a accidentes naturales Proteccin frente a incendios Proteccin frente a explosivos Proteccin frente a inundaciones Suministro Elctrico Climatizacin Seguros Suministro elctrico
-
Proteccin, deteccin y
extincin de incendios
Consideraciones sobresalientes
Paredes de material incombustible
Techo resistente al fuego
Canales y aislantes resistentes al fuego
Sala y reas de almacenamiento impermeables
Sistema de drenaje en el piso firme
Detectores de fuego alejados del AC
Alarmas de incendios conectado al general
-
Principios
El intruso probablemente es alguien conocido
No confies, y s cauteloso con quien requiera tu confianza
No confies en t mismo, o verifica lo que haces
Haga que el intruso crea que ser atrapado
-
Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concrecin de amenazas informticas.
2 Crecimiento de la informacin disponible de empresas y sus
empleados en redes sociales Ingeniera Social.
3 Mensajes de e-mail que contienen attachments que explotan
vulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a travs de cdigos maliciosos
diseados para obtener informacin sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.
7 En el 2009 Symantec identific 240 millones de programas maliciosos,
un aumento del 100% con respecto al 2008. Fuente: Symantec (2010).
-
Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).
10 Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o Espaa, han mostrado la
preocupacin que tienen ante ataques que puedan afectar a la
economa del pas o incluso a otras reas, tales como las
denominadas infraestructuras crticas. Tambin este ao 2009 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos y
Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxo-
community.com
11 Cuidar a las empresas en esos momentos no es labor fcil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
-
Control Interno Informtico
Seguridad en la operacin
Seguridad Fsica
Seguridad en las redes
Seguridad Lgica
Seguridad del personal de inf.
Controles internos para la seguridad del area de sistemas
-
Controles para prevenir y evitar las amenazas, riesgos y contingencias en las reas de sistematizacin
Control de acceso fsico del personal del rea de computo
Control de accesos al sistema, a las bases de datos, a los programas y a la informacin
Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios
Control Interno Informtico
Subelementos del control interno Informatico
-
Monitoreo de accesos de usuarios, informacin y programas de uso
Existencia de manuales e instructivos, as como difusin y vigilancia del cumplimiento de los reglamento del sistema
Identificacin de los riesgos de los riesgos y amenazas Para el sistema, con el fin de adoptar las medidas preventivas necesarias
Elaboracin de planes de contingencia, simulacros y bitcoras de seguimiento
Control Interno Informtico
-
Controles para la seguridad fsica del rea de sistemas
Inventario del hardware, mobiliario y equipo
Resguardo del equipo de cmputos
Bitcoras de mantenimientos y correcciones
Controles de acceso del personal al rea de sistema
Seguros y fianzas para el personal, equipos y sistemas
Control Interno Informtico
-
Controles para la seguridad lgica de los sistemas
Control para el acceso al sistema, a los programas y a la informacin
Establecimiento de niveles de acceso
Dgitos verificacin y cifras de control
Palabras claves de accesos
Controles para el seguimiento de las secuencias y rutinas lgicas del sistema
Control Interno Informtico
-
Controles para la seguridad de las bases de datos
Respaldo peridico de informacin
Planes y programas para prevenir contingencias y recuperar informacin
Control de acceso a las base de datos
Rutinas de monitoreo y evaluacin de operaciones Relacionadas con las bases de datos
Control Interno Informtico
-
Control Interno Informtico
Controles para la seguridad en la operacin de los sistemas computacionales
Controles para los procedimientos de operacin
Controles para el procesamiento de informacin
Controles para la emisin de resultados
Controles especficos para la operacin de la computadora
Controles para el almacenamiento de informacin
Controles para el mantenimiento del sistema
-
Control Interno Informtico
Controles para Prevenir y evitar las amenazas, riesgos y contingencias en las reas de sistematizacin
Es el primer paso para prevenir las repercusiones de
posibles amenazas, riesgos y contingencias en las
reas del centro de cmputos.
Es identificar aquellos elementos que pueden influir
en la seguridad de sus instalaciones.
-
Control Interno Informtico
Controles bsicos que debern ser adoptados en las reas de sistematizacin para evitar amenazas a los sistemas
-
La seguridad no es una opcin, es una
obligacin para cualquier empresa.
No es un producto sino, un proceso
Control Interno Informtico
-
Controles para la seguridad fsica del rea de Sistemas
Control Interno Informtico
Bitcoras de Mantenimiento y correcciones
Controles de acceso del personal al rea de sistemas
Control de mantenimiento a instalaciones y construcciones
Seguros y fianzas para el personal, equipos y sistemas
Contrato de actualizacin, asesora y mantenimiento de hardware
-
Controles para la seguridad lgica de los sistemas
As como es necesario establecer controles para salvaguardar los bienes fsicos del sistema computacional de la empresa, tambin es necesario establecer controles y medidas preventivas y correctivas para salvaguardar sus bienes lgicos.
Control Interno Informtico
-
Controles que se deben considerar en la seguridad lgica:
Control Interno Informtico
Control para el acceso al sistema, a los programas y a la informacin
Dgitos verificadores y cifras de control
Establecimiento a los niveles de acceso
Palabras clave de acceso
Controles para el seguimiento de las secuencias y rutinas lgicas del sistema.
-
Controles para la seguridad de las bases de datos
El control interno informtico ayuda a proteger las bases de datos de la empresa, por medio de controles especiales y medidas preventivas y correctivas. Estos controles pueden ser establecidos por el rea administrativa Para vigilar el acceso de los usuarios al sistema, as como para proteger la informacin atreves de respaldo peridicos y recuperacin de datos en caso de perdidas, deterioros y de cualquier mal uso que de haga de ellos.
Control Interno Informtico
-
Algunos de los controles que se pueden establecer para la seguridad de las bases de datos
Control Interno Informtico
Programas de Proteccin para impedir el uso inadecuado y la alteracin de datos de uso exclusivo
Respaldo peridicos de informacin
Rutinas de monitoreo y evaluacin de operaciones relacionadas con las base de datos
Control de accesos a la base de datos
Planes y programas para prevenir contingencias y recuperar informacin
-
Controles para la seguridad en la operacin de los sistemas computacionales
Para el buen funcionamiento de los sistemas de procesamiento de datos, es necesario establecer controles y medidas preventivas para evitar accidentes, actos dolosos premeditados o negligencias que repercutan en la operacin y funcionamiento del sistema en la emisin del resultados del procesamiento de la informacin.
Control Interno Informtico
-
Los siguientes aspectos deben ser tomados en cuenta para la seguridad en la operacin del sistema
Control Interno Informtico
Controles para los procedimientos de operacin
Controles para el procesamiento de informacin
Controles para la emisin de resultados
Controles especficos para la operacin de la computadora
-
Controles para el almacenamiento de informacin
Son la medidas de seguridad y proteccin, internas y externas, que se adoptan en el rea de sistemas para el almacenamiento de la informacin contenida en la base de datos as como de los programas, lenguajes, y paqueteras que se utilizan para la operacin normal de dicha rea.
Control Interno Informtico
-
Algunos de los controles para el mantenimiento de sistema
Controles para la seguridad del personal de informtica
Controles administrativos de personal
Seguros y fianzas para l personal de sistemas
Planes de programas de capacitacin
Control Interno Informtico
-
Controles para la seguridad en las telecomunicacin de datos
Controles para la seguridad y sistemas de redes y multiusuario
Control Interno Informtico
-
Preguntas?