Download - CONTROLES PREINSTALACIÓN
CONTROLES DE AUDITORIA
Introducción.- La naturaleza especializada de la auditoría de los sistemas de información y las
habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la
promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la
revisión y evaluación de todos los aspectos de procesamiento de la información.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla
desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Consta de:
1. Evaluación de los Sistemas
Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos,
documentación, redundancia, organización de archivos, estándares de programación,
controles, utilización de los sistemas).
Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general
Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)
Seguridad física y lógica de los sistemas, su confidencialidad y respaldos
2. Evaluación de los equipos
Capacidades
Utilización
Nuevos Proyectos
Seguridad física y lógica
Evaluación física y lógica
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Área de Informática de una empresa o institución debe implantar los
siguientes controles que se agruparan de la siguiente forma:
1.- Controles de Preinstalación
2.- Controles de Organización y Planificación
3.- Controles de Sistemas en Desarrollo y Producción
4.- Controles de Procesamiento
5.- Controles de Operación
6.- Controles de uso de Microcomputadores
1) Controles de Preinstalación
Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de
computación y obviamente a la automatización de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de
que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra
alternativa.
Garantizar la selección adecuada de equipos y sistemas de computación
Asegurar la elaboración de un plan de actividades previo a la instalación
Acciones a seguir:
Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software
y servicios de computación, incluyendo un estudio costo-beneficio.
Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e
instalación
Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el
mismo que debe contar con la aprobación de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de
equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.
Efectuar las acciones necesarias para una mayor participación de proveedores.
Asegurar respaldo de mantenimiento y asistencia técnica.
EL PROCESO DE AUDITORIA EN LOS SISTEMAS DE LA INFORMACIÓN
El proceso de auditoria en cualquier área siempre corresponderá a un tipo de proceso y actividad
altamente especializado y para cuyo desempeño serán necesarias la adquisición de un amplio
conjunto de conocimientos además del desarrollo de habilidades obligatorias y aptitudes
personales para el trato directo con profesionales de diferentes ámbitos.
Por definición, La auditoria de los sistemas de información será aquella auditoria que abarca la
revisión y evaluación de todos los aspectos de procesamiento de la información
A partir de la información recolectada mediante el contacto con los usuarios, administradores,
propietarios y custodios de la información, se especificará un programa de trabajo, incluyendo
planificación de tareas, definición de presupuestos, asignación de tareas e información adicional
o nuevas rondas de entrevistas que se solicitarán al cliente, en caso de ser necesaria una mayor
cantidad de información
Otro grupo de controles o tareas a llevar a cabo serán los orientados a supervisar la organización
y la planificación de actividades, estudiando para esto las funciones, líneas de autoridad y
responsabilidades de los diferentes elementos integrados en el área sometida a estudio.
CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN
CONTROL
Introducción
El control ha sido definido bajo dos grandes perspectivas, una perspectiva limitada
y una perspectiva amplia. Desde la perspectiva limitada, el control se concibe como
la verificación a posteriori de los resultados conseguidos en el seguimiento de los
objetivos planteados y el control de gastos invertido en el proceso realizado por los
niveles directivos donde la estandarización en términos cuantitativos, forma parte
central de la acción de control.
Bajo la perspectiva amplia, el control es concebido como una actividad no sólo a
nivel directivo, sino de todos los niveles y miembros de la entidad, orientando a la
organización hacia el cumplimiento de los objetivos propuestos bajo mecanismos de
medición cualitativos y cuantitativos.
2. Definición de control
El concepto de control es muy general y puede ser utilizado en el contexto
organizacional para evaluar el desempeño general frente a un plan estratégico.
La palabra control tiene muchas connotaciones y su significado depende de la
función o del área en que se aplique; puede ser entendida:
Como la función restrictiva de un sistema para mantener a los participantes dentro
de los patrones deseados y evitar cualquier desvío. Es el caso del control de
frecuencia y expediente del personal para evitar posibles abusos. Hay una imagen
popular según la cual la palabra control está asociada a un aspecto negativo,
principalmente cuando en las organizaciones y en la sociedad es interpretada en el
sentido de restricción, coerción, limitación, dirección, refuerzo, manipulación e
inhibición.
También hay otras connotaciones para la palabra control:
Comprobar o verificar;
Regular;
Comparar con un patrón;
Ejercer autoridad sobre alguien (dirigir o mandar);
Frenar o impedir.
Evidentemente todas esas definiciones representan concepciones incompletas del
control, quizás definidas en un modo subjetivo y de aplicación; en definitiva, debe
entenderse el control como:
CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN
Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de
las diferentes unidades del área PAD, en labores tales como:
1. Diseñar un sistema
2. Elaborar los programas
3. Operar el sistema
4. Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Es importante la utilización óptima de recursos en el PAD mediante la preparación
de planes a ser evaluados continuamente
Acciones a seguir
La unidad informática debe estar al mas alto nivel de la pirámide
administrativa de manera que cumpla con sus objetivos, cuente con el
apoyo necesario y la dirección efectiva.
Las funciones de operación, programación y diseño de sistemas deben
estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operación del computador
y los operadores a su vez no conozcan la documentación de programas y
sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada
como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto, mediano
y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de
Informática"
Debe existir una participación efectiva de directivos, usuarios y personal
del PAD en la planificación y evaluación del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
La planificación proporciona estándares (indicadores) de control contra los cuales
puede medirse el desempeño. Si existe una desviación significativa entre el
desempeño real y el planeado, puede tomarse una acción correctiva. Un ejemplo
claro de los planes empleados como estándares de control se pueden encontrar en los
presupuestos.
Fase de control. Monitorización del trabajo realizado analizando cómo el
progreso difiere de lo planificado e iniciando las acciones correctivas que sean
necesarias. Incluye también el liderazgo, proporcionando directrices a los
recursos humanos, subordinados (incluso subcontratados) para que hagan su
trabajo de forma efectiva y a tiempo.
Los periodos generales de duración los podemos ver a continuación:
Estas etapas citadas presentan, sin embargo, características bastante diferentes
según se trate de proyectos internos o de proyectos externos. Las principales
diferencias aparecen en la etapa de planificación. En el proyecto externo existen un
conjunto de acciones que se relacionan con la necesidad de presentar una oferta al
cliente y lograr la adjudicación del contrato en competencia con otras empresas o
personas.
Acciones a seguir mediante el Control.-
La unidad informática debe estar al mas alto nivel de la pirámide administrativa
de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la
dirección efectiva.
Las funciones de operación, programación y diseño de sistemas deben estar
claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y
analistas no tengan acceso a la operación del computador y los operadores a su
vez no conozcan la documentación de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de
los resultado del procesamiento.
El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto, mediano y
largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de
Informática”
Debe existir una participación efectiva de directivos, usuarios y personal del
PAD en la planificación y evaluación del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
Control de la Organización y Planificación
Una vez determinado el alcance de la ITSCM, analizados los riesgos y
vulnerabilidades y definidas unas estrategias de prevención y recuperación es
necesario asignar y organizar los recursos necesarios. Con ese objetivo la Gestión de
la Continuidad del Servicio debe elaborar una serie de documentos entre los que se
incluyen:
Plan de prevención de riesgos.
Plan de gestión de emergencias.
Plan de recuperación.
Plan de prevención de riesgos
Cuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la
infraestructura TI.
Entre las medidas habituales se encuentran:
Almacenamiento de datos distribuidos.
Sistemas de alimentación eléctrica de soporte.
Políticas de back-ups.
Duplicación de sistemas críticos.
Sistemas de seguridad pasivos.
Plan de gestión de emergencias
Las crisis suelen provocar "reacciones de pánico" que pueden ser contraproducentes
y a veces incluso más dañinas que las provocadas por el incidente que las causo. Por
ello es imprescindible que en caso de situación de emergencia estén claramente
determinadas las responsabilidades y funciones del personal así como los protocolos
de acción correspondientes.
En principio los planes de gestión de emergencias deben tomar en cuenta aspectos
tales como:
Evaluación del impacto de la contingencia en la infraestructura TI.
Asignación de funciones de emergencia al personal de servicio TI.
Comunicación a los usuarios y clientes de una grave interrupción o
degradación del servicio.
Procedimientos de contacto y colaboración con los proveedores involucrados.
Protocolos para la puesta en marcha del plan de recuperación
correspondiente.
Plan de recuperación
Cuando la interrupción del servicio es inevitable llego el momento de poner en
marcha los procedimientos de recuperación.
El plan de recuperación debe incluir todo lo necesario para:
Reorganizar al personal involucrado.
Reestablecer los sistemas de hardware y software necesarios.
Recuperar los datos y reiniciar el servicio TI.
Los procedimientos de recuperación pueden depender de la importancia de la
contingencia y de la opción de recuperación asociada ("cold o hot stand-by"), pero en
general involucran:
Asignación de personal y recursos.
Instalaciones y hardware alternativos.
Planes de seguridad que garanticen la integridad de los datos.
Procedimientos de recuperación de datos.
Contratos de colaboración con otras organizaciones.
Protocolos de comunicación con los clientes.
Cuando se pone en marcha un plan de recuperación no hay espacio para la
improvisación, cualquier decisión puede tener graves consecuencias tanto en la
percepción que de nosotros tengan nuestros clientes como en los costes asociados al
proceso.