diapo acis.docx
Post on 14-Dec-2015
244 Views
Preview:
TRANSCRIPT
Control InternoConcepto
Es el plan de organización y todos los métodos y procedimientos que en formacoordinada se adoptan en un negocio para:
• Protección de los activos
• Obtención de información correcta y oportuna
• Promoción de la eficiencia de operación
• Cumplir objetivos del negocio y leyes y regulaciones
Conceptos fundamentales del Control Interno
• Seguridad razonable: probabilidad remota de errores materiales.
• Limitaciones inherentes: No son infalibles por error involuntario o intencional.
• Diseño del CI.
• Eficacia operativa de los controles.
• Controles relacionados con los informes financieros: No operativos.
• Controles sobre clases de transacciones: Que alimentan los EEFF
Componentes del CI emitidos por el coso
Controles y su clasificación
Son las políticas, procedimientos, prácticas y estructuras organizacionales que son implementadas para reducir riesgos en la organización.
Por su naturaleza pueden ser:
• Manuales
• Automáticos
Por su tipo pueden ser:
• Preventivos
• Detectivos
• Correctivos
Nivel de fuerza de los controles
V
Ejemplos
• Guardia de seguridad solicita id de visitas antes de permitir el acceso a las oficinas
• Un operador nocturno revisa que todas las transacciones del día se registró en fecha y por el monto correcto revisando el reporte diario de facturas vrs cada factura.
Manuales
Combinados
Automáticos
Detectivos
Correctivos
Preventivos
• El administrador del sistema realiza el respaldo diario de los registros contables, en caso de identificar partidas desbalanceadas programa una rutina que identifica el registro y lo corrige con autorización del contador.
• Las planillas confidenciales se almacenan en una carpeta en la computadora del Gerente Financiero la cual se accede mediante contraseña.
• Una alarma se activa cuando identifica movimiento
• El oficial de seguridad de la información de un banco revisa los registros que el sistema genera cuando se realiza cambios en las tasas de préstamos y verifica con el gerente de préstamos que son autorizados.
Objetivos del control
• Establecer estándares y medir su cumplimiento
• Protección y salvaguarda de los bienes y activos
• Contribuir a la planeación y evaluación del cumplimiento
• Ayudar a la buena marcha de la empresa y las actividades de dirección
Características de control
• Oportuno
• Cuantificable
• Calificable
• Confiable
• Estándares y normas de evaluación
Análisis de riesgo
Riesgo
El potencial que una amenaza dada explotará vulnerabilidades de un activo o grupo de activos y como consecuencia causará daño a la organización.”- (ISO/IEC PDTR 13335-1)
Ciclo de auditoría para obtener conocimiento del CI
Métodos
1. Narrativa
2. Diagramas
3. Cuestionarios
Diagramas
Diagramación. Ventajas
• Calidad de entendimiento
• Rapidez y facilidad de revisión
• Facilitan el análisis de opciones de mejoramiento.
Diagramación. Requisitos
• Claros, simples y concisos
• Demonstrar secuencia cronológica de los eventos
• Identificar controles
Entender
EvaluarProbar
• Apropiadamente referenciados para proveer más información
• Standarizacion de símbolos
• Conservar el mismo nivel de detalle
Tipos
• Diagrama de bloques
• Diagramas de flujo
Ejercicio Diagrama de Flujo
Para nuestra empresa ficticia comercializadora de muebles para oficina diagramaremos el flujo del proceso de pedido el cual sigue los siguientes pasos:
- El cliente solicita cotización
- El área comercial elabora propuesta técnica y económica
- El departamento de producción revisa los requisitos definidos por el área comercial para confirmar si puede cumplirlos en forma y tiempo. Si producción está de acuerdo, el área comercial envía la propuesta al cliente. Si no está de acuerdo aclara con el área comercial, incluso comercial puede anular la cotización si producción le confirma que no puede cumplir.
- El cliente hace el pedido
- El cliente y área comercial firman el contrato
- El área comercial aprueba el documento formal de pedido FOR-02
Ejercicio próxima clase:
http://tinyurl.com/mwcvcan
Evaluación del riesgo de control
Es la expectativa del auditor de que los controles internos no evitarán que ocurran errores de importancia y no los detectarán o corregirán si ya han ocurrido.
Matriz de riesgo
• Identificar los objetivos de las transacciones
• Identificar los controles
• Relacionar los controles con los objetivos
• Identificar y evaluar las deficiencias de control y debilidades: probabilidad e importancia.
• Asociar las debilidades con los objetivos
Identificar deficiencias
• Identificar los controles que existen
• Identificar la ausencia de control
• Considerar la posibilidad de controles compensadores
• Decidir si es deficiencia significativa o debilidad material
• Determinar errores que pudieran ocasionar
Pruebas de controles
• Respaldan la evaluación del riesgo de control
• Se realiza una vez se tenga evidencia del diseño de los controles y que están en operación
• Se realiza para todo el período bajo revisión
• Se debe evaluar el riesgo del control nuevamente
Procedimientos para prueba de controles
Cuestionario de repaso (Pago. 301)
• 10-1, 10-2, 10-10, 10-11, 10-13,10-15, 10-17, 10-21, 10-28, 10-29
Indagar
Observar
Inspeccionar
Reejecutar
Conceptos Fundamentales Auditoría de Sistemas de InformaciónASI 1
Es la revisión técnica, especializada y exhaustiva que se realiza a:
• los sistemas computacionales
• software
• información
• gestión informática
• aprovechamiento de sus recursos
• medidas de seguridad
• bienes de consumo necesarios para el funcionamiento del centro de cómputo
• Propósito de la ASI
Propósito de la ASI
Evaluar el uso adecuado de los sistemas para el correcto
• ingreso de los datos
• procesamiento de la información
• emisión sus resultados
Evaluar el cumplimiento de las funciones, actividades y operaciones de
• funcionarios, empleados
• usuarios
Objetivos de la ASI
• Evaluar para emitir un dictamen independiente
• Evaluar el uso y aprovechamiento de los recursos financieros
• Evaluar el uso y aprovechamiento de los recursos técnicos
• Evaluar el cumplimiento de planes, estándares, políticas, normas y lineamientos
• Minimizar existencias de riesgos en el uso de tecnología de información
Controles de Sistemas de InformaciónControles IS
• Estrategia y dirección de IT
• Organización y administración de la función de IT
• Acceso a recursos de IT incluyendo datos y programas
• Metodologías de desarrollo de sistemas y control de cambios
• Procedimientos de operaciones
• Procedimientos de control de calidad
• Controles de acceso físico
• Plan de recuperación ante desastres
• Redes y comunicaciones
• Administración de base de datos
Dominios de la ASI
Los controles Generales de IT se orientan a las siguientes áreas:
• Gobierno y Administración IT
• Operaciones Computarizadas
• Seguridad
• Adquisición, Desarrollo e implementación de sistemas
Gobierno y Administración ITElementos del Dominio
• Gobierno de TI: Índices de desempeño y presupuestarias.
• Funciones y Competencia de TI: Que tan calificado está el personal. Que tan bien conocen sus funciones.
• Recursos Humanos: Contratación, capacitación, promociones, evaluaciones, terminación.
• Objetivos y riesgos de TI: Existe un método de evaluación
• Cambios en la Administración del Riesgo: Se consideran los cambios pasados y futuros en el análisis.
• Mitigación de riesgos y riesgo residual: Controles y lo que no cubren los controles
• Disponibilidad y calidad de la información: Problemas de corrupción
• Elementos del Dominio
• Propiedad de los datos: ¿Se ha definido?
• Comunicaciones relacionadas con controles de TI: ¿Son efectivas?
• Computación del usuario final: Establecimiento de políticas y procedimientos.
• Monitoreo continuo: Seguimiento de desviaciones en el día a día incluyendo terceros.
• Monitoreo punto-a-tiempo: Se realizan revisiones periódicas
• Comunicación de deficiencias: Seguimiento a debilidades
Puestos
• Jefe del departamento Jefe de desarrollo
• Analista Programador Jefe de Infraestructura y redes
• Técnicos de soporte a usuarios Técnicos de soporte de redes
• Técnicos de hardware Administrador de servidores
• Administrador de base de datos Jefe de soporte técnico
• Oficial de Seguridad Administrador de sistemas
• Administrador de Data Center Aseguramiento de calidad
Controles internos sobre la organización del área de IT (5.1)
Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puesto
Auditando Gobierno IT (Apoyo 12.3)
• Estrategias, planes y presupuestos
• Documentación de políticas de seguridad
• Diagramas de organización/funcionales
• Descripciones de puesto
• Reportes del comité directivo
• Procedimientos de desarrollo de sistemas y cambios a programas
• Procedimientos de Operaciones
• Manuales de RRHH
• Procedimientos de aseguramiento de calidad
Dominio de Operaciones computarizadas Objetivo:
Asegurar que los sistemas de producción se procesan en forma completa y correcta de acuerdo con los objetivos de control de la gerencia, y que los problemas de procesamiento son identificados y resueltos en forma completa y correcta para mantener la integridad de los datos financieros
Subdominios
• Administración general de las actividades de Operaciones Computarizadas
• Organización y procesamiento de procesos por lote
• Procesamiento en línea
• Respaldos y administración de problemas
• Recuperación en caso de desastre
Procesos por lote
En inglés batch processing), o modo batch, se llama a la ejecución de un programa sin el control o supervisión directa del usuario (no es interactivo).
• Tareas repetitivas
• Uso de grandes conjuntos de información
• Proceso propenso a errores al realizarlo manualmente
• Realiza el trabajo en el momento en el que los recursos están menos ocupados, dando prioridad a tareas interactivas.
• Demora en actualizar datos (se acumulan luego se procesan)
• No hay necesidad de interacción y supervisión humanas continuas
Procesamiento en línea
Se llama a la ejecución de un programa con el control o supervisión directa del usuario (es interactivo).
• Tareas que deben actualizarse automáticamente
• Transacciones que necesitan ser realizadas manualmente con supervisión
• Realiza el trabajo en el momento en que son ingresados
Procesamiento en línea
¿Qué nos interesa sobre el tipo de procesamiento?
• Altas/bajas/modificaciones sean autorizadas
• Monitoreo de ejecución de acuerdo a programación aprobada
• Fallas son capturadas y resueltas-seguimiento
• Acceso a herramientas de administración
Controles de Aplicación
• Son controles sobre las funciones de entrada, procesamiento y resultados.
• Son orientados a asegurar la totalidad, exactitud y validez de la data
• Ayudan a la confiabilidad, seguridad y disponibilidad de la información
Controles sobre la entrada y procesamiento de datos
• Aseguran que cada transacción sea registrada sea registrada de manera exacta.
• Aseguran que solamente datos válidos y autorizados sean registrados una sola vez.
Controles de Autorización
• Aprobación manual de formulario de batch o de documento fuente. (ejem: cierre, interfaz)
• Controles de acceso restringido
• Controles de contraseña
• Identificación de terminal
• Documentos fuente
• Chequeos de validación programados (ejm: 3-waymatch)
Controles de Exactitud
• Chequeos de razonabilidad (limites) o lógicos (relación de fechas)
• Chequeos de dependencia (ejm: direcciones)
• Chequeos de formato (numérico, alfabético)
• Chequeo matemático (recalculo rechazado)
• Dígito de verificación
• Comparación con datos anteriores (password)
• Datos preregistrados (combos)
• Chequeo de existencia
• Chequeo de totalidad (blanco)
Controles de Totalidad
• Totalización de lotes
• Chequeos de secuencia o duplicados
• Comparación por computadora (contra archivo control)
• Chequeo uno por uno (vrs reporte)
Controles sobre la salida de datos
• Controles de resguardo físico de documentación prenumerada
• Controlar la fuente de los formularios y firmas digitales
• Acceso restringido sobre la generación de los reportes (físico y lógico)
• Controles de conciliación con evidencia de su procesamiento
• Manejo de errores de salida de datos
Repasando concepto de Operaciones de sistemas
Es la función responsable del soporte del ambiente de los sistemas de información.
Es critica para asegurar que los requerimientos de funciones de procesamiento son alcanzadas, los usuarios es encuentran satisfechos y la información procesada es segura.
La organización de las operaciones computarizadas varía dependiendo del tamaño del ambiente de computación y carga de trabajo.
Administración de Problemas
• Actividades que se enfocan en proveer continuidad de los servicios eliminando o reduciendo el efecto adverso de los elementos que interrumpen los servicios de IT.
• Debe haber un procedimiento de captura, priorización (impacto/urgencia), asignación, resolución y cierre
• Todo incidente debe escalarse según los criterios definidos por la administración.
• Es reactivo y su nivel de resolución debe ser razonable.
• Errores similares pueden ser relacionados para diseñar mecanismos correctivos o preventivos.
Detección, Documentación, Resolución y reporte de incidentes
• Deben existir mecanismos para detectar y documentar cualquier situación anormal que puede llevar a la identificación de un error. Incidente->problema
• Los logs pueden ser de errores del sistema, de redes o de hardware.
• Una entrada de un log de error debe contener: fecha, resolución, código y descripción del error, fuente del error, fecha de escalamiento, responsable de su resolución, área que le dio solución, status.
¿Cuánto tiempo es razonable para solucionar un incidente?
Dependerá de las circunstancias
Lo que debe existir es un procedimiento de escalamiento definiendo nombres a contactar en cada tipo de problema, los tipos de problemas que requieren atención urgente, problemas que pueden esperar horas normales.
Es inaceptable no resolver un problema por tiempo indefinido ya que causa:
- Interrupción del negocio
- Corrupción de datos
Tareas de la función de soporte
• Documentar el incidente del usuario
• Inicializar procedimiento de resolución
• Priorizar para asignar al personal de IT adecuado y escalar a la gerencia de ser necesario
• Seguimiento de incidentes no resueltos
• Cierre de incidentes resueltos con el vo. bo. del usuario
Material de apoyo:
Operaciones y procesamiento de datos. Cap. 5. Secciones 5.3 y 5.4
Pago 157-164
Asignación Grupal
• Investigar sobre las herramientas de software disponibles en el mercado para administración de solicitudes de servicio de soporte de tecnología de información. Cuáles son, quienes son los proveedores y que funciones poseen. Dar su conclusión de cual considera la mejor y sustentarlo. Esta decisión debe tomarse en base a facilidad de uso, funciones que permiten al usuario una mejor gestión de los requerimientos y en la información que provee para que un auditor revise el proceso.
Respaldos
• Es una copia de los datos originales que se realiza con el fin de disponer de un medio de recuperarlos en caso de su pérdida por accidente, intencional o se haya dañado por distintas causas.
• Deben de tenerse en cuenta los requerimientos de almacenamiento.
• Las copias de seguridad garantizan dos objetivos: integridad y disponibilidad
Decisiones en cuanto a respaldos
• Que información almacenar
• En que medio almacenar
• Con que frecuencia almacenar
• Donde guardar los respaldos
• Cuando probar los respaldos
Conceptos
• Compresión: Método para disminuir el espacio de almacenamiento necesario.
• Duplicación. Varias copias de seguridad están duplicadas en un segundo soporte de almacenamiento.
• Cifrado. Proceso para volver ilegible información considerada importante. La información una vez encriptada sólo puede leerse aplicándole una clave.
Esquemas de respaldo
• Completo
• Incremental
• Diferencial
Controles
• Almacenar en un sitio externo las copias y su registro
• Seguridad física del sitio externo
• Almacenar en dispositivos independientes a productivo
• Inventario de medios
• Períodos de retención y rotación
• Accesos a los medios
• Etiquetado de medios
• Registro de bitácoras de ejecución para su monitoreo
• Pruebas de restauración
Ejemplos de ciclo de rotación
Planes de Recuperación ante Desastres (DRP´s)
Disaster Recovery Plan es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Objetivo de los DRP´s
Los DRP están orientados para recuperar en el menor tiempo posible las operaciones de la empresa; utilizando para ello un equipo de cómputo alterno minimizando el impacto y el costo de un desastre.
Actividades de prevención ante los desastres
• Enviar respaldos fuera de sitio semanalmente.
• Incluir en el respaldo el software para facilitar la recuperación.
• Tener una instalación remota de reserva para reducir al mínimo la pérdida de datos.
• El suministro de energía ininterrumpido (SAI).
• La prevención de incendios - más alarmas, extintores accesibles.
• Software del antivirus.
• Seguro en el hardware.
Factores a ser tomados en cuenta
• El árbol telefónico: para notificar al personal clave.
• Clientes: la notificación sobre el problema reduce al mínimo el pánico.
• Instalaciones: teniendo sitios de recuperación disponibles o con proveedores.
• Trabajadores con conocimiento.
• La información de negocio: Almacenadas completamente separadas de la empresa.
Controles DRP
• Plan detallado autorizado por la alta gerencia
• Plan detallado conocido por los involucrados
• Pruebas del plan
Contenido de un DRP
• Procedimiento para declarar un desastre (procesos de escalación)
• Criterio para la activación del plan
• Lista de responsables contacto para cada función. (Equipo de recuperación y sus responsabilidades)
• Lista de contactos y de notificación (dueños de los procesos)
• Explicación paso a paso de todo el proceso (donde, cuando, qué [sistemas, redes, sitios, oficinas, data, servicio, proveedor…], quién, orden)
Adquisición, Desarrollo e implementación de sistemasObjetivo
Asegurar que los cambios en los programas y los componentes de la infraestructura relacionados sean solicitados, autorizados, realizados, probados e implantados para lograr los objetivos de la gerencia para el control de aplicaciones.
Ciclo del desarrollo de sistemas
Controles internos para el análisis, desarrollo e implementación de sistemas
Estudio de Factibilidad
Definición de Requerimientos
Selección del Software
Diseño
Desarrollo
Configuración
Pruebas Finales e implementación
Postimplementación
Metodología de desarrollo de sistemas
• Análisis del sistema actual
• Diseño conceptual
• Diseño detallado
• Programación
• Pruebas y correcciones
• Implementación del sistema
• Documentación del sistema
• Capacitación de usuarios
• Liberación del sistema
• Mantenimiento
Elementos de cumplimiento para el análisis, desarrollo e implementación de sistemas
1. Estandarización de metodologías para el desarrollo de proyectos
2. Asegurar que el beneficio del sistema sea óptimo
3. Elaborar estudios de factibilidad del sistema
4. Garantizar la eficiencia y eficacia en el análisis y diseño del sistema
5. Vigilar la efectividad y eficacia en la implementación y el mantenimiento del sistema
6. Lograr un uso eficiente del sistema por medio de su documentación
1. Estandarización de metodologías para el desarrollo de proyectos
• Métodos de diseño de sistemas
• Lineamientos en la realización de sistemas
• Uniformidad de funciones para desarrollar sistemas
• Políticas para desarrollo de sistemas
• Normas para regular el desarrollo de proyectos
2. Asegurar que el beneficio del sistema sea óptimo
• Beneficios tangibles
• Beneficios intangibles
3. Elaborar estudios de factibilidad del sistema
• Operativa
• Económica
• Técnica
• Administrativa
• Otros
4. Garantizar la eficiencia y eficacia en el análisis y diseño del sistema
• Adopción y seguimiento de metodología institucional
• Adopción de una adecuada planeación, programación y presupuestación
• Contar con la participación activa de los usuarios finales
• Contar con personal que tenga experiencia, capacitación y disposición
• Utilizar los requerimientos técnicos (hw, sw, personal)
• Diseñar y aplicar las pruebas previas a la implementación
• Supervisar el avance del proyecto
5. Vigilar la efectividad y eficacia en la implementación y el mantenimiento del sistema
• ¿Cuánto es la vida estimada de un proyecto informático?
6-8 años
• No solo es implementar sino dar mantenimiento
1. Preventivo
2. Correctivo
6. Lograr un uso eficiente del sistema por medio de su documentación
• Manuales instructivos del usuario
• Manual instructivo de operación
• Manual técnico del sistema
• Manual para seguimiento del desarrollo del proyecto del sistema
• Manual instructivo de mantenimiento del sistema
• Otros
Prácticas de Adquisición, Desarrollo e implementación de sistemas
Plan de pruebas
• Realizar las pruebas
• Reportar los resultados
• Seguimiento de problemas
Clasificación de Pruebas de sistemas
• Pruebas unitarias
• Pruebas de interfaz
• Pruebas de sistemas
• Prueba de aceptación final
Técnicas de pruebas
• Alfa y beta
• Piloto
• Caja blanca
• Caja negra
• Función/validación
• Regresión
• Paralelo
• Sociabilidad
• De escritorio
• Datos ficticios
• Aplicaciones automáticas
Subdominios de Adquisición, Desarrollo e implementación de sistemas
• Administración de las actividades de mantenimiento
• Especificación, autorización y rastreo de solicitudes
• Construcción
• Pruebas y Control de Calidad
• Implementación de sistemas
• Documentación y Capacitación
• Segregación de Funciones
Auditando mantenimiento de programas- ¿Qué se revisa?
• Acceso a las librerías de desarrollo es restringido
• Realización de labores de supervisión sobre los programadores
• Solicitudes de cambios deben ser aprobadas y documentadas
• Realizar pruebas mediante muestreo de cambios en los sistemas
• Cambios de emergencia (acceso temporal de desarrollo)
Riesgo de cambios no autorizados-Condiciones de riesgo
• Acceso a código fuente y no es revisado
• No existe un proceso formalizado
• El usuario y la gerencia no autorizó el cambio o no autorizó su implementación
• La implementación por un tercero no es monitoreada
Otros Riesgos
1. Cambios tienen impacto negativo el ambiente de control existente y en el negocio.
2. Cambios no cumplen los requerimientos antes de ser llevados a producción
3. Las pruebas de los cambios impactan negativamente el ambiente de producción
4. La documentación de los sistemas no están en línea con el ambiente actual
5. Las partes relevantes, usuarios y dueños de los procesos no están al tanto de la implementación de los cambios y de los impactos correspondientes
6. Los cambios de emergencia no son legítimos
Papel del Auditor de sistemas
“El auditor IS debe analizar los riesgos asociados y exposiciones inherentes en cada fase del ciclo de vida de los sistemas y asegurarse que los mecanismos de control apropiados existan para minimizar esos riesgos.” ISACA
ISACA
Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información)
Papel del Auditor de sistemas
• Determinar componentes que necesitan controles.
• Determinar el ranking de riesgos y la mejor selección de controles.
• Evaluar y aconsejar sobre el diseño e implementación de controles.
• Periódicamente revisar documentación vrs. Cambios en el sistema para asegurar que el proceso funciona y se cumplan los requerimientos.
• Revisar los mecanismos de administración del proceso de cambios (losgs).
• Verificar procedimientos de aseguramiento de integridad (accesos)
Fases de revisión del auditor ASI
• Administración del proyecto
• Estudio de factibilidad
• Definición de requerimientos
• Proceso de adquisición del software
• Diseño y desarrollo detallado
• Pruebas
• Fase de implementación
• Revisión postimplementación
• Procesos de migración
Contenido lectura de apoyo
• Cap. 5: Controles internos para el análisis, desarrollo e implementación de sistemas (145-157)
SeguridadNiveles de Seguridad
• Redes
Es un conjunto de dispositivos físicos "hardware" y de programas "software", mediante el cual podemos comunicar computadoras para compartir recursos (discos, impresoras, programas, etc.) así como trabajo (tiempo de cálculo, procesamiento de datos, etc.)
• Sistema Operativo
Es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware y provee servicios a los programas de aplicación
• Aplicaciones
Programa informático diseñado para facilitar al usuario la realización de un determinado tipo de trabajo.
Son software diseñados para soportar un segmento de la empresa. Casi todas las funciones comunes de una organización (bases de datos de clientes, nóminas, contabilidad, etc). Suelen estar contempladas en estos programas.
Abarcan necesidades tan variados como sea posible, facilitando el manejo de la información de gestión de la empresa. Están orientados a manejar áreas específicas de cada empresa, tomando en cuenta su tamaño y el sector de trabajo.
• Bases de datos
Una base de datos o banco de datos es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso.
Subdominios
1. Administración de las actividades de Seguridad
2. Administración de Seguridad
3. Seguridad de datos
4. Seguridad del sistema operativo
5. Seguridad de aplicativos
6. Seguridad de red
7. Seguridad física
1. Administración de las actividades de Seguridad
Debe diseñarse e implantarse una función de seguridad y las políticas y procedimientos respectivos para respaldar los objetivos de integridad de la información de la entidad.
En este subdominio se realiza lo siguiente:
Se define la propiedad de datos por cada unidad de negocio, se documenta y comunica los roles y responsabilidades, se definen, documentan y comunican las políticas y procedimientos, se actualizan las políticas y se capacita periódicamente a los usuarios
Asignación
1. Descargar una política de seguridad de información y uso de sistemas
2. Leerla
3. Comentar sobre su contenido, remarcar que les llamó la atención
2. Administración de Seguridad
Las actividades de administración de la seguridad deben asegurar que los accesos están restringidos en forma apropiada únicamente a los individuos autorizados cuyos derechos de acceso son acordes a sus responsabilidades y a los objetivos de control de la gerencia.
En este subdominio se realiza lo siguiente:
- Se definen y establecen derechos de acceso
- Se diseñan controles para asegurar que los derechos de acceso son correctamente otorgados, modificados y eliminados.
- Revisiones periódicas del acceso de los usuarios.
3. Seguridad de datos
Asegurar que el acceso directo a los datos está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.
En este subdominio se realiza lo siguiente:
- Las bases de datos son configurados de modo de restringir adecuadamente el acceso.
- Cómo monitorea la gerencia las bases de datos para detectar una posible actividad no autorizada (es decir, acceso desde fuera de la aplicación).
4. Seguridad del sistema operativo
Los controles sobre la seguridad del sistema operativo deben asegurar que el acceso al sistema operativo está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.
En este subdominio se realiza lo siguiente:
- Las configuraciones de seguridad, es decir, parámetros de seguridad global, parámetros de contraseñas, etc.
- Que los cambios en configuraciones son modificadas de una manera controlada.
- Cómo monitorea la gerencia para detectar una posible actividad no autorizada
5. Seguridad de aplicativos
Los controles sobre la seguridad del sistema aplicativo deben asegurar que el acceso al sistema está limitado a los individuos autorizados de manera apropiada y es monitoreado para detectar una posible actividad no autorizada.
En este subdominio se realiza lo siguiente:
- Las configuraciones de seguridad, es decir, parámetros de seguridad global, parámetros de contraseñas, etc.
- Que los cambios en configuraciones son modificadas de una manera controlada.
- Cómo monitorea la gerencia para detectar una posible actividad no autorizada
6. Seguridad de red (Sección 12.7)
Los controles sobre la seguridad de la red interna y externa para proteger los sistemas de accesos no autorizados
En este subdominio se realiza lo siguiente:
- Diseño de la red para que los sistemas estén protegidos en forma apropiada del acceso no autorizado (p.ej. firewalls)
- Cómo se asegura la gerencia de que en la configuración de la red se incluyen controles de autenticación (controles de contraseñas, asignación de usuarios a los grupos, acceso remoto).
- Cómo monitorea la gerencia los posibles incidentes de seguridad en la red interna y externa, y cómo responde a ellos.
7. Seguridad física (Sección 12.11)
Los controles sobre la seguridad y condiciones ambientales.
Asignación
• Realizar una evaluación de seguridad física y condiciones ambientales de un área de su elección.
• Listar que aspectos se están cumpliendo y cuales no según lo discutido en clase. Se puede apoyar de la sección 12.11 del libro de texto.
• Plazo: Siguiente clase
top related