controle scomisión1
TRANSCRIPT
CONTROLCONTROL Ejemplos
AUDITORÍA DE AUDITORÍA DE SISTEMASSISTEMAS
COMISIÓN Nº1
Oscar Cosio A./ Erick Camus H. / Alexander Velasque R.Iris Ruiz. W. / Kathy Mucha Y.
Ing. Oscar Mujica Ruiz
TIPOS DE CONTROLES
CORRECTIVO
DETECTIVO
PREVENTIVO
TIPOS DE CONTROLES
CORRECTIVO
DETECTIVO
PREVENTIVO
CORREGIR
DETECTAR
EVITAR
CO
STO
/ P
ERC
USI
ÓN
UBICACIÓN EN EL FLUJO DEL PROCESO
PREVENTIVO DETECTIVO CORRECTIVO
CASO
ACCESO A LA WANWIDE AREA NETWORK[RED DE ÁREA EXTENSA]
[CONTROL PREVENTIVO]
Definiciones breves…¿Qué es una WAN?Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN.
¿Por qué son necesarias?NECESIDADES EMPRESARIALES1.Necesidad de comunicación y compartir datos con la sede central2.Las organizaciones desean compartir información con otras.3.Los empleados viajan y necesitan acceder a la información que se encuentran en sus redes corporativas.
¿Cuáles son las opciones de conexión de enlace WAN?Opciones de WAN privadas
Enlace de comunicación dedicadas Enlaces de comunicación conmutados
Opciones de WAN públicas DSL VPN
SEDECENTRAL
ANEXO 8
CEPREVI
TRABAJADORMÓVIL
ACCESO A LA WAN
Control de Acceso WANACL (Access Control List)
Es una configuración que controla si este permite o deniega paquetes de acuerdo a un criterio de acceso.
“Sólo permitir el acceso Web a usuarios de la red OFICINA, denegar el acceso al correo electrónico a la red ALUMNOS, pero permitir otros
accesos”
“Sólo permitir el acceso al servidor WEB a usuarios de la red MANTENIMIENTO”
PROXYServidor proxy web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.
Por lo tanto puede limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy.
FIREWALLEs un programa o un equipoque verifica la identidad de lospaquetes y rechaza todosaquellos que no estén autorizados o correctamente identificados.
“Restringir el acceso de la red biblioteca a:
CASO
NOTIFICACIÓN de la Implementación como herramienta de CONTROL PREVENTIVO
Aprobado y Notificado por la OFICINA DE CONTROL INTERNO Y DE AUDITORÍA
McAfee Endpoint Protection — Advanced Suite
Como herramienta de control de Auditoría
Mucho Más que un antivirus…
Endpoint Protection — Advanced Suite
COMETIDO:
Monitorización por parte de la oficina de control interno y de auditoría sobre la información institucional y restringida que pretende ser copiada a dispositivos de almacenamiento externo no institucionales.
Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”
Supervisa y restringe los datos copiados en dispositivos de almacenamiento y medios portátiles con el fin de evitar que estén fuera del control de la empresa
Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”
Los archivos que sean copiados a un dispositivo portátil será encriptados y cifrados , por lo cual no se podrán abrir en una PC fuera de la red institucional.
Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”
Se registrará la fecha, hora, usuario, y PC desde donde se intentó realizar la copia para ser enviada al administrador centralizado del End Point y
posteriormente registrada en la BD de Control Interno y
Auditoría
CASO
IMPLANTACIÓN La sub gerencia de servicios
TI (SETI) remitirá reservadamente a las unidades organizacionales a la versión digital y escrita.
Los jefes de las unidades organizacionales en un plazo no mayor a 10 días hábiles remitirán reservadamente copia de las versiones digitales y escritas de los citados.
….
PRUEBAS Todo simulacro es responsabilidad
del jefe del departamento de operaciones y plataforma o de quien haga sus veces.
No debe afectar la operatividad diaria de la plataforma corporativa, y debe realizarse despúes del cierre de operaciones de las operaciones de la oficina principal y en observancia estricta de la normatividad relacionada con la operatividad y seguridad de las aplicaciones críticas de la OP.
Todo imprevisto surgido en el simulacro necesariamente debe registrarse como ocurrencia por el responsable de la misma.
EJECUCIÓN Declara la emergencia y
activado el PRCPC, el jefe del DOP notifica inmediatamente a la SETI e indica al personal involucrado su inamovilidad absoluta hasta que se supere el incidente.
Todo incidente debe terminar con un informe del jefe del DOP visado por la SETI, remitido a la gerencia de TI, quien a su vez informara a la gerencia general sobre el incidente ocurrido
ACTUALIZACIÓN
Se entiende como anexos PRCPC, a los documentos necesarios para su ejecución.
Los jefes de las unidades organizacionales o quienes hagan sus veces, son los responsables de mantener actualizados los citados.
El jefe de la SETI remitirá copia digital e impresa del citado.
CONTROL DETECTIVO
Como ejemplos tenemos ARCHIVOS Y PROCESOS QUE SIRVAN COMO PISTAS DE AUDITORÍA.
Empresa peruana que realiza actividades propias del servicio público de electricidad, distribuimos y comercializamos energía eléctrica, en un área geográfica de concesión que abarca 139.63 km², en las regiones de Lambayeque, Amazonas y parte de Cajamarca; atendemos más de 256 mil clientes, dividido geográficamente el área en cinco Unidades de Negocios: Chiclayo, Chachapoyas, Jaén , Cajamarca y Sucursales.
AUDITORÍA INTERNA
OBJETIVOS Y FINALIDAD:
Cautelar la integridad del patrimonio de la empresa y el uso racional de los recursos, promoviendo la eficiencia en las operaciones y efectuando la evaluación y control de los mismos de acuerdo a las normas internas de control y disposiciones emanadas.
MOF – AUDITORÍA INTERNAFUNCIONES GENERALES
Planear, ejecutar y evaluar las Auditorías y/o Exámenes especiales en la empresa, según las Normas Generales de los Sistemas Administrativos vigentes para las empresas privadas.
Examinar y evaluar la eficiencia de la gestión integral de la empresa regional.
MOF – AUDITORÍA INTERNA FUNCIONES ESPECIFICAS
Emitir los informes de exámenes y controles efectuados alcanzándolos a las instancias pertinentes, según los períodos establecidos.
Implementar y asegurar la efectividad de las recomendaciones de los informes de Auditoría y exámenes especiales.
Mantener informada a las áreas pertinentes, referente a las disposiciones, Normas y Procedimientos de gestión que regulen la actividad del órgano de Control Interno.
AUDITOR INTERNOFUNCIONES
Planear, ejecutar y evaluar las Auditorías y/o Exámenes
especiales en la empresa, según las Normas Generales
de los Sistemas Administrativos vigentes para
las empresas privadas.