CONTROLCONTROL Ejemplos

AUDITORÍA DE AUDITORÍA DE SISTEMASSISTEMAS

COMISIÓN Nº1

Oscar Cosio A./ Erick Camus H. / Alexander Velasque R.Iris Ruiz. W. / Kathy Mucha Y.

Ing. Oscar Mujica Ruiz

TIPOS DE CONTROLES

CORRECTIVO

DETECTIVO

PREVENTIVO

TIPOS DE CONTROLES

CORRECTIVO

DETECTIVO

PREVENTIVO

CORREGIR

DETECTAR

EVITAR

CO

STO

/ P

ERC

USI

ÓN

UBICACIÓN EN EL FLUJO DEL PROCESO

PREVENTIVO DETECTIVO CORRECTIVO

CASO

ACCESO A LA WANWIDE AREA NETWORK[RED DE ÁREA EXTENSA]

[CONTROL PREVENTIVO]

Definiciones breves…¿Qué es una WAN?Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN.

¿Por qué son necesarias?NECESIDADES EMPRESARIALES1.Necesidad de comunicación y compartir datos con la sede central2.Las organizaciones desean compartir información con otras.3.Los empleados viajan y necesitan acceder a la información que se encuentran en sus redes corporativas.

¿Cuáles son las opciones de conexión de enlace WAN?Opciones de WAN privadas

Enlace de comunicación dedicadas Enlaces de comunicación conmutados

Opciones de WAN públicas DSL VPN

SEDECENTRAL

ANEXO 8

CEPREVI

TRABAJADORMÓVIL

ACCESO A LA WAN

Control de Acceso WANACL (Access Control List)

Es una configuración que controla si este permite o deniega paquetes de acuerdo a un criterio de acceso.

“Sólo permitir el acceso Web a usuarios de la red OFICINA, denegar el acceso al correo electrónico a la red ALUMNOS, pero permitir otros

accesos”

“Sólo permitir el acceso al servidor WEB a usuarios de la red MANTENIMIENTO”

PROXYServidor proxy web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.

Por lo tanto puede limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy.

FIREWALLEs un programa o un equipoque verifica la identidad de lospaquetes y rechaza todosaquellos que no estén autorizados o correctamente identificados.

“Restringir el acceso de la red biblioteca a:

CASO

NOTIFICACIÓN de la Implementación como herramienta de CONTROL PREVENTIVO

Aprobado y Notificado por la OFICINA DE CONTROL INTERNO Y DE AUDITORÍA

McAfee Endpoint Protection — Advanced Suite

Como herramienta de control de Auditoría

Mucho Más que un antivirus…

Endpoint Protection — Advanced Suite

COMETIDO:

Monitorización por parte de la oficina de control interno y de auditoría sobre la información institucional y restringida que pretende ser copiada a dispositivos de almacenamiento externo no institucionales.

Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”

Supervisa y restringe los datos copiados en dispositivos de almacenamiento y medios portátiles con el fin de evitar que estén fuera del control de la empresa

Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”

Los archivos que sean copiados a un dispositivo portátil será encriptados y cifrados , por lo cual no se podrán abrir en una PC fuera de la red institucional.

Endpoint Protection — Advanced Suite“Obtenga control integral de sus dispositivos”

Se registrará la fecha, hora, usuario, y PC desde donde se intentó realizar la copia para ser enviada al administrador centralizado del End Point y

posteriormente registrada en la BD de Control Interno y

Auditoría

CASO

IMPLANTACIÓN La sub gerencia de servicios

TI (SETI) remitirá reservadamente a las unidades organizacionales a la versión digital y escrita.

Los jefes de las unidades organizacionales en un plazo no mayor a 10 días hábiles remitirán reservadamente copia de las versiones digitales y escritas de los citados.

….

PRUEBAS Todo simulacro es responsabilidad

del jefe del departamento de operaciones y plataforma o de quien haga sus veces.

No debe afectar la operatividad diaria de la plataforma corporativa, y debe realizarse despúes del cierre de operaciones de las operaciones de la oficina principal y en observancia estricta de la normatividad relacionada con la operatividad y seguridad de las aplicaciones críticas de la OP.

Todo imprevisto surgido en el simulacro necesariamente debe registrarse como ocurrencia por el responsable de la misma.

EJECUCIÓN Declara la emergencia y

activado el PRCPC, el jefe del DOP notifica inmediatamente a la SETI e indica al personal involucrado su inamovilidad absoluta hasta que se supere el incidente.

Todo incidente debe terminar con un informe del jefe del DOP visado por la SETI, remitido a la gerencia de TI, quien a su vez informara a la gerencia general sobre el incidente ocurrido

ACTUALIZACIÓN

Se entiende como anexos PRCPC, a los documentos necesarios para su ejecución.

Los jefes de las unidades organizacionales o quienes hagan sus veces, son los responsables de mantener actualizados los citados.

El jefe de la SETI remitirá copia digital e impresa del citado.

CONTROL DETECTIVO

Como ejemplos tenemos ARCHIVOS Y PROCESOS QUE SIRVAN COMO PISTAS DE AUDITORÍA.

Empresa peruana que realiza actividades propias del servicio público de electricidad, distribuimos y comercializamos energía eléctrica, en un área geográfica de concesión que abarca 139.63 km², en las regiones de Lambayeque, Amazonas y parte de Cajamarca; atendemos más de 256 mil clientes, dividido geográficamente el área en cinco Unidades de Negocios: Chiclayo, Chachapoyas, Jaén , Cajamarca y Sucursales.

AUDITORÍA INTERNA

OBJETIVOS Y FINALIDAD:

Cautelar la integridad del patrimonio de la empresa y el uso racional de los recursos, promoviendo la eficiencia en las operaciones y efectuando la evaluación y control de los mismos de acuerdo a las normas internas de control y disposiciones emanadas.

MOF – AUDITORÍA INTERNAFUNCIONES GENERALES

Planear, ejecutar y evaluar las Auditorías y/o Exámenes especiales en la empresa, según las Normas Generales de los Sistemas Administrativos vigentes para las empresas privadas.

Examinar y evaluar la eficiencia de la gestión integral de la empresa regional.

MOF – AUDITORÍA INTERNA FUNCIONES ESPECIFICAS

Emitir los informes de exámenes y controles efectuados alcanzándolos a las instancias pertinentes, según los períodos establecidos.

Implementar y asegurar la efectividad de las recomendaciones de los informes de Auditoría y exámenes especiales.

Mantener informada a las áreas pertinentes, referente a las disposiciones, Normas y Procedimientos de gestión que regulen la actividad del órgano de Control Interno.

AUDITOR INTERNOFUNCIONES

Planear, ejecutar y evaluar las Auditorías y/o Exámenes

especiales en la empresa, según las Normas Generales

de los Sistemas Administrativos vigentes para

las empresas privadas.