Presentacin de PowerPoint

IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO INFORMTICOCRITERIO BSICO

Los controles pueden implantarse a varios niveles.

La evaluacin de controles de tecnologa de la Informacin exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuracin del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, as como para identificar los posibles riesgos. CONOCER LA CONFIGURACIN DEL SISTEMA Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: Entorno de red..- esquema de la red, descripcin de la configuracin de hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan las aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base.- configuracin del soporte fsico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos.Entorno de aplicaciones.- procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas.- software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base.- identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. PARA LA IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO INFORMTICO DEBE DEFINIRSE: Gestin de sistemas de informacin.- poltica, pautas y normas tcnicas que sirvan para el diseo y la implantacin de los sistemas de informacin y de los controles correspondiente.

Administracin de sistemas.- controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.

Seguridad.- incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestin de cambio.- separacin de las pruebas y la produccin a nivel de software y controles de procedimientos para la migracin de programas software aprobados y probados.

RESPALDO PARA LA IMPLANTACIN DE UNA POLTICA Y CULTURA DE SEGURIDAD

Direccin de Negocio o Direccin de Sistemas de Informacin (S.I).- Define la poltica y/o directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser internas o externas. Direccin de Informtica.- Ha de definir las normas de funcionamiento del entorno informtico y de cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de informtica as como a los usuarios, que establezcan el marco de funcionamiento.

Control Interno Informtico.- ha de definir los diferentes controles peridicos a realizar en cada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarn en los oportunos procedimientos de control interno y podrn ser preventivos o de deteccin. Peridicamente realizar la revisin de controles establecidos de Control Interno Informtico informando las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles, as como trasmitir constantemente a toda la organizacin de Informtica la cultura y polticas de riesgo informtico.

Auditor interno/externo informtico.- ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a os objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que puedan originarse.La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico.

CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIN

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERAN LOS QUE CONTROL INTERNO INFORMTICO Y AUDITORA INFORMTICA DEBERAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ

CONTROLES DE DESARROLLO, ADQUISICIN Y MANTENIMIENTO DE SISTEMAS DE INFORMACINPara que permitan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones.Metodologa del ciclo de vida del desarrollo de sistemas. Principales controles: La Alta Direccin debe publicar una normativa sobre el uso de metodologa de ciclo de vida de desarrollo de sistemas y revisar sta peridicamente. La metodologa debe establecer los papeles y responsabilidades de las distintas reas del Departamento de Informtica y de los Usuarios, as como la composicin y responsabilidades del equipo del proyecto. Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes e que comience el proceso de desarrollo. Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos acompaadas de un anlisis costo-beneficio de cada alternativa. Cuando se seleccione una alternativa debe formularse el plan director del proyecto. En dicho plan deber existir una metodologa de control de costos. CONTROLES EN LA METODOLOGA DE DESARROLLO DE SISTEMAS

Procedimientos para la definicin y documentacin de especificaciones de: diseo, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditora, etc. Plan de validacin, verificacin y pruebas. Estndares de prueba de programas, de pruebas de sistemas. Plan de conversin: prueba de aceptacin final. Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la organizacin y dichos productos debern ser probados y revisados antes de pagar por ellos y ponerlos en uso. La contratacin de outsourcing debe estar justificada mediante una peticin escrita de un director del proyecto.Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin, as como manuales de usuario. EXPLOTACIN Y MANTENIMIENTO El establecimiento de controles asegurar que los datos se traten de forma congruente y exacta y que el contenido de sistemas slo ser modificado mediante autorizacin adecuada. Algunos controles que deben implantarse: Procedimiento de control de explotacin. Sistema de contabilidad para asignar usuarios de costos asociados con la explotacin de un sistema de informacin.Procedimientos para realizar un seguimiento y control de los cambios de un sistema de informacin. CONTROLES DE EXPLOTACIN DE SISTEMAS DE INFORMACIN

Planificacin y Gestin de recurso: definir el presupuesto operativo del Departamento, Plan de adquisicin de equipos y gestin de la capacidad de los equipos.

Controles para usar de manera efectiva los recursos en ordenadores:

1.Calendario de carga de trabajo. 2.Programacin de personal. 3.Mantenimiento preventivo del material.4.Gestin de problemas y cambios. 5.Procedimientos de facturacin a usuarios. 6.Sistemas de gestin de la biblioteca de soportes. Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y control de cambios. SEGURIDAD FSICA Y LGICA

Definir un grupo de seguridad de la informacin, siendo una de sus funciones la administracin y gestin del software de seguridad, revisar peridicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.

Controles fsicos para asegurar que el acceso a las instalaciones del Dpto. de Informtica quede restringido a las personas autorizadas.

Control de visitas: personas externas a la organizacin.

Instalacin de medidas de proteccin contra el fuego.

Formacin y concientizacin en procedimientos de seguridad y evacuacin del edificio.

Control de acceso restringido a los ordenadores.

Normas que regulen el acceso a los recursos informticos.

Existencia de un plan de contingencias para el respaldo de recursos de ordenador crticos y para la recuperacin de los servicios del Dpto. Informtico despus de una interrupcin imprevista de los mismos. CONTROLES DE APLICACIONES

Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, validez y mantenimiento completos y exactos de los datos.

Aspectos ms importantes en el control de datos:

Control de entrada de datos: procedimientos de conversin y de entrada, validacin y correccin de datos. Control de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados. Controles de salidas de datos: sobre el cuadre y reconciliacin de salidas, procedimientos de distribucin de salidas, de gestin de errores en las salidas, etc. CONTROLES ESPECFICOS DE CIERTAS TECNOLOGAS

Controles en sistemas de Gestin de Base de datos.

Sobre el software de gestin de BD para preveer el acceso a la estructuracin de y el control sobre los datos compartidos, deber instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno.

Que estn definidas las responsabilidades sobre la planificacin, organizacin, dotacin y control de los activos de datos, es decir, un administrador de datos.

Que existen procedimientos para la descripcin y los cambios de datos as como para el mantenimiento del diccionario de datos.

Sobre el acceso de datos y la concurrencia.

Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la cada y minimizar el tiempo necesario para la recuperacin

Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces fsicos punteros asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas. Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red.

Existencia de un grupo de control de red.

Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.

Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informtica en conexin con la distribucin del contenido de bases de datos entre los departamentos que usan la red.

Que se identifiquen todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.

Existencia de inventario de todos los activos de la red.

Existencia de mantenimiento preventivo de todos los activos.

Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino vlidas.

Controles de seguridad lgica: control de acceso a la red, establecimiento de perfiles de usuario. Procedimientos de cifrado de informacin sensible que se transmite a travs de la red.

Procedimientos de cifrado de informacin sensible que se transmite a travs de la red.

Procedimientos automticos para resolver cierres del sistema.

Monitorizacin para medir la eficiencia de la red.

Disear el trazado fsico y las medidas de seguridad de las lneas de comunicacin local dentro de la organizacin.

Detectar la correcta o mala recepcin de mensajes.

Identificar los mensajes por una clave individual de usuario, por terminal y por el nmero de secuencia del mensaje.

Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor.

Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lgica redundante y poder de respaldo con realimentacin automtica para casos de fallas.

Asegurarse de que haya procedimientos de recuperacin y reinicio. Asegurarse de que existan pistas de auditora que puedan usarse en la reconstruccin de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario.

Considerar circuitos de conmutacin que usen rutas alternativas para diferentes paquetes de informacin provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.

FUNCIN CONTROL EN LOS SISTEMAS

Funcin control esparcida en la empresa. Consecuencia del desarrollo empresarial. Especializacin de sus reas con infraestructura tecnolgica. Decisiones basadas en informacin confiable, adecuado en tiempo y forma.Administracin de empresas apoyada en tecnologa. Persona encargadas de control: cmo hacer para obtener efectividad en sus funciones, si no participan en el desarrollo de los sistemas.Tendencia se invierte con activa participacin de la funcin de control en el desarrollo, implementacin y seguimiento de los sistemas de informtica.