TEMA: EL CONTROL INTERNO INFORMÁTICO
Objetivo: Conocer los tipos de controles informáticos que se deben implementar en una organización, con la finalidad de mantener la integridad,confidencialidad y confiabilidad de los datos.
ANTECEDENTES
-La reestructuración de los
procesos empresariales (BPR – Bussiness Process Re-engineering).
- La gestión de
la calidad total.
-El
redimensionamiento por reducción y por aumento del tamaño hasta el nivel
correcto.
-La contratación
externa (outsorcing).
-La
descentralización.
|
SISTEMA DE CONTROL INTERNO
INFORMÁTICO
*Controla
diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y la dirección informática, así como los
requerimientos legales.
*Realizar
en los diferentes sistemas (centrales,
departamentales, redes locales, PC’s,
etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas.
Objetivos
principales:
ü Asesorar sobre el conocimiento de las normas.
ü Colaborar y apoyar el trabajo de Auditoria
informática, así como de las auditorias externas al grupo.
ü Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del
servicio informático.
CLASIFICACIÓN DE LOS OBJETIVOS DEL CONTROL INFORMÁTICO
|
Controles Preventivos
|
Para tratar de evitar el hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.
|
Controles Detectivos
|
Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizado.
|
Controles Correctivos
|
Facilitan la vuelta a la normalidad cuando se han producido incidencias.
Por ejemplo, la recuperación de un archivo perdido o dañado a partir de las copias
de seguridad.
|
Áreas y
controles de la Auditoría Informática
v
Controles Generales Organizativos.
v
Controles de desarrollo, adquisición y mantenimiento
de sistemas de información.
v Controles de explotación de Sistemas de Información
v
Controles en aplicaciones..
v
Controles específicos de ciertas tecnologías.
Controles generales organizativos.
|
*Plan Informático, realizado por
el Departamento de Informática.
*Plan General de Seguridad (física y lógica).
*Plan de Contingencia
ante desastres.
|
Controles de desarrollo y mantenimiento de
sistemas de información.
|
Permiten alcanzar la eficacia del sistema, economía,
eficiencia, integridad de datos, protección de recursos y cumplimiento con
las leyes y regulaciones a través de metodologías como la de Ciclo de Vida de
Desarrollo de aplicaciones.
|
Controles de explotación de sistemas de
información.
|
Tienen que ver con la gestión de los recursos tanto
a nivel de planificación, adquisición y uso del hardware así como los procedimientos
de, instalación y ejecución del software.
|
Controles en aplicaciones
|
Toda aplicación debe llevar controles incorporados
para garantizar la entrada, actualización, salida, validez, y mantenimiento
completos y exactos de los datos.
|
Control
interno informático
|
Auditor
Informático
|
SIMILITUDES
|
Conocimientos especialidades en Tecnología de la
Información establecidos por la Dirección de Informática y la Dirección
General para los sistemas de información.
|
DIFERENCIAS
|
-Análisis de los controles en el día a día.
-Informa a la Dirección del Departamento de
Informático,
-Solo personal interno.
-El alcance de sus funciones es únicamente sobre
el Departamento de Informática.
|
-Análisis de un momento informático determinado.
-Informa a la Dirección General de la
Organización.
-Personal Interno o externo.
-Tiene cobertura sobre todos los componentes de
los sistemas de información de organización.
|
Implantación
de políticas y cultura:
Implantación de un Sistema de Control Interno
Informático
Implantación de un Sistema de Control Interno
Informático:
v
La evaluación de controles de tecnología de la
Información exige analizar diversos elementos interdependientes. Por ello es
importante conocer bien la configuración del sistema, para poder identificar los
elementos, productos, herramientas que existen para saber donde pueden
implantarse los controles, así como para identificar los posibles riesgos.
Implantación de un Sistema de
Control Interno Informático:
v
Entorno de Red:
Esquema de la red, descripción de la configuración de hardware de
comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los ordenadores de
entornos de base que soportan las aplicaciones críticas y consideraciones
relativas a la seguridad de la red.
v
Configuración del Ordenador Base:
Configuración del soporte físico, entorno del sistema operativo, software con
particiones, entornos (pruebas y real), bibliotecas de programas y conjunto
datos.
v
Entorno de Aplicaciones:
Procesos de transacciones, sistemas de gestión de base de datos y entornos de
procesos distribuidos. Productos y
Herramientas.- Software para desarrollo de programas, software de gestión de
bibliotecas y para operaciones automáticas.
v
Seguridad del Ordenador Base:
Identificar y verificar usuarios, control de acceso, registro e información,
integridad del sistema, controles de supervisión.
Implantación de un Sistema de Control Interno Informático
|
Gestión de sistemas de
Información
Política, pautas y normas técnicas que sirvan para
el diseño y la implantación de los sistemas de información y de los controles
correspondiente.
|
Administración de Sistemas
Controles sobre la actividad de los centros de datos
y otras funciones de apoyo al sistema, incluyendo la administración de las
redes.
|
Seguridad
Incluye las tres
clases de controles fundamentales implantados en el software del sistema,
integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
|