Metodologias de control interno

8,824 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
8,824
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
145
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Metodologias de control interno

  1. 1. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICALA NORMATIVADebe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el puntode vista conceptual, como práctico, desde lo general a lo particular.Debe inspirarse en:PolíticasMarco jurídicoPolíticas y normas de la empresaExperienciaPrácticas profesionalesCONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DECONTROLFunción de Control;En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, losauditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y laseguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.Control interno informático; Cumplen funciones de control dual en los diferentes departamentos,que puede ser normativa, marco jurídico, la funciones del control interno es la siguientesdeterminar los propietarios y los perfiles según la clase de información, permitir a dos personasintervenir como medida de control, realizar planes de contingencias, dictar normas de seguridadinformática, controla la calidad de software, los costos, los responsables de cada departamento,control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y decontroles, es clara que esta medida permite la seguridad informática.Metodologías de clasificación de información y de obtención de procedimientos de control;
  2. 2. Es establecer cuáles son las entidades de información a proteger, dependiendo del grado deimportancia de la información para el establecimiento de contramedidas.Herramientas de control;Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programasque brindar seguridad, las principales herramientas son las siguientes; seguridad lógica delsistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos,control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control deimpresión y envío de listados por red, control de proyectos y versiones , gestión de independenciay control de cambios. Y físicos los cifradoresANALISIS DE PLATAFORMASSe trata de en determinar la plataforma para la colocación del producto más tarde.CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACIONEs determinar el inventario de lo que se va a conseguir y también lo necesario para laimplantación; acciones y proyectos, calendarizados y su duración y seguimiento.ANALISIS DE APLICACIÓNSe trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente software deseguridad de las aplicaciones y bases de datos.INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS
  3. 3. Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones comode los del sistema y permite establecer que si el nuevo esquema de control no pierde los objetivosde control.ADMINISTEACION DE SEGURIDADEs la observación de los diferentes productos para la control loa cuales deben de tener; reglas decontrol aplicables a todos los recursos del sistema, permitir al administrador la seguridad deestablecer un perfil de privilegios de acceso para el usuario, designación de diferentesadministradores, permitir el producto al administrador de establecer privilegios a grupos ylimitarlos en estas peticiones.SINGLE SING ONEste concepto se define como la utilización de un software password para tener una identificaciónpara un usuario.FACILIDAD DE USO Y REPORTINGTrata de la interfaz y la calidad de interfaz (interfaz gráfica, menús, etc.).SEGURIDADEstá relacionado con la contraseña, la identificación , la contraseña mínima.LA ORGANIZACIONLa integran las personas con funciones específicas y con actuaciones concretas, procedimientosdefinidos metodológicamente y aprobados por la dirección de la empresa. Sin el nada es posible.FuncionesProcedimientos
  4. 4. Planes (seguridad, contingencia, Auditorías, etc.)LAS METODOLOGIASSon necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada yeficaz.LOS OBJETIVOS DE CONTROLSon los objetivos a cumplir en el control de procesos y solamente de un planteamiento correcto delos mismos saldrán unos procedimientos eficaces y realistas.LOS PROCEDIMIENTOS DE CONTROLSon los procedimientos operativos de las distintas áreas de la empresa, obtenidos con unametodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tantodeben estar documentados y aprobados por la Dirección.TECNOLOGIA DE SEGURIDADDentro de la tecnología de seguridad están los elementos, ya sean hardware o software, queayudaran a controlar un riesgo informático. (Cifradores, autentificadores, equipos “tolerantes alfallo” etc.)LAS HERRAMIENTAS DE CONTROLSon elementos software que permiten definir uno o varios procedimientos de control para cumpliruna normativa y un objeto de control.Organización interna de la Seguridad InformáticaMETODOLOGIAS DE EVALUACION DE SISTEMASDOS METODOLOGIAS A EVALUAR:Auditoría Informática  solo identifica el nivel de “exposición” por falta de controles.Análisis de Riesgos  facilita la “evaluación” de los riesgos y recomienda acciones en base alcosto-beneficio de las mismas.Definiciones para profundizar en estas metodologíasAmenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación,incendio, robo de datos, sabotaje, agujeros publicados, etc.)Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que laamenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, deversiones, inexistencia de un control de soporte magnético, etc.).
  5. 5. Definiciones para profundizar en estas metodologíasRiesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datosestadísticos de cada evento de una base de datos de incidentes).Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto entérminos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa,honor, etc.).TIPOS DE METODOLOGIASCuantitativas  basadas en un modelo matemático numérico que ayuda a la realización deltrabajo.Cualitativas  basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo,para seleccionar en base a experiencia acumulada.METODOLOGIAS MÁS COMUNESLas metodologías más comunes de evaluación de sistemas que podemos encontrar son deanálisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las deauditoría de controles generales.DIFERENCIAS ENTRE AUDITORIA Y CONTROL INTERNO INFORMÀTICOLA AUDITORÍA INFORMÁTICA* Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías vanencaminadas a esta función.- * Tiene sus propios objetivos distintos a los auditores de cuentas.- * Los auditores de cuentas la necesitan para utilizar la información de sus sistemas paraevaluaciones financieras y operativas. * Evalúan eficiencia, costo y seguridad en su más amplia visión.- * Operan según el plan auditor.- * Establecen planes con tiempos definidos y ciclos completos.- * Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada yel resultado de la última auditoría de esta área.* Función de soporte informático de todos los auditores.CONTROL INTERNO INFORMÀTICO
  6. 6. CONTROL INTERNO INFORMÁTICO* Funciones de control dual con otros departamentos.- * Función normativa y del cumplimiento del marco jurídico.- * Tiene funciones propias (Administración de la Seguridad lógica, etc....)* Responsable del desarrollo y actualización del plan de contingencias, manuales deprocedimientos y plan de seguridad.- * Dictar normas de seguridad informática.- * Definir los procedimientos de control.- * Control de soportes físicos.- * Control de información sensible o comprometida.- * Control de calidad del servicio informático.- * Definición de requerimientos de seguridad en proyectos nuevos. • Control de cambios y versiones. • El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática.CLASIFICACIÓN DE LA INFORMACIONENTIDAD DE INFORMACIÓN: Objetivo a proteger en el entorno informático, y que la clasificaciónde la información nos ayudará a proteger especializando las contramedidas según el nivel deconfidencialidad o importancia que tengan.Está metodología de del tipo cualitativo/subjetivo, y tiene listas de ayuda con el concepto abierto,esto es, que el profesional puede añadir en la herramienta niveles o jerarquías, estándares yobjetivos a cumplir por nivel y ayudas de contramedidas.Las jerarquías se clasifican de la siguiente manera:- Altamente Confidencial.- Confidencial- Restringida
  7. 7. No sensibleMETODOLOGÍALOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES:1. Identificación de la información.2. Inventario de entidades de información residente y operativa (Programas, Ficheros de Datos,Estructuras de Datos, Soportes de Información, etc...3. Identificación de Propietarios (Los que necesitan para su trabajo, usan o custodian lainformación)4. Definición de jerarquías de Información. (Antes mencionadas)5. Definición de la matriz de Clasificación.6. Confección de la matriz de Clasificación.7. Realización del plan de Acciones.8. Implantación y MantenimientoMETODOLOGÍAFase 1.- Definición de Objetivos de Control. (Tres Tareas)Tarea 1. Análisis de la Empresa.- Estudio de los procesos, organigramas y funcionesTarea 2. Recopilación de Estándares.- Todas las fuentes de información necesarias para conseguirdefinir los objetivos de control a cumplir. (ISO, ITSEC, CISA )Tarea 3. Definición de los Objetivos de Control.Fase II.- Definición de los ControlesTarea 1. Definición de los Controles.- Con los Objetivos de Control Definidos, analizamos losprocesos y vamos definiendo los distintos controles que se necesiten.Tarea 2. Definición de Necesidades Tecnológicas (HW y Herramientas de control)
  8. 8. Tarea 3. Definición de los Procedimientos de Control.- Se desarrollan los distintos procedimientosque se generan en las áreas usuarias, informática, control informático y control no informático.Tarea 4.- Definición de las Necesidades de Recursos HumanosFase III.- Implantación de los ControlesYa definidos los controles, las herramientas de control y los recursos humanos necesarios, no restamás que implantarlos en forma de acciones específicas.Una vez terminada la implantación habrá que documentar los procedimientos nuevos y revisar losafectados de cambio. Los procedimientos resultantes serán:- Procedimientos propios de Control de la Actividad Informática- Procedimiento de distintas áreas usuarias de la informática, mejorados.- Procedimientos de áreas informáticas, mejorados.- Procedimientos de control dual entre control interno informático y el área informática, losusuarios informáticos, y el área de control no informático.LAS HERRAMIENTAS DE CONTROLLas herramientas de control son elementos SW que por sus características funcionales permitenvertebrar un control de una manera más actual y más automatizada.Las herramientas de control más comunes son:- Seguridad lógica del sistema.- Seguridad lógica complementaria al sistema (Desarrollado a medida)- Seguridad lógica para entornos distribuidos.- Control de acceso físico. Control de Presencia.- Control de copias- Gestión de soportes magnéticos.- Control de proyectos.- Control de versiones. Control de cambios.
  9. 9. ANÁLISIS DE PLATAFORMASConsiste en inventariar las múltiples plataformas actuales y futuras (Windows, Unix, etc...) Quemás tarde nos servirán para saber que productos del mercado nos pueden ser válidos, tanto losproductos actuales como los futuros planes que tengan los fabricantes.CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIÓN Esta herramienta inventaría las limitaciones, así como lo necesario para la implantación,inventariado como acciones y proyectos, calendarizados, y su duración para seguimiento ydesarrollo.ANÁLISIS DE APLICACIONES Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW deseguridad de las aplicaciones y bases de datos. Estos desarrollos deberían entrar como proyectos adesarrollar en el plan. En este punto conviene ver si el producto / interfaces soporta el tiemporeal, o el proceso batch, o sus posibilidades de registros de actividad.INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOSTratar de definir los controles que se deberían tener, ya sea de usuarios de las aplicaciones comode los usuarios de los sistemas y el uso de las herramientas.Es importante tomar en cuenta el punto de la situación de la administración de la seguridad lógicaen los distintos entornos y las características de las contraseñas, así como la operativa tanto de losusuarios como de los distintos sistemas como de las distintas administraciones de seguridad y elcontrol de entrada y reportes.Todo esto para hacer un análisis de mejoras y pérdidas o limitaciones en los nuevos escenarios conlos SW de control de los entornos distribuidos, según convenga para elegir el mejor encosto/beneficio.SEGURIDADADMINISTRACIÓN DE LA SEGURIDADTenemos que considerar si los sistemas nos permiten realizar todas las actividades normales conlos criterios de seguridad física y lógica requerida por la organización.
  10. 10. Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completocontrol sobre los miembros de la organización.SEGURIDADSEGURIDADES:Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites delongitud para el acceso a dicho producto.ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL.Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo eimplantar su nuevo esquema de seguridad y desarrollar los procesos de control.TIPOS DE CONTROLESTIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIÓN: Antes que nada se debe programar una revisión y estos son los pasos para elaborarla:1) Identificar el área a revisar2) Identificar las informaciones necesarias para la auditoria y para las pruebas3) Obtener información sobre el sistema, aquí se definen los objetivos y el alcance de laauditoria4) Obtener un conocimiento detallado de la aplicación del sistema5) Identificar los puntos de control críticos en el sistema6) Diseño y elaboración de los procedimientos de la auditoria Ejecución de pruebas en los puntos críticos de control.TIPOS DE CONTROLESCONTROLES DE PREPARACION DE DATOS: Aquí se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, así como revisar los documentos fuente.
  11. 11. Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribución de informes. Revisar los procedimientos de corrección de errores. CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha límite. Verificar el uso de métodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema Revisar los procedimientos de corrección de errores.CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:CONTROLES DE SALIDA DE DATOS:v Ver si hay establecidos controles internos automatizados de proceso de validación.v Restriccion de la posibilidad de pasar por encima de procesos de validaciónv Aceptación por los usuarios finales de todas las transacciones y cálculos de la aplicaciónVer los controles sobre la entrada de datos.CONTROLES DE DOCUMENTACION:ü Comprobar que los jefes de área se informen de faltas de documentación adecuada para susempleados.ü Destrucción de toda la documentación de antiguos sistemas.La existencia de documentación de sistemas, programas, de operación y de usuario para cadaaplicación ya implantada.CONTROLES DE BACKUP Y REARRANQUE • Existencia de un plan de contingencia • Identificación de aplicaciones y ficheros de datos críticos para el plan de contingencia • Revisar los contratos del plan de contingencia y backup para determinar su adecuación y actualización. • Existencia de procesos manuales para sistemas críticos en el caso de fallo de contingenciaActualización del plan de contingencia cuando es necesario; pruebas anuales.
  12. 12. CONTROLES SOBRE PROGRAMAS DE AUDITORIA: • Uso de SW de auditoría únicamente por personas autorizadas. • Participación del auditor en la adquisición o modificación de paquetes de SW de auditoría.Revisión de tablas de contraseñas para asegurar que no se guardan identificaciones y contraseñasde personas que han causado baja.CONTROLES DE LA SATISFACCION DE LOS USUARIOS: o Disponibilidad de políticas y procedimientos sobre el acceso y uso de la información. o Resultados fiables, completos, puntuales y exactos de las aplicaciones. o Satisfacción de los usuarios con la información que produce la aplicación.Se elaboran las conclusiones basadas sobre la evidencia; lo que deberá ser suficiente, relevante,fiable, disponible, comprobable y útil.INFORME PREVIO: Para mantener una buena relación con el área auditada se emite un informe de los principalespuntos de la revisión, esto a a los responsables del área revisada la posibilidad de contribuir en laelaboración del informe final.INFORME FINAL DE LA REVISION: Se emite el informe final después de una reunión con los responsables del área implicados enla revisión, y el contenido del informe deberá describir los puntos de control interno de lasiguiente manera:a) Opinión global (conclusiones)b) Problemas específicosc) Explicación de la violación de cuantos controles internos, planes organizacionales, estándaresy normas.Descripción de los riesgos, exposición o pérdidas que resultarían de las violaciones.

×