Controles de La Auditoria Informatica
Controles de La Auditoria Informatica
Controles de La Auditoria Informatica
INSTITUTO UNIVERSITARIO
DE TECNOLOGIA DE
ADMINISTRACION INDUSTRIAL
EXTENSION BARCELONA
CONTROLES DE LA
AUDITORIA
INFORMÁTICA
PROFESOR: INTEGRANTES:
MELANIA CHAFARLET
LUIS QUIJADA 26237154
La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.
Control Interno Informático suele ser un órgano staff de la Dirección del Departamento de
Informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijadas, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías externas
al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático, lo cual no debe considerarse como que la
implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles
se ubique exclusivamente en la función de Control Interno, sino que cada responsable de
objetivos y recursos es responsable de esos niveles, así como de la implantación de los
medios de medida adecuados.
El cumplimiento de procedimientos, normas y controles dictados. Merece resaltarse la
vigilancia sobre el control de cambios y versiones del software.
Controles sobre la producción diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del
servicio informático.
Controles en las redes de comunicaciones.
Controles en los sistemas microinformáticos.
Controles sobre el software de base.
La seguridad informática (su responsabilidad puede estar asignada a control interno o bien
puede asignársele la responsabilidad de control dual de la misma cuando está encargada a
otro órgano):
Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes
categorías:
Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles defectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.
La relación que existe entre los métodos de control y los objetivos de control puede demostrarse
mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se utiliza para
satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la
red, así como los distintos niveles de control y elementos relacionados:
Plan de seguridad
Normas y Procedimientos
FORMACIÓN Y MENTALIZACIÓN
La implantación de una política y cultura sobre la seguridad requiere que sea realizada por fases y
está respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas:
Políticas: deberán servir de base para la planificación, control y evaluación por la Dirección
de las actividades del Departamento de Informática.
Planificación:
o Plan Estratégico de Información, realizado por los órganos de la Alta Dirección de
la Empresa donde se definen los procesos corporativos y se considera el uso de las
diversas tecnologías de información, así como las amenazas y oportunidades de su
uso o de su ausencia.
o Plan informático, realizado por el Departamento de Informática, determina los
caminos precisos para cubrir las necesidades de la Empresa plasmándolas en
proyectos informáticos.
o Plan General de Seguridad (Física y lógica), que garantice la confidencialidad,
integridad y disponibilidad de la información.
o Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas
ante eventos.
Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los
datos, protección de los recursos y cumplimiento con las leyes y regulaciones.
Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá garantizar a la
alta Dirección, que se alcanzaran los objetivos definidos para el sistema. Estos son algunos
controles que deben existir en la metodología:
o La alta Dirección debe publicar una normativa sobre el uso de metodología de
ciclo de vida del desarrollo de sistemas y revisar esta periódicamente.
o La metodología debe establecer los papeles y responsabilidades de las distintas
áreas del Departamento de Informática y de los usuarios, así como la composición
y responsabilidades del equipo del proyecto.
o Las especificaciones del nuevo sistema deben ser definidas por los usuarios y
quedar escritas y aprobadas antes de que comience el proceso de desarrollo.
o Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen
formas alternativas de alcanzar los objetivos del proyecto acompañadas de un
análisis costo – beneficio —-de cada alternativa—–.
o Cuando se seleccione una alternativa debe realizarse el plan director del proyecto.
En dicho plan deberá existir una metodología de control de costos.
o Procedimientos para la definición y documentación de especificaciones de: diseño,
de entrada, de salida, de ficheros, de procesos, de programas de controles de
seguridad, de pistas de auditoria, etc.
o Plan de validación, verificación y pruebas.
o Estándares de prueba de programas, de prueba de sistemas.
o Plan de conversión: prueba de aceptación final.
o Los procedimientos de adquisición de software deberán seguir las políticas de
adquisición de la Organización y dichos productos deberían ser probados y
revisados antes de pagar por ellos y ponerlos en uso.
o La contratación de programas de servicios de programación a medida ha de estar
justificada mediante una petición escrita de un director de proyecto.
o Deberán prepararse manuales de operación y mantenimiento como parte de todo
proyecto de desarrollo o modificación de sistemas de información, así como
manuales de usuario.
Explotación y mantenimiento: el establecimiento de controles asegura que los datos se
tratan de forma congruente y exacta y que el contenido de sistemas solo será modificado
mediante autorización adecuada. Estos son algunos de los controles que se deben
implantar:
o Procedimientos de control de explotación.
o Sistema de contabilidad para asignar a usuarios los costos asociados con la
explotación de un sistema de información.
o Procedimientos para realizar un seguimiento y control de los cambios de un
sistema de información.
4. Controles en aplicaciones.
Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
validez y mantenimiento completos y exactos de los datos.
Las cuestiones más importantes en el control de los datos son:
3. Que existen procedimientos para la descripción y los cambios de datos así como para
el mantenimiento del diccionario de datos.
5. Controles para minimizar fallos, recuperar el entorno de las bases de datos hasta el
punto de la caída y minimizar el tiempo necesario para la recuperación.
6. Controles para asegurar la integridad de los datos: programas de utilidad para
comprobar los enlaces físicos – punteros – asociados a los datos, registros de control
para mantener los balances transitorios de transacciones para su posterior cuadre con
totales generados por el usuario o por otros sistemas.