Академический Документы
Профессиональный Документы
Культура Документы
Auditora de Sistemas
Pgina 1
Visiones ms modernas indican que la presencia y deteccin del riesgo presentan una
oportunidad pues permiten autoanalizar los procesosoperativos de las empresas,
monitorearlos, actualizarlos cuando fuese necesario, evaluar el soporte de TI que reciben,
entre otras actividades.
En consecuencia, el riesgo brinda una posibilidad de introducir en la cultura organizacional
un proceso de calidad permanente.
Identificar riesgos significa analizar sus causas de aparicin, sus consecuencias, su magnitud
e impacto, significa realizar un proceso de cuantificacin y categorizacin as como establecer
criterios de aceptacin del riesgo y la implantacin de los controles respectivos.
As mismo implica modificacin de procesos / funciones ineficientes y definicin de
mecanismos de transferencia de riesgos a terceros (proveedores, aseguradoras) por medios
de plizas de seguros.
2.5.- LOS MARCOS DE CONTROL (FRAMEWORKS)
Muchas veces realizamos esta pregunta QU ES CONTROLAR?, el diccionario lo define como
dirigir o dominar a una persona o una cosa. Examinar con atencin algo para hacer una
determinada comprobacin.
Si llevamos esto al contexto empresarial, el control consistir en la verificacin y anlisis de
procesos o servicios para comprobar su funcionamiento dentro de los parmetros que se le
han impuesto. Se hace necesario conocer lo que la empresa hace, como lo hace y bajo qu
condiciones lo hace.
Los denominados Marcos de Control o Frameworks, son un conjunto de buenas prcticas
internacionalmente reconocidas que permiten organizar estos procedimientos de
verificacin, anlisis e incluso correccin de determinados procesos organizacionales,
dependiendo muchas veces del tipo de empresa que ejecuta dichos procesos.
Los Marcos de Control tiene como finalidad, facilitar la labor de monitoreo, evaluacin e
integracin de los esfuerzos de varias gerencias en reas especficas, en pos de controlar
determinados procesos de negocios, incluyendo a los procesos de TI.
Aqu podemos notar el beneficio de relacionar estos conceptos con los de auditora por se muy
cercanos.
Ing. Jorge Danilo Jara Vela
Pgina 2
2.6.- CONTROLES
Son las polticas, procedimientos, prcticas y estructuras organizacionales para reducir riesgo y
que adems proveen cierto grado de certeza de que se alcanzarn los objetivos de negocio.
Algunas caractersticas generales de los controles (a alto nivel, no tcnicos) son:
-
AMENAZA
Control
Disuasivo
Control
Compensatorio
Crea
Reduce la
probabilidad de
Reduce la
probabilidad de
Control
Detectivo
ATAQUE
Explota
VULNERABILIDAD
Descubre
Control
Preventivo
Reduce
Protege a
Genera
IMPACTO
Reduce
Control
Correctivo
Pgina 3
Contabilidad
Controles administrativos organizacionales y funcionales
Entre otros
De otro lado, un SI debe contar con controles propios para sus funciones crticas incluyendo los
controles tanto para el software mismo como para el hardware utilizado para su operacin
bsica.
Pgina 4
La proteccin de los activos de informacin (relacionado con el Gobierno de las TI) por
medio de:
o Cumplimiento de las polticas y procedimientos para la creacin de usuarios,
responsables, perfiles.
o Establecimiento de normas de seguridad.
o Control de la informacin clasificada.
o Control de activos de informacin, instalaciones, recuperacin de desastres,
etc.
o Licencias y relaciones contractuales con terceros.
o Capacitar sobre temas de riesgo informtico a la organizacin
La conservacin de la integridad de los ambientes de los sistemas operativos, de los
sistemas de aplicacin sensibles y crticos, de las bases de datos.
El proceso de identificacin y autenticacin de usuarios de los recursos de SI.
La verificacin de la calidad y eficiencia en el servicio y las operaciones informticas.
El aseguramiento de la disponibilidad de los recursos de TI mediante los planes de
continuidad de negocio (BCP) y de recuperacin de desastres (DRP).
Pgina 5
Como cualquier control, los controles incluidos aqu pueden categorizarse de acuerdo a la
clasificacin presentada anteriormente.
Su implementacin es posible a varios niveles; la figura a continuacin ilustra el paralelo
seguido por el cambio con la labor de auditora:
Pgina 6
Pgina 7