Академический Документы
Профессиональный Документы
Культура Документы
Semestre 9
Fascculo No. 7
Tabla de contenido
Contenido
Anlisis de riesgos
Matriz de riesgo
Controles en Informtica
Controles primarios de tecnologa informtica
Controles de implementacin
Administracin del desarrollo del sistema
Diseo del sistema y preparacin de programas
Catalogacin
Administracin de los cambios a sistemas
Prueba de programas
Catalogacin
Controles sobre la operacin del computador
Planificacin de la carga
Preparacin y ejecucin de trabajos
Uso correcto de los archivos de datos
Monitoreo de actividades
Procedimientos de respaldo y recuperacin
Controles sobre la seguridad de los programas
Controles sobre el acceso fsico
Segregacin de funciones
Controles sobre la seguridad de archivos de datos
Software de controles de acceso
Evaluacin de controles
Resumen
Bibliografa recomendada
Prrafo nexo
Autoevaluacin formativa
Anlisis de riesgos
Indicadores de logro
Determina los controles que deben existir y aplicar en cada caso, para reducir,
minimizar o eliminar los riesgos.
Matriz de riesgo
Para facilitar esta comprensin vamos a trabajar con la matriz que se compone de
las reas auditadas, los aspectos por evaluar, los riesgos y la probabilidad de
ocurrencia de estos riesgos y las debilidades encontradas, as:
Planeacin de informtica
Administracin de la red
Sistemas en desarrollo
Soporte a usuarios
reas
susceptibles de
auditar
cacin
del
riesgo
Alto,
medio
o bajo
4. Parmetros de medicin
Direccin y
niveles
ejecutivos
1.Seguimiento a la funcin
Alto,
de informacin por la
medio
direccin
o bajo
2. Comunicacin e
integracin
3. Apoyo a toma de
decisiones
Usuarios de
1. Comunicacin e
informtica
integracin
medio
2. Proyectos conjuntos
o bajo
Alto,
3. Admn. de recursos
4. Grado de satisfaccin
Control interno 1. Polticas y procedimientos
Alto,
medio
o bajo
Ciclo de
desarrollo e
1. Metodologa
2. Tcnicas
implantacin de 3. Herramientas
sistemas
4. Capacitacin/
actualizacin
Alto,
medio
o bajo
Debilidad
Los parmetros para medir el nivel de riesgos pueden variar de acuerdo con
factores como la experiencia y conocimiento en la auditora, as como en las
reas de informtica.
Actividad 7.1
Controles en informtica
Los controles de Tecnologa Informtica (TI) son los procedimientos dentro del
departamento de Sistemas, que aseguran que los programas y recursos operan
apropiadamente y que se impidan cambios no autorizados. Incluyen controles
sobre el diseo, implementacin, seguridad, y uso de programas y archivos del
computador. Estos controles consisten en una combinacin de procedimientos
manuales y programados.
Ladillo
Siete reas: siete controles primarios de tecnologa informtica.
Controles de implementacin,
no
autorizados
no
pueden
ser
hechos
procedimientos
programados.
Controles de implementacin
Incluyen
controles
sobre
el
diseo
de
nuevas
aplicaciones
Catalogacin.
La documentacin del plan incluye la descripcin de las pruebas, los datos que
van a ser utilizados o la metodologa para generar estos datos, y los resultados
esperados de las pruebas. Generalmente, el plan de pruebas es un esfuerzo
conjunto entre los usuarios y la administracin de PD.
1.
Se deben establecer
2.
3.
En
Catalogacin
Cuando estos
Los controles sobre el mantenimiento, estn diseados para asegurar que las
modificaciones
los
procedimientos
programados
estn
diseadas
implementadas en forma efectiva. Cubren las mismas reas que los controles de
implementacin, pero se relacionan con los cambios de programas ms que con
nuevas aplicaciones.
Los
Prueba de programas
Catalogacin.
automatizado, asegura que todos los requerimientos son atendidos y que se lleva
un registro del estado de avance de ellos.
Para
asegurar
que
la
documentacin
ha
sido
actualizada
Prueba de programas
Observacin
La mayora de los cambios requieren de la prueba de programas y la prueba de
sistemas. Generalmente, la transferencia de programas probados es la misma
para la implementacin de sistemas nuevos como para las subsecuentes
mantenciones.
Los controles sobre la operacin del computador estn diseados para asegurar
que los sistemas continen funcionando consistentemente, de acuerdo con lo
planeado. Incluyen controles sobre el uso de los datos apropiados, programas y
otros recursos, y la ejecucin apropiada de esta funcin por parte de los
operadores, particularmente cuando ocurre un problema.
del
hardware
software
en
el
da-a-da.
En
muchas
Planificacin
La planificacin vincula los trabajos a ser ejecutados con los archivos de datos a
ser utilizados. En muchas instalaciones, se utiliza software de planificacin para
implementar los procesos sobre una base predeterminada (por ejemplo: todos los
das a las tres de la tarde, o los das 15 y ltimo de cada mes).
Otras
Preparacin de trabajos
Observacin
La preparacin de trabajos es importante para los controles sobre operacin del
computador, debido a que ayuda a asegurar que el lenguaje de control de trabajos
y sus parmetros estn apropiadamente preparados y que los archivos correctos
sean utilizados.
Puede haber controles manuales sobre los archivos de datos, desde el momento
en que son retirados de la biblioteca fsica hasta la preparacin del trabajo. El
sistema operativo puede tambin asegurar que los archivos correctos estn siendo
utilizados.
Tpicamente, los controles sobre los archivos de datos requieren que stos tengan
un rtulo (label) interno nico, que es ledo por el software de sistemas y
chequeado por el computador contra la informacin contenida en un sistema de
control de cintas.
Monitoreo de actividades
Los controles sobre seguridad de programas estn diseados para asegurar que
cambios no autorizados no pueden ser hechos a programas de produccin. Dichos
controles aseguran que los nicos cambios son aquellos hechos a travs de los
procedimientos normales de cambios de programas. La seguridad de programas
es preocupacin especial para el auditor cuando un cambio no autorizado en un
programa particular podra beneficiar a la persona que realiza el cambio (por
ejemplo, un cambio hecho en un sistema que procesa salarios y pagos en efectivo
podra resultar en que se realicen pagos no autorizados).
A continuacin se
Una organizacin puede usar software de sistemas (por ejemplo: opciones del
sistema operativo, paquetes de seguridad, paquetes de administracin de
bibliotecas de programas, software de comunicaciones) para restringir el acceso a
La mayora de las
El acceso no slo es
Bibliotecas de procedimientos.
Archivos de bitcoras.
Una seguridad de acceso completa, requiere que todos los usuarios estn
registrados por el sistema y que sean monitoreados por la funcin de
administracin de la seguridad, de modo independiente.
Revocar inmediatamente las user ID's y passwords de los usuarios que dejan
de pertenecer a la organizacin o que han sido trasladados.
Todos los controles de acceso necesitan usuarios con privilegios especiales para
la administracin y otras tareas importantes, tales como:
Segregacin de funciones
Los controles sobre archivos de datos son tambin importantes desde un punto de
vista operativo. Consideraciones operativas incluyen proteger los datos de ser
borrados o destruidos, ya sea accidental o intencionalmente, y contra robos y uso
no autorizado.
Una amenaza particular para los datos es el acceso irrestricto, que permite que los
datos sean cambiados sin autorizacin previa. En sistemas en lote, donde los
archivos de datos han sido cargados para la ejecucin de un programa especfico,
el problema est limitado a controlar la accin de los operadores durante esa
ejecucin en particular.
Los
Cuando los archivos de datos estn en lnea, debera haber una combinacin
apropiada de opciones del sistema operativo, que permita restringir terminales a
ciertos programas, transacciones, o archivos.
Los archivos residentes fuera de lnea estn protegidos contra cambios mientras
no estn cargados en el computador, pero pueden ser removidos, posiblemente
con propsitos no autorizados. Esto puede ocurrir cuando los archivos no estn
fsicamente protegidos y/o su manejo no est apropiadamente controlado. Las
caractersticas de control deberan proteger contra el traslado no autorizado o
destruccin de archivos, incluyendo aquellos almacenados en sitios remotos para
utilizacin en caso de desastre.
Seguridad fsica
Los
Es necesario que existan procedimientos para asegurar que los archivos sean
utilizados solamente para procesos autorizados. Esto significa que se deberan
preparar calendarios de proceso que especifiquen en detalle los archivos que son
requeridos para el proceso. Dichos calendarios deberan prepararse para todas
las aplicaciones y ser aprobados por personal responsable. Debera requerirse
autorizacin especfica para remover archivos a sitios remotos o a otro
computador.
El software de sistemas que puede ser relevante para controlar incluye programas
relacionados con:
Catalogacin
Informe de trabajos procesados
Manejo de archivos
Comunicaciones de datos
Informe de operaciones
Preparacin de archivos
Seguridad de acceso
Registro de bibliotecas
Base de datos
A continuacin se detallan los controles sobre el software de sistemas.
Implementacin
Cuando el nuevo software de sistemas tiene una interfase directa con programas
de aplicacin es imperativo que los nuevos programas sean probados con
programas de aplicacin ya estables. As, si ocurren anomalas, ellas pueden ser
identificadas como resultantes del nuevo software de sistemas.
personal
apropiadamente
debera
los
asegurarse
procedimientos
que
la
necesarios
documentacin
para
utilizar
describe
y
operar
Mantenimiento
Normalmente, las
Instrumentos de control
La
sistema
La primera informacin que debe servir de base para efectuar un anlisis sobre el
control del sistema lo constituye la documentacin generada en las diferentes
fases de desarrollo e implantacin del sistema.
Observacin
El tcnico que efecte el control del sistema debe tomar conocimiento completo de
la documentacin escrita existente, de tal forma que se reduzca el tiempo del
proceso de Auditora del sistema y se brinden resultados en corto plazo.
Un aspecto fundamental para efectuar un buen control del sistema son las
Entrevistas de Revisin Tcnica, ya que la documentacin, en la mayora de los
casos, es muy escasa y deficiente y, generalmente, cubre slo una parte de la
informacin y las entrevistas permiten complementar la informacin tcnica y
recabar opiniones sobre deficiencias del sistema.
de
Ladillo
En las entrevistas de revisin tcnica deben consultarse los factores que
limitaron el desarrollo, implantacin, operacin y uso del sistema, as
como las deficiencias, aspectos de confiabilidad y seguridad, en funcin de
cada persona.
Es por eso que se debe realizar Benchmark o procesos de prueba especiales tales
como: prueba de carga mxima, prueba de almacenamiento, prueba de tiempo de
ejecucin, prueba de recuperacin.
Formularios de control
herramientas
computarizadas
Se
de formulacin
recomienda
y
que
se
utilicen
- Entrevistas.
- Diagrama de Flujo de Datos (D.F.D).
- Modelacin de Datos.
caso
de
verificarse
la falta de
- Diseo Estructurado.
- Diagrama de Estructura de Cuadros.
- Optimizacin del Diseo Fsico.
- Diseo de Pruebas.
- Prototipeo.
Actividad 7.2
Evaluacin de controles
Ladillo
CRMR: sigla de computer resource management review.
Supuestos de aplicacin
reas de aplicacin
Las reas en las cuales puede ser aplicado el mtodo CRMR se corresponden con
las sujetas a las condiciones de aplicacin sealadas en punto anterior:
Gestin de datos.
Control de operaciones.
Planificacin.
Organizacin y administracin.
Objetivos
Aumentar la productividad.
Disminuir costos.
Alcance
Se determinan, en este punto, los requisitos necesarios para que esta simbiosis de
Auditora y consultora pueda llevarse a cabo con xito.
Identificacin de la tarea.
Descripcin de la tarea.
Procedimientos de emergencia.
Observacin
Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el
seguimiento de las recomendaciones realizadas.
Actividad 7.3
Elabore una gua de trabajo para evaluar los controles aplicando la metodologa
CRMR en el rea de informtica de una empresa.
Resumen
Bibliografa recomendada
CECSA, 2000.
Piettini, G., Emilio del Peso. Auditora Informtica, un enfoque prctico. Mxico:
Editorial Alfaomega, segunda edicin, 2001.
Nexo
Autoevaluacin formativa
1.
2.
3.
4.
5.
6.
7.