Академический Документы
Профессиональный Документы
Культура Документы
Sesin 4
CONTROL INTERNO
INFORME COSO
GMITS (ISO/IEC 13335-x), ISO 17799 Common Criteria (ISO 15408) Asociaciones profesionales, usuarios, fabricantes
MODELO DE RIESGO
CONTROL INTERNO
(*)
RIESGOS
VULNERABILIDAD IMPACTO
PROTECCION
(**)
(*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditora de sistemas de informacin
Ing. Martn Blas Rivera, MA
RIESGO
CONTROL INTERNO
La probabilidad de que
fraudes
CONTROL INTERNO
CONTROL INTERNO
el sistema de control interno en TI est constituido por las polticas, procedimientos, prcticas y estructuras organizativas diseadas para proveer una seguridad razonable que los objetivos empresariales o de negocio sern alcanzados o logrados y que los sucesos indeseados sern detectados, prevenidos y corregidos
COBIT (Governance, control and Audit for Information and Related Technology)
Ing. Martn Blas Rivera, MA
CONTROL INTERNO
Riesgos y controles en procesos operativos
MANUALES
AUTOMATIZADOS
CONTROL INTERNO
CONTROLES
CONTROL INTERNO
Revisin peridica de procedimientos de controles establecidos Deteccin de riesgos Seguimiento de errores o irregularidades
Ing. Martn Blas Rivera, MA
CONTROL INTERNO
dificultad para implantar una adecuada segregacin de funciones obtencin de evidencias o pistas de auditora relevantes, fiables y eficientes complejidad tecnolgica
CONTROL INTERNO
SEGREGACIN de FUNCIONES
Establecer una divisin de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA
DEBATE
Cul de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cmputo de procesamiento de informacin bien controlado?
1. Administracin de seguridad y administracin de cambios
DEBATE
DEBATE
Cul de las siguientes funciones es ms probable que sea realizada por el administrador de seguridad?
1. Aprobar la poltica de seguridad
2. Probar el software de aplicacin 3. Asegurar la integridad de los datos 4. Mantener las reglas de acceso
CONTROL INTERNO
VOLATILIDAD Y FACILIDAD de MANIPULACIN de las EVIDENCIAS, los REGISTROS y los PROCESOS
Ing. Martn Blas Rivera, MA
CONTROL INTERNO
Las caractersticas estructurales de los controles estn evolucionando a la misma velocidad y en la misma forma de cambio acelerado, que estn experimentando las tecnologas
POLITICAS
Provienen de la Direccin
Generalmente abarcan objetivos, las metas, filosofas, cdigos ticos, y los esquemas de responsabilidades No admiten desviaciones
Ing. Martn Blas Rivera, MA
PROCEDIMIENTOS
Brindan los pasos especficos necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las polticas Evolucionan con la tecnologa, la estructura organizativa, y se componen de medidas organizativas y tcnicas
Ing. Martn Blas Rivera, MA
EVIDENCIAS
Ing. Martn Blas Rivera, MA
SEGREGACIN de FUNCIONES
IDENTIFICACIN de RESPONSABILIDAD
INDEPENDENCIA de la SUPERVISIN
Ing. Martn Blas Rivera, MA
CONTROL INTERNO
riesgo
y el
costo
Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una
SEGURIDAD RAZONABLE
Todo control y medida preventiva implica un coste monetario para su IMPLANTACIN y MANTENIMIENTO Desembolso que puede evitar prdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIN de la INVERSIN
de los
CONTROLES NECESARIOS
COMPARACION de CONTROL versus COSTE
DEBATE
Un auditor de SI est auditando los controles relativos al despido/retiro de empleados. Cul de los siguientes aspectos es el ms importante que debe ser revisado?
1. El personal relacionado de la compaa es notificado sobre el despido/retiro 2. El usuario y las contraseas del empleado han sido eliminadas 3. Los detalles del empleado han sido eliminados de los archivos activos de la nmina 4. Los bienes de la compaa provistos al empleado han sido devueltos
Ing. Martn Blas Rivera, MA
DEBATE
Cuando se revisa un acuerdo de nivel de servicio para un centro de cmputo contratado con terceros (outsourcing), un auditor de SI debera PRIMERO determinar que
1. El coste propuesto para los servicios es razonable 2. Los mecanismos de seguridad est especificados en el contrato 3. Los servicios contratados estn basados en un anlisis de las necesidades del negocio 4. El acceso de la auditora al centro de cmputo est permitido conforme al contrato
Ing. Martn Blas Rivera, MA
DEBATE
Un auditor de SI que hace una auditora de procedimiento de monitoreo de hardware debe revisar:
1. reportes de disponibilidad del sistema 2. reportes coste-beneficio 3. reportes de tiempo de respuesta 4. reportes de utilizacin de bases de datos
DEBATE
Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinar primero
1. la validez de los casos en que se hayan efectuado cambios de contrasea 2. la arquitectura de la aplicacin cliente/servidor