Professional Documents
Culture Documents
Lluvia de ideas
Control
Proteccin Confiabilidad Eficacia Eficiencia Normas Politicas
Procedimiento
Mtodos Tcnicas
Introduccin
Nace de la necesidad de evaluar y satisfacer la
eficiencia, eficacia, razonabilidad, oportunidad y confiabilidad en laproteccin, salvarguarda y seguridad de los bienes de una empresa, as como para ayudar a controlar el desarrollo de las actividades.
Definicin
El control es una de las fases del proceso
administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas, todo ello para incrementar la eficiencia y eficacia de una institucin.
Se adopta para para poder establecer estndares, medir su cumplimien to y evaluar el alcance real.
OBJETIVOS DE CONTROL
Caractersticas de control
Oportuno
Cuantificable
Calificable
Confiable
Desempe a el trabajo
LA NORMATIVA
Debe definir de forma clara y precisa todo
lo que debe existir y ser cumplido , tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse en : Polticas Marco jurdico Politicas y normas de la empresa Experiencia Prcticas profesionales
LA ORGANIZACION
La integran las personas con funciones
especificas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccion de la empresa. Sin el nada es posible. Funciones Procedimientos Planes (seguridad, contingencia, auditoras, etc.)
LAS METODOLOGIAS
Son
necesarias para desarrollar cualquier proyeto que nos propongamos de manera ordenada y eficaz.
de procesos y solamente de un planteamiento correcto de los mismos saldrn unos procedimientos eficaces y realistas.
las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, y por lo tanto deden estar documentados y aprobados por la Direccin.
TECNOLOGIA DE SEGURIDAD
Dentro de la tecnologa de seguridad estn
los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informtico. (cifradores, autentificadores, equipos tolerantes al fallo etc.)
Auditora Informtica solo indentifica el nivel de exposicin por falta de controles. Analisis de Riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costobeneficio de las mismas.
Amenaza una persona o cosa vista como posible fuente de peligro o catstrofe (inundacin, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad la situacin creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y as afectar al entorno informtico (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magntico, etc.).
TIPOS DE METODOLOGIAS
Cuantitativas
basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo. Cualitativas basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada.
Las
metodologas ms comunes de evaluacin de sistemas que podemos encontrar son de anlisis de riesgos y de diagnsticos de seguridad, las de plan de contingencias, y las de auditora de controles generales.
PLAN DE CONTINGENCIAS
Una estrategia planificada constituida por:
Recursos de respaldo Organizacin de emergencia Procedimientos de actuacin restauracin progresiva y gil de los servicios de negocio por una paralizacin total o parcial de la capacidad operativa de la empresa.
FASES DE UN PLAN
La Funcin de Control
La tendencia generalizada es contemplar al lado de la figura del auditor informtico, la de control interno informtico.
La funcin de Control Informtico Independiente debera ser en primer lugar independiente del , la seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lgica, podramos decir que: El rea Informtica monta los procesos informticos seguros. El Control Interno monta los controles. La Auditoria Informtica evala el grado de control.
Existen claras diferencias entre las funciones de control informtico y las de auditora informtica.
LA AUDITORA INFORMTICA
* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van encaminadas a esta funcin. - * Tiene sus propios objetivos distintos a los auditores de cuentas. - * Los auditores de cuentas la necesitan para utilizar la informacin de sus sistemas para evaluaciones financieras y operativas. * Evalan eficiencia, costo y seguridad en su ms amplia visin. * Operan segn el plan auditor.
- * Establecen planes con tiempos definidos y ciclos completos. - * Sistemas de evaluacin de repeticin de auditora por nivel de exposicin del rea auditada y el resultado de la ltima auditoria de esta rea.
* Responsable del desarrollo y actualizacin del plan de contingencias, manuales de procedimientos y plan de seguridad. * Dictar normas de seguridad informtica. * Definir los procedimientos de control. * Control de soportes fsicos. * Control de informacin sensible o comprometida. * Control de calidad del servicio informtico.
Control de cambios y versiones. El control informtico es el componente de la actuacin segura entre los usuarios, la informtica y control interno , todos ellos auditados por auditora informtica.
CLASIFICACIN DE LA INFORMACION
ENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y que la clasificacin de la informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o importancia que tengan.
Est metodologa de del tipo cualitativo/subjetivo , y tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede aadir en la herramienta niveles o jerarquas, estndares y objetivos a cumplir por nivel y ayudas de contramedidas.
METODOLOGA
1.
Identificacin de la informacin.
2. Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de Datos, Estructuras de Datos, Soportes de Informacin, etc... 3. 4. Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la informacin ) Definicin de jerarquas de Informacin. ( Antes mencionadas )
5.
6. 7. 8.
METODOLOGA
METODOLOGA
Tarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias para conseguir definir los objetivos de control a cumplir. ( ISO, ITSEC, CISA )
METODOLOGA
Tarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten.
Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se generan en las reas usuarias, informtica, control informtico y control no informtico.
METODOLOGA
Fase III.- Implantacin de los Controles Ya definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta mas que implantarlos en forma de acciones especficas.
Una vez terminada la implantacin habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern:
Procedimientos propios de Control de la Actividad Informtica Procedimiento de distintas reas usuarias de la informtica, mejorados. Procedimientos de reas informticas, mejorados. Procedimientos de control dual entre control interno informtico y el rea informtica ,los usuarios informticos, y el rea de control no informtico.
Seguridad lgica del sistema. Seguridad lgica complementaria al sistema ( Desarrollado a medida ) Seguridad lgica para entornos distribuidos. Control de acceso fsico. Control de Presencia. Control de copias Gestin de soportes magnticos. Control de proyectos. Control de versiones.
Control de cambios.
ANLISIS DE PLATAFORMAS Consiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix, etc...) que mas tarde nos servirn para saber que productos del mercado nos pueden ser vlidos, tanto los productos actuales como los futuros planes que tengan los fabricantes.
CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIN Esta herramienta inventara las limitaciones, as como lo necesario para la implantacin, inventariado como acciones y proyectos, calendarizados, y su duracin para seguimiento y desarrollo.
ANLISIS DE APLICACIONES Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberan entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto / interfases soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de actividad.
Tratar de definir los controles que se deberan tener, ya sea de usuarios de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas.
Es importante tomar en cuenta el punto de la situacin de la administracin de la seguridad lgica en los distintos entornos y las caractersticas de las contraseas, as como la operativa tanto de los usuarios como de los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes.
Todo esto para hacer un anlisis de mejoras y prdidas o limitaciones en los nuevos escenarios con los SW de control de los entornos distribuidos, segn convenga para elegir el mejor en costo/beneficio.
SEGURIDAD
ADMINISTRACIN DE LA SEGURIDAD
Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad fsica y lgica requerida por la organizacin. Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un completo control sobre los miembros de la organizacin.
SEGURIDAD
SEGURIDADES: Aqu se usa lo clsico en cada producto, que cada persona tenga su password con lmites de longitud para el acceso a dicho producto.
ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL. Con todos los pasos anteriores, lo nico que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control.
TIPOS DE CONTROLES
Antes que nada se debe programar una revisin y estos son los pasos para elaborarla: 1) Identificar el rea a revisar
2)
3) 4) 5) 6)
TIPOS DE CONTROLES
CONTROLES DE PREPARACION DE DATOS: Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, as como revisar los documentos fuente. Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribucin de informes. Revisar los procedimientos de correccin de errores.
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema
TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema
CONTROLES DE SALIDA DE DATOS: v v v Ver si hay establecidos controles internos automatizados de proceso de validacin. Restriccion de la posibilidad de pasar por encima de procesos de validacin Aceptacin por los usuarios finales de todas las transacciones y clculos de la aplicacin
CONTROLES DE DOCUMENTACION: Comprobar que los jefes de rea se informen de faltas de documentacin adecuada para sus empleados. Destruccin de toda la documentacin de antiguos sistemas.
La existencia de documentacin de sistemas, programas, de operacin y de usuario para cada aplicacin ya implantada.
CONTROLES DE BACKUP Y REARRANQUE Existencia de un plan de contingencia Identificacin de aplicaciones y ficheros de datos crticos para el plan de contingencia Revisar los contratos del plan de contingencia y backup para determinar su adecuacin y actualizacin.
CONTROLES SOBRE PROGRAMAS DE AUDITORIA: Uso de SW de auditoria nicamente por personas autorizadas. Participacin del auditor en la adquisicin o modificacin de paquetes de SW de auditora. Revisin de tablas de contraseas para asegurar que no se guardan identificaciones y contraseas de personas que han causado baja.
CONTROLES DE LA SATISFACCION DE LOS USUARIOS: oDisponibilidad de polticas y procedimientos sobre el acceso y uso de la informacin. oResultados fiables, completos, puntuales y exactos de las aplicaciones. oSatisfaccin de los usuarios con la informacin que produce la aplicacin.
Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser suficiente, relevante, fiable, disponible, comprobable y til.
INFORME PREVIO: Para mantener una buena relacin con el rea auditada se emite un informe de los principales puntos de la revisin, esto a a los responsables del rea revisada la posibilidad de contribuir en la elaboracin del informe final. INFORME FINAL DE LA REVISION: Se emite el informe final despus de una reunin con los responsables del rea implicados en la revisin, y el contenido del informe deber describir los puntos de control interno de la siguiente manera: a) b) Opinin global (conclusiones) Problemas especficos