CONCEPTOS, CARACTERSTICAS Y OBJETIVOS DE CONTROL

Lluvia de ideas

Control
Proteccin Confiabilidad Eficacia Eficiencia Normas Politicas

Procedimiento
Mtodos Tcnicas

Introduccin
Nace de la necesidad de evaluar y satisfacer la

eficiencia, eficacia, razonabilidad, oportunidad y confiabilidad en laproteccin, salvarguarda y seguridad de los bienes de una empresa, as como para ayudar a controlar el desarrollo de las actividades.

Definicin
El control es una de las fases del proceso

administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas, todo ello para incrementar la eficiencia y eficacia de una institucin.

Se adopta para para poder establecer estndares, medir su cumplimien to y evaluar el alcance real.

Ayuda en la proteccin y salvarguard a de los bienes.

Contribuye a la planeacin y evaluacin correcta del cumplimien to de funciones y actividades.

Ayuda permanente mente a la marcha de la empresa.

Indispensab les en las actividades de direccin de cualquier empresa.

OBJETIVOS DE CONTROL

Utilidad del control.

Permite disear y establecer las normas, estndares y criterios de medicin.
Ayuda a evaluar el cumplimiento y desempeo de las funciones, actividades y tareas de los integrantes de una empresa.

Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de una empresa

Contribuye a la deteccin de fallas y desviaciones, as como la correccin de los errores en el desempeo de las actividades.

Ayuda a modificar los planes y programas como consecuencia de la valoracin de resultados.

Retroalimenta la planeacin y programacin de las empresas.

Caractersticas de control

Oportuno

Cuantificable

Calificable

Confiable

Estndares y normas de evaluacin.

Ciclo de aplicacin de control

Compara el programa alcanzado con el programa planeado Compara el desempe o con el plan Determina objetivos y estrategias Planea programas

Determina cargas de trabajo

Desempe a el trabajo

Adquiere y delega autoridad para utilizar recursos

Asigna los recursos requeridos a las cargas de trabajo

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA

TODOS LOS FACTORES DE LA PIRAMIDE INTERVIENEN EN LA COMPOSICION DE UNA CONTRAMEDIDA

LA NORMATIVA
Debe definir de forma clara y precisa todo

lo que debe existir y ser cumplido , tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse en : Polticas Marco jurdico Politicas y normas de la empresa Experiencia Prcticas profesionales

LA ORGANIZACION
La integran las personas con funciones

especificas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccion de la empresa. Sin el nada es posible. Funciones Procedimientos Planes (seguridad, contingencia, auditoras, etc.)

LAS METODOLOGIAS
Son

necesarias para desarrollar cualquier proyeto que nos propongamos de manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROL

Son los objetivos a cumplir en el control

de procesos y solamente de un planteamiento correcto de los mismos saldrn unos procedimientos eficaces y realistas.

LOS PROCEDIMIENTOS DE CONTROL

Son los procedimientos operativos de

las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, y por lo tanto deden estar documentados y aprobados por la Direccin.

TECNOLOGIA DE SEGURIDAD
Dentro de la tecnologa de seguridad estn

los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informtico. (cifradores, autentificadores, equipos tolerantes al fallo etc.)

 Son elementos software que permiten definir uno o

LAS HERRAMIENTAS DE CONTROL

varios procedimientos de control para cumplir una normativa y un objeto de control.

Organizacin interna de la Seguridad Informtica

Comit de Seguridad de la Informacin Seguridad corporativa. Control Interno. Dpto. de Informtica. Dpto. de Usuarios. Direccin del Plan de Seguridad
Control Informtico Responsable de Ficheros Controles generales Informticos

Auditora Informtica Plan Auditor Dictamenes de Auditoria

METODOLOGIAS DE EVALUACION DE SISTEMAS

DOS METODOLOGIAS A EVALUAR:

Auditora Informtica solo indentifica el nivel de exposicin por falta de controles. Analisis de Riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costobeneficio de las mismas.

Amenaza una persona o cosa vista como posible fuente de peligro o catstrofe (inundacin, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad la situacin creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y as afectar al entorno informtico (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magntico, etc.).

Definiciones para profundizar en estas metodologas

Definiciones para profundizar en estas metodologas

Riesgo la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadsticos de cada evento de una base de datos de incidentes). Exposicin o Impacto la evaluacin del efecto del riesgo. (es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas humanas, imgenes de la empresa, honor, etc.).

TIPOS DE METODOLOGIAS
Cuantitativas

basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo. Cualitativas basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada.

METODOLOGIAS MAS COMUNES

Las

metodologas ms comunes de evaluacin de sistemas que podemos encontrar son de anlisis de riesgos y de diagnsticos de seguridad, las de plan de contingencias, y las de auditora de controles generales.

PLAN DE CONTINGENCIAS
Una estrategia planificada constituida por:
Recursos de respaldo Organizacin de emergencia Procedimientos de actuacin restauracin progresiva y gil de los servicios de negocio por una paralizacin total o parcial de la capacidad operativa de la empresa.

FASES DE UN PLAN

Fase 1: Anlisis y diseo

Fase 2: Desarrollo del plan Fase 3: Pruebas y mantenimiento

CONTROL INTERNO INFORMATICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL.

La Funcin de Control

La tendencia generalizada es contemplar al lado de la figura del auditor informtico, la de control interno informtico.

I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION )

La funcin de Control Informtico Independiente debera ser en primer lugar independiente del , la seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lgica, podramos decir que: El rea Informtica monta los procesos informticos seguros. El Control Interno monta los controles. La Auditoria Informtica evala el grado de control.

Existen claras diferencias entre las funciones de control informtico y las de auditora informtica.

DIFERENCIAS ENTRE AUDITORIA Y CONTROL INTERNO INFORMTICO

LA AUDITORA INFORMTICA

* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van encaminadas a esta funcin. - * Tiene sus propios objetivos distintos a los auditores de cuentas. - * Los auditores de cuentas la necesitan para utilizar la informacin de sus sistemas para evaluaciones financieras y operativas. * Evalan eficiencia, costo y seguridad en su ms amplia visin. * Operan segn el plan auditor.

- * Establecen planes con tiempos definidos y ciclos completos. - * Sistemas de evaluacin de repeticin de auditora por nivel de exposicin del rea auditada y el resultado de la ltima auditoria de esta rea.

* Funcin de soporte informtico de todos los auditores.

CONTROL INTERNO INFORMTICO

CONTROL INTERNO INFORMTICO

* Funciones de control dual con otros departamentos. * Funcin normativa y del cumplimiento del marco jurdico. * Tiene funciones propias ( Administracin de la Seguridad lgica , etc ...)

* Responsable del desarrollo y actualizacin del plan de contingencias, manuales de procedimientos y plan de seguridad. * Dictar normas de seguridad informtica. * Definir los procedimientos de control. * Control de soportes fsicos. * Control de informacin sensible o comprometida. * Control de calidad del servicio informtico.

* Definicin de requerimientos de seguridad en proyectos nuevos.

Control de cambios y versiones. El control informtico es el componente de la actuacin segura entre los usuarios, la informtica y control interno , todos ellos auditados por auditora informtica.

CLASIFICACIN DE LA INFORMACION

ENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y que la clasificacin de la informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o importancia que tengan.

Est metodologa de del tipo cualitativo/subjetivo , y tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede aadir en la herramienta niveles o jerarquas, estndares y objetivos a cumplir por nivel y ayudas de contramedidas.

Las jerarquas se clasifican de la siguiente manera:

Altamente Confidencial. Confidencial Restringida No sensible

METODOLOGA

LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:

1.

Identificacin de la informacin.

2. Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de Datos, Estructuras de Datos, Soportes de Informacin, etc... 3. 4. Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la informacin ) Definicin de jerarquas de Informacin. ( Antes mencionadas )

5.
6. 7. 8.

Definicin de la matriz de Clasificacin.

Confeccin de la matriz de Clasificacin. Realizacin del plan de Acciones. Implantacin y Mantenimiento.

METODOLOGA
METODOLOGA

Fase 1.- Definicin de Objetivos de Control. ( Tres Tareas )

Tarea 1. Anlisis de la Empresa.- Estudio de los procesos, organigramas y funciones

Tarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias para conseguir definir los objetivos de control a cumplir. ( ISO, ITSEC, CISA )

Tarea 3. Definicin de los Objetivos de Control.

METODOLOGA

Fase II.- Definicin de los Controles

Tarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten.

Tarea 2. Definicin de Necesidades Tecnolgicas ( HW y Herramientas de control )

Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se generan en las reas usuarias, informtica, control informtico y control no informtico.

Tarea 4.- Definicin de las Necesidades de Recursos Humanos

METODOLOGA

Fase III.- Implantacin de los Controles Ya definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta mas que implantarlos en forma de acciones especficas.

Una vez terminada la implantacin habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern:

Procedimientos propios de Control de la Actividad Informtica Procedimiento de distintas reas usuarias de la informtica, mejorados. Procedimientos de reas informticas, mejorados. Procedimientos de control dual entre control interno informtico y el rea informtica ,los usuarios informticos, y el rea de control no informtico.

LAS HERRAMIENTAS DE CONTROL

Las herramientas de control son elementos SW que por sus caractersticas funcionales permiten vertebrar un control de una manera ms actual y ms automatizada.

Las herramientas de control mas comunes son :

Seguridad lgica del sistema. Seguridad lgica complementaria al sistema ( Desarrollado a medida ) Seguridad lgica para entornos distribuidos. Control de acceso fsico. Control de Presencia. Control de copias Gestin de soportes magnticos. Control de proyectos. Control de versiones.

Control de cambios.

ANLISIS DE PLATAFORMAS Consiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix, etc...) que mas tarde nos servirn para saber que productos del mercado nos pueden ser vlidos, tanto los productos actuales como los futuros planes que tengan los fabricantes.

CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIN Esta herramienta inventara las limitaciones, as como lo necesario para la implantacin, inventariado como acciones y proyectos, calendarizados, y su duracin para seguimiento y desarrollo.

ANLISIS DE APLICACIONES Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberan entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto / interfases soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de actividad.

INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS

Tratar de definir los controles que se deberan tener, ya sea de usuarios de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas.

Es importante tomar en cuenta el punto de la situacin de la administracin de la seguridad lgica en los distintos entornos y las caractersticas de las contraseas, as como la operativa tanto de los usuarios como de los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes.

Todo esto para hacer un anlisis de mejoras y prdidas o limitaciones en los nuevos escenarios con los SW de control de los entornos distribuidos, segn convenga para elegir el mejor en costo/beneficio.

SEGURIDAD

ADMINISTRACIN DE LA SEGURIDAD

Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad fsica y lgica requerida por la organizacin. Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un completo control sobre los miembros de la organizacin.

SEGURIDAD

SEGURIDADES: Aqu se usa lo clsico en cada producto, que cada persona tenga su password con lmites de longitud para el acceso a dicho producto.

ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL. Con todos los pasos anteriores, lo nico que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control.

TIPOS DE CONTROLES

TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIN:

Antes que nada se debe programar una revisin y estos son los pasos para elaborarla: 1) Identificar el rea a revisar

2)
3) 4) 5) 6)

Identificar las informaciones necesarias para la auditoria y para las pruebas

Obtener informacin sobre el sistema, aqu se definen los objetivos y el alcance de la auditoria Obtener un conocimiento detallado de la aplicacin del sistema Identificar los puntos de control crticos en el sistema Diseo y elaboracin de los procedimientos de la auditoria Ejecucin de pruebas en los puntos crticos de control.

TIPOS DE CONTROLES

CONTROLES DE PREPARACION DE DATOS: Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, as como revisar los documentos fuente. Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribucin de informes. Revisar los procedimientos de correccin de errores.

TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema

Revisar los procedimientos de correccin de errores.

TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha lmite. Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema

Revisar los procedimientos de correccin de errores.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

CONTROLES DE SALIDA DE DATOS: v v v Ver si hay establecidos controles internos automatizados de proceso de validacin. Restriccion de la posibilidad de pasar por encima de procesos de validacin Aceptacin por los usuarios finales de todas las transacciones y clculos de la aplicacin

Ver los controles sobre la entrada de datos.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

CONTROLES DE DOCUMENTACION: Comprobar que los jefes de rea se informen de faltas de documentacin adecuada para sus empleados. Destruccin de toda la documentacin de antiguos sistemas.

La existencia de documentacin de sistemas, programas, de operacin y de usuario para cada aplicacin ya implantada.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

CONTROLES DE BACKUP Y REARRANQUE Existencia de un plan de contingencia Identificacin de aplicaciones y ficheros de datos crticos para el plan de contingencia Revisar los contratos del plan de contingencia y backup para determinar su adecuacin y actualizacin.

Existencia de procesos manuales para sistemas crticos en el caso de fallo de contingencia

Actualizacin del plan de contingencia cuando es necesario; pruebas anuales.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

CONTROLES SOBRE PROGRAMAS DE AUDITORIA: Uso de SW de auditoria nicamente por personas autorizadas. Participacin del auditor en la adquisicin o modificacin de paquetes de SW de auditora. Revisin de tablas de contraseas para asegurar que no se guardan identificaciones y contraseas de personas que han causado baja.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

CONTROLES DE LA SATISFACCION DE LOS USUARIOS: oDisponibilidad de polticas y procedimientos sobre el acceso y uso de la informacin. oResultados fiables, completos, puntuales y exactos de las aplicaciones. oSatisfaccin de los usuarios con la informacin que produce la aplicacin.

Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser suficiente, relevante, fiable, disponible, comprobable y til.

CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS:

INFORME PREVIO: Para mantener una buena relacin con el rea auditada se emite un informe de los principales puntos de la revisin, esto a a los responsables del rea revisada la posibilidad de contribuir en la elaboracin del informe final. INFORME FINAL DE LA REVISION: Se emite el informe final despus de una reunin con los responsables del rea implicados en la revisin, y el contenido del informe deber describir los puntos de control interno de la siguiente manera: a) b) Opinin global (conclusiones) Problemas especficos

c) Explicacin de la violacin de cuantos controles internos, planes organizacionales, estndares y normas.

Descripcin de los riesgos, exposicin o prdidas que resultaran de las violaciones.