2. Control interno y Auditoria Informática 1

Documentos relacionados
Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

ISO GAP ANALYSIS

PROYECTO ISO SISTESEG

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

La leadership que desarrollaron Robert R. Blake y Jane Srygley Mouton, se basa en el concepto de que existe un estilo óptimo de liderazgo.

COBIT 4.1. Los controles By Juan Antonio Vásquez

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Análisis de riesgos y Evaluación del Control Interno

EVALUACION DEL CONTROL INTERNO

AUDITORÍAS ESPECIFICAS: BCP, Datacenter y Gestión de disponibilidad y capacidad. Andrés Quintero Arias 2015

CONCEPTO DE AUDITORIA EN INFORMÁTICA

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

SISTEMA DE CONTROL INTERNO. Secretaría General

Las Mermas y su Control Interno. Nelson Díaz Muñoz CP EAS CIA

INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

Sistemas de Información para la Gestión

Especialistas en Auditoría de TI, Gestión de Riesgos, Control Interno, Gobierno de TI

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Dirección y Gerencia

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Conocimiento y evaluación del control interno

Objetivos y Lineamientos del Control Interno de Aplicación General para Banco PagaTodo.

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y EJERCICIO DE LA REVISORÍA FISCAL

Por qué nos preocupa la seguridad?

SISTEMA DE CONTROL INTERNO GENERALIDADES.

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

AUDITORIA INFORMATICA. Carlos A Jara

NIA 315 Identificación y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entorno

MANUAL DE OPERACIÓN Y PROCESOS

Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC-

Requisitos de las Buenas Prácticas de Mercadeo y Manufactura (BPMM ) Ing. Iván Angulo

REQUERIMIENTOS DE CONTROL INTERNO EN LAS ENTIDADES DEL MERCADO DE VALORES

ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

J.P. Morgan Grupo Financiero, S.A. de C.V. Principales Funciones de los Comités Auxiliares al Consejo de Administración. Banco J.P. Morgan, S.A.

POLÍTICAS OPERATIVAS DE VIH

POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

NORMAS TÉCNICAS DE CONTROL INTERNO ESPECIFICAS (NTCIE) MINED CONCULTURA

ESTATUTO DE LA VICEPRESIDENCIA DE AUDITORIA INTERNA BANCOLOMBIA S.A. Y SUS UNIDADES DE NEGOCIO

REQUISITOS OPERATIVOS Y DOCUMENTALES

Implementación del Sistema de Control Interno en el Seguro Social de Salud - EsSalud. Diana Coci Otoya

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

EVALUACION Y VERIFICACION DEL SISTEMA DE CONTROL INTERNO (SCI) 1. OBJETIVO ALCANCE DEFINICIONES NORMAS LEGALES...

POLÍTICA DE GESTIÓN DE RIESGOS

Seguridad Informática

Sustantiva Órgano Interno de Control. Subdirector de Infraestructura. Dirección de Infraestructura


MANUAL DE ORGANIZACIÓN DIRECCIÓN DE CRÉDITO

República de Panamá Superintendencia de Bancos

Curso Especializado Seguridad Informática GNU/LINUX

ANEXO IV: REQUISITOS PARA LA OBTENCIÓN DE LA LICENCIA DE FUNCIONAMIENTO

Bitácora Cuestionario Calidad Técnica de las Aplicaciones (Software a la medida)

Atributos de Calidad del Software

El paquete completo de COBIT consiste en:

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

LIBRO 1, TÍTULO I, CAPÍTULO III

TEMA 3 SEGURIDAD LOGICA. Realizado por : Mila Leal

ANALISIS DE RIESGOS en Tecnología y Seguridad de la Información

Toshiba EasyGuard en acción:

ANEXO 3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN

Procedimientos de Respaldo y Recuperación

CARRERA: CONTADURIA PUBLICA Y FINANZAS. MSc. Jeyling Alfaro Manzanares

1.2. Visión General de la Auditoría

NIMF n. 7 SISTEMA DE CERTIFICACIÓN PARA LA EXPORTACIÓN (1997)

INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE CP/ASI

UNIDAD DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO

Qué es un Sistema de Gestión n Ambiental? Introducción n a los Sistemas de Gestión Ambiental (SGA) Objetivos

Norma IRAM-ISO/IEC 27001

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

PRESENTACIÓN CONSULTORÍA INTEGRAL DE RIESGOS, MEDIO AMBIENTE Y PROCESOS S.A.C

MANUAL DE ORGANIZACIÓN DIRECCIÓN FIDUCIARIA. Dirección General MNO

SISTEMAS DE INFORMACION ROLES ESTRATEGICOS. INTEGRANTES: Susana acosta Hernández. Lucia gpe. Belueta López. Marqueza Eleonora Díaz Félix..

FORTALECIMIENTO DEL CONTROL INTERNO EN EL GOBIERNO REGIONAL DE PIURA RESULTADOS DEL PROYECTO EJECUTADO CON LA COOPERACIÓN ALEMANA IMPLEMENTADA POR GIZ

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

INGENIERÍA EN MANTENIMIENTO INDUSTRIAL

RESUMEN DE INFORME DE GESTIÓN DE RIESGO OPERACIONAL

ACUERDO NÚMERO Guatemala diecisiete de marzo de dos mil once.

UNIVERSIDAD AUTONOMA DE QUERETARO Facultad de Informática

Seguridad de la información

4. Planeamiento preliminar. Estrategia de la auditoría. Conocimiento del ente y su ambiente

Sistema Integrado de Gestión PLAN DE CONTINGENCIA TIC

MANUAL DE ORGANIZACIÓN DIRECCIÓN DE FINANZAS. Dirección General MNO

Servicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información

Las NIA-ES, de un vistazo Número 15 - Julio de 2014

Autoevaluación n del Sistema de Control Interno Institucional UCGP.CFCI /05/2011 UCGP.CFCI.001 1

Portafolio de Servicios

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

Rosa Patricia Romero Líder Integridad Mecánica

Consejo para la Práctica 2120.A1-4: Auditoría del Proceso de Información Financiera

Transcripción:

UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS CARRERA DE AUDITORIA AUDITORIA DE SISTEMAS INFORMATICOS M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011 2. Control interno y Auditoria Informática 1

Tradicionalmente en materia de control interno se adoptaba un enfoque limitado a los controles contables internos. Se han experimentado escándalos relacionados con errores en el otorgamiento de créditos con garantía de inmuebles inexistentes o sobrevalorados, la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y otros fallos de los controles que han afectado a las 2 empresas.

Por ello hay cambios en las empresas que comprometen los controles internos existentes: La reestructuración de los procesos empresariales (BPR Bussines Process Reenginieering). La gestión de la calidad total (TQM-Total Quality Management). El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto. La contratación externa (outsourcing). La descentralización. 3

Un Centro de Procesamiento de Datos (CPD) de una empresa suele tener una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y costos de TI, mantenimiento, ataques. Por lo tanto, aumenta las necesidades de control interno y auditoría. 4

5

CONTROL INTERNO Han sido desarrollados para proveer una garantía razonable de que los objetivos del negocio serán alcanzados y que se previenen o detectarán y corregirán los casos de riesgo no deseados. Los controles internos tales como las políticas, procedimientos, prácticas y estructuras organizativas son desarrollados y/o diseñados. 6

CONTROL INTERNO INFORMATICO Es una herramienta enfocada a la adecuada gestión de las Tecnologías de Información. Muchos de los problemas informáticos se originan dentro de la misma empresa. Por ello es cada vez más necesario un completo análisis del tráfico de: Los correos electrónicos corporativos; Las páginas web que se visitan desde los ordenadores de la empresa. 7

Vigilar el acceso a Internet Cuántas veces uno se queja en la oficina por lo lenta que está la conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo. 8

Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros. Internet no puede ser de libre uso dentro de la empresa!!! 9

Los motivos son diversos, y tienen que ver con el costo que representa: El servicio de banda ancha; La baja en la productividad laboral de aquellos que navegan varias horas por día; El riesgo de recibir cadenas de e-mails con virus o navegar por sitios inseguros; El peligro de que un empleado envíe información confidencial, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o 10 agresivos desde su e-mail corporativo.

Las empresas ven que están perdiendo capacidad de trabajo y de producción porque la gente abusa de Internet, y ése es un costo!!! Si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el ancho de banda está estancado porque hay gente descargando, va a tener un impacto operativo y económico. 11

Entre las medidas que se debe adoptar es: Limitar el acceso, mediante filtros, bloqueo de webmails, chats o de algunos sitios en particular. Limitar visitas a sitios que tengan que ver con palabras relacionadas con deporte o sexo. Evitar el acceso a páginas pornográficas, adoptando filtros estrictos que impidan realizar búsquedas de sitios con palabras como sexo. 12

Un segundo mecanismo que se utiliza es el de no limitar el acceso pero en cambio vigilar quiénes son los que más navegan. No se puede monitorear a todos, pero lo que sí se hace es establecer un ranking de los 20 o 40 empleados que más están en Internet. Y se monitorea por qué sitios anduvieron 13

En general, a los empleados no les alegra saber que se les ha restringido el acceso o que están siendo vigilados, si es que logran enterarse. Las empresas instalan programas de control y de vigilancia en las computadoras sin informarles. La gente que tiene algún tipo de experiencia con regulaciones o que percibe la necesidad de controlar. Entienden la necesidad y el riesgo. 14

En nuestro País recién empieza a difundirse entre las organizaciones el control del acceso a Internet, existe un problema más grave y es el de aplicar controles que sean ineficientes. Muchas empresas dicen que adoptan medidas de control, y cuando uno prueba estas normas, se encuentra con que en realidad se trata de un control mal hecho 15

C.I.I. controla diariamente que todas las actividades de SI sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales. 16

La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. 17

OBJETIVOS DEL CONTROL INTERNO Los objetivos del control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. 18

OBJETIVOS DE CONTROL EN T.I. Un objetivo de control de TI se define como una declaración del resultado o propósito que se desea alcanzar mediante la implementación de procedimientos de control en una actividad de TI en particular. 19

Los principales objetivos del proceso de control interno pueden ser categorizados: Salvaguarda de los activos (objetivos de seguridad); Integridad de los entornos operativos; Asegurar la eficiencia y la eficacia de las operaciones; Cumplimiento con los requerimientos de los usuarios y con las políticas y procedimientos; Planes de copias de seguridad; 20

Garantizar la integridad de los entornos sensitivos y críticos de aplicación del sistema, incluyendo información contable/financiera y administrativa a través: Autorización de información entrante; Exactitud e integridad del procesamiento de las transacciones; Fiabilidad de las actividades generales de procesamiento de información; Exactitud, integridad y seguridad de la información saliente (output); Integridad de la Base de Datos. 21

PROCEDIMIENTOS DE CONTROL Los controles generales de TI son controles que se aplican a todas las funciones dentro de una organización: Estrategia y dirección; Acceso a datos y programas; Desarrollo de sistemas y control de cambios; Operaciones de procesamiento de datos; Procedimientos de garantía de calidad; Controles físicos de acceso; Planeación de continuidad/recuperación 22 de desastre del negocio.

CLASIFICACION DE CONTROLES CLASE FUNCION EJEMPLOS PREVENTIVOS Tratar de evitar la producción de errores o hechos fraudulentos; Descartar problemas antes de que surjan; Monitorear operaciones. Tratar de predecir; Impedir que ocurra un error, omisión o acto malicioso. software de seguridad que impida los accesos no autorizados al sistema; Controlar el acceso a las instalaciones fisicas; Emplear RRHH calificados; Segregacion de funciones; Usar documentos bien diseñados; Establecer procedimientos adecuados para autorizar transacciones; 23

CLASE FUNCION EJEMPLOS DETECTIVOS Tratar de conocer cuanto antes el evento Controles que detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan. Registro de intentos de acceso no autorizados; Puntos de verificación; Mensajes de error; Verificacion de los cálculos; Reportes de cuentas vencidas; Controles de eco en comunicaciones; Funciones de auditoria interna 24

CLASE FUNCION EJEMPLOS CORRECTIVOS facilitan la vuelta a la normalidad cuando se han producido incidencias; Minimizar el impacto de una amenaza; Remediar problemas descubiertos por los controles de deteccion; Identificar la causa. Corregir errores que surjan de un problema. Modificar el SI, para minimizar que el problema ocurra en el futuro. Recuperación de un fichero dañado a partir de las copias de seguridad; Planeacion contingencias; 25 de Procedimientos de nueva ejecución de programa.

MEDIOS DE CONTROL Para que los controles directos resulten efectivos, las actividades del depto. TI: Los empleados del departamento TI no realicen funciones imcompatibles; Exista supervision de las actividades del personal de sistemas; Se controle la utilización de Software sensitivo. 26

CONTROLES OPERATIVOS Depto. TI Una efectiva segregación de funciones, debe ir acompañada de controles de acceso, o de supervisión de los accesos otorgados. Estos controles incluyen: Manuales de operación y controles operativos diarios; Supervision de usuarios privilegiados; Control sobre software sensitivo; Controles sobre el desarrollo de sistemas. 27

ACCESO A DATOS Y PROGRAMAS Este riesgo implica que personas no autorizadas (empleados o terceros) puedan tener acceso directo a los archivos de datos o programas de aplicación, con fines que puedan perjudicar a sujetos y en el peor de los casos a la organización. 28

MEDIOS DE CONTROL Una forma de restringir el acceso en ambientes computacionales es a través de identificadores de usuarios y contraseñas, utilizando software para: Interactuar con solicitudes de acceso de los usuarios a programas o datos; Rechazar o permitir el acceso. 29

SEGURIDAD LOGICA Se deben tomar en cuenta lo siguiente: Administración de passwords; Proceso de Log-in; Cambio frecuente de password; No divulgar el password por fono; Uso de los sistemas; Control de acceso para uso de datos; Separación de usuarios por prioridades. 30

SEGURIDAD FISICA Control físico de acceso al área de sistemas: Guardia o recepcionista; Tarjeta de identificación visible. 31

CAMBIOS A PROGRAMAS Los programadores pueden realizar cambios incorrectos o no autorizados en el software de aplicación, lo cual podria reducir la confiabilidad de la informacion financiera procesada en el sistema. 32

El proceso de modificación en el software, considera lo siguiente: Las solicitudes de modificaciones deben ser documentadas y aprobadas por un nivel gerencial adecuado; Los cambios, en primera instancia, deben ser introducidos en las versiones de prueba del software y luego, ser introducidas en versiones de producción; 33

Los cambios solo deben ser realizados por el personal de sistemas o programadores; Los cambios deben ser respaldados por documentación; Las pruebas al software modificado deben ser realizadas por un equipo de prueba independiente; Llevar un registro de modificaciones; Aprobación por parte de la gerencia. 34

CONTINUIDAD DE PROCESAMIENTO Los negocios de la empresa podrían verse afectados, como consecuencia de interrupciones en los servicios de procesamiento de datos, originadas por desastres u otras contingencias. Los medios de control para la continuidad de procesamiento de datos: 35

Procedimientos adecuados que describan su aplicación en caso de contigencia. - Historial de problemas relevantes; - Manejo de interrupciones de proc.; - Modificaciones de emergencia. Mecanismos de seguimiento y control gerencial; Contar con plan de contingencias para procesos críticos. 36

AMBIENTES TECNOLOGICOS Estructura de redes; Voz sobre IP (VoIp); Redes WirelessLAN; Redes WirelessMAN; Redes WirelessWAN; Topologías de red; Cableado estructurado; Dispositivos de Networking; Telecomunicaciones. 37

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback