Transcript control interno informático

METODOLOGÍAS DE
CONTROL INTERNO,
SEGURIDAD Y AUDITORÍA
INFORMÁTICA
Integrantes:
Gustavo Alvarado Rojas
Carlos Murillo Fuentes
LA FUNCIÓN DE CONTROL
La tendencia generalizada es contemplar al lado
de la figura del auditor informático, la de control
interno informático.
o
o
o
El área Informática monta los procesos
informáticos seguros.
El Control Interno monta los controles.
La Auditoria Informática evalúa el grado de
control.
DIFERENCIAS ENTRE
AUDITORÍA INFORMÁTICA Y
CONTROL INTERNO INFORMÁTICO
LA AUDITORÍA INFORMÁTICA
o
Tiene sus propios objetivos distintos a los
auditores de cuentas.
o
Los auditores de cuentas la necesitan para
utilizar la información de sus sistemas para
evaluaciones financieras y operativas.
o
Evalúan eficiencia, costo y seguridad en su
más amplia visión.
LA AUDITORÍA INFORMÁTICA
o
Operan según el plan auditor.
o
Establecen planes con tiempos definidos y
ciclos completos.
o
Función de soporte informático de todos los
auditores.
CONTROL INTERNO INFORMÁTICO
o
Funciones de
departamentos.
control
dual
con
otros
•
Función normativa y del cumplimiento del marco
jurídico.
•
Tiene funciones propias ( Administración de la
Seguridad lógica , etc ...)
CONTROL INTERNO INFORMÁTICO
o
Responsable del desarrollo y actualización del
plan de contingencias, manuales de
procedimientos y plan de seguridad.
•
•
•
•
•
•
Dictar normas de seguridad informática.
Definir los procedimientos de control.
Control de soportes físicos.
Control de información sensible o comprometida.
Control de calidad del servicio informático.
Definición de requerimientos de seguridad en proyectos
nuevos.
“El control informático es el
componente de la actuación segura
entre los usuarios, la informática y
control interno , todos ellos auditados
por auditoría informática”
CLASIFICACIÓN DE LA INFORMACIÓN
Entidad de información:
Objetivo a proteger en el entorno informático, y que
la clasificación de la información nos ayudará a
proteger, especializando las contramedidas según el
nivel de confidencialidad o importancia que tengan.
Está metodología de del tipo cualitativo/subjetivo, y
tiene listas de ayuda con el concepto
abierto.(Jerarquías)
PASOS DE LA METODOLOGÍA
o
Identificación de la información.
o
Inventario de entidades de información
residentes y operativas.
o
Identificación de Propietarios
o
Definición de jerarquías de Información.
PASOS DE LA METODOLOGÍA
o
Definición de la matriz de Clasificación.
o
Confección de la matriz de Clasificación.
o
Realización del plan de Acciones.
o
Implantación y Mantenimiento.
METODOLOGÍA
o
Fase 1. Definición de Objetivos de Control.
•
Tarea 1. Análisis de la Empresa: Estudio de los
procesos, organigramas y funciones
•
Tarea 2. Recopilación de Estándares: Todas las fuentes
de información necesarias para conseguir definir los
objetivos de control a cumplir. ( ISO, ITSEC, CISA )
•
Tarea 3. Definición de los Objetivos de Control.
METODOLOGÍA
o
Fase 2. Definición de los Controles.
•
Tarea 1. Definición de los Controles: Con los Objetivos de Control
Definidos, analizamos los procesos y vamos definiendo los
distintos controles que se necesiten.
•
Tarea 2. Definición de Necesidades Tecnológicas ( HW y
Herramientas de control )
•
Tarea 3. Definición de los Procedimientos de Control: Se
desarrollan los distintos procedimientos que se generan en las
áreas usuarias, informática, control informático y control no
informático.
•
Tarea 4. Definición de las Necesidades de Recursos Humanos
METODOLOGÍA
o
Fase 3. Implantación de los Controles.
Ya definidos los controles, las herramientas de control y
los recursos humanos necesarios, no resta mas que
implantarlos en forma de acciones específicas.
Una vez terminada la implantación habrá que
documentar los procedimientos nuevos y revisar los
afectados de cambio. Los procedimientos resultantes
serán:
METODOLOGÍA
o
Fase 3. Implantación de los Controles.
•
•
•
•
Procedimientos propios de Control de la Actividad
Informática.
Procedimiento de distintas áreas usuarias de la informática,
mejorados.
Procedimientos de áreas informáticas, mejorados.
Procedimientos de control dual entre control interno
informático y el área informática, los usuarios informáticos,
y el área de control no informático.
HERRAMIENTAS DE CONTROL
Las herramientas de control son elementos SW que por sus características
funcionales permiten vertebrar un control de una manera más actual y más
automatizada.
Las herramientas de control mas comunes son :
o
o
o
o
o
o
o
o
o
o
Seguridad lógica del sistema.
Seguridad lógica complementaria al sistema
Seguridad lógica para entornos distribuidos.
Control de acceso físico.
Control de Presencia.
Control de copias
Gestión de soportes magnéticos.
Control de proyectos.
Control de versiones.
Control de cambios.
GRACIAS