Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

control interno informatico - Universidad Técnica Nacional

Anuncio 
Metodología de Control Interno,
Seguridad y Auditoría Informática
Universidad Técnica Nacional
Ingeniería del software
Curso:
Auditoría de Sistemas
Profesor:
Wilmert Vindas Acuña
Integrantes:
Katherine Camacho Samudio
Sergio Fernández salas
Paula Moreira Fernández
I Cuatrimestre, 2015
1
Metodología de Control Interno,
Seguridad y Auditoría Informática
Índice
METODOLOGIAS .............................................................................................................................. 3
METODOLOGIAS DE EVALUACION DE SISTEMAS ............................................................................ 3

Auditoría Informática: ......................................................................................................... 3

Análisis de Riesgos: ............................................................................................................. 3
TIPOS DE METODOLOGIAS .............................................................................................................. 3

Cuantitativas: ...................................................................................................................... 3

Cualitativas: ......................................................................................................................... 3
PASOS DE LA METODOLOGIA .......................................................................................................... 3
CONTROL INTERNO INFORMATICO................................................................................................. 4

La Función de Control: ........................................................................................................ 4

I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION) ........................ 4
LOS METODOS Y PROCEDIMIENTOS DE CONTROL ......................................................................... 5
DIFERENCIAS ENTRE AUDITORIA INFORMATICA Y CONTROL INTERNO ......................................... 5


LA AUDITORIA INFORMATICA: ............................................................................................ 5
CONTROL INTERNO INFORMÁTICO ......................................................................................... 5
HERRAMIENTAS DE CONTROL......................................................................................................... 6
SEGURIDAD ..................................................................................................................................... 6

ADMINISTRACIÓN DE LA SEGURIDAD ................................................................................. 7

SEGURIDADES ...................................................................................................................... 7

ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE
CONTROL ..................................................................................................................................... 7
ORGANIZACIÓN INTERNA DE LA SEGURIDAD INFORMATICA ......................................................... 7
2
Metodología de Control Interno,
Seguridad y Auditoría Informática
METODOLOGIAS
Hacen referencia al conjunto de procedimientos racionales utilizados para alcanzar una gama de
objetivos que rigen una investigación científica, una exposición doctrinal o tareas que requieran
habilidades, conocimientos o cuidados específicos.
METODOLOGIAS DE EVALUACION DE SISTEMAS

Auditoría Informática: Solo identifica el nivel de “exposición” por falta de controles.

Análisis de Riesgos: Facilita la “evaluación” de los riesgos y recomienda acciones en base
al costo-beneficio de las mismas.
TIPOS DE METODOLOGIAS

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización
del trabajo.

Cualitativas: Basadas en un criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base a experiencia acumulada
Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis
de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de
controles generales.
PASOS DE LA METODOLOGIA

Identificación de la información.

Inventario de entidades de información residente y operativa.

Identificación de Propietarios

Definición de jerarquías de Información.

Definición de la matriz de Clasificación.

Confección de la matriz de Clasificación.

Realización del plan de Acciones.
3
Metodología de Control Interno,
Seguridad y Auditoría Informática

Implantación y Mantenimiento.
CONTROL INTERNO INFORMATICO
El control informático es el componente de la actuación segura entre los usuarios, la informática y
control interno, todos ellos auditados por auditoría informática. Es el sistema integrado al
proceso administrativo, en la planeación, organización, dirección y control de las operaciones con
el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos automatizados.
 La Función de Control:
Su objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información
automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones
legales establecidas interna y externamente.
 I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION)
La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica,
podríamos decir que:



El área Informática monta los procesos informáticos seguros.
o
El Control Interno monta los controles.
o
La Auditoria Informática evalúa el grado de control.
Funciones de control dual con otros departamentos.
o
Función normativa y del cumplimiento del marco jurídico.
o
Tiene funciones propias (Administración de la Seguridad lógica, etc.)
Responsable del desarrollo y actualización del plan de contingencias, manuales de
procedimientos y plan de seguridad.

o
Dictar normas de seguridad informática.
o
Definir los procedimientos de control.
o
Control de soportes físicos.
o
Control de información sensible o comprometida.
o
Control de calidad del servicio informático.
o
Definición de requerimientos de seguridad en proyectos nuevos.
Control de cambios y versiones.
4
Metodología de Control Interno,
Seguridad y Auditoría Informática
LOS METODOS Y PROCEDIMIENTOS DE CONTROL
Son aquellos procedimientos operativos de las distintas áreas de la empresa, obtenidos con una
metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto
deben estar documentados y aprobados por la Dirección.
DIFERENCIAS ENTRE AUDITORIA INFORMATICA Y CONTROL INTERNO
 LA AUDITORIA INFORMATICA:
Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van
encaminadas a esta función. Revisa y evalúa los controles, sistemas, procedimientos de
informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización
que participan en el procesamiento de la información, con el fin de lograr una utilización más
eficiente y segura de la información que servirá para la adecuada toma de decisiones.

Tiene sus propios objetivos distintos a los auditores de cuentas.

Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para
evaluaciones financieras y operativas.
o
Evalúan eficiencia, costo y seguridad en su más amplia visión.
o
Operan según el plan auditor.

Establecen planes con tiempos definidos y ciclos completos.

Sistemas de evaluación de repetición de auditoría por nivel de exposición del área
auditada y el resultado de la última auditoria de esta área.

Función de soporte informático de todos los auditores.
 CONTROL INTERNO INFORMÁTICO
El control interno se encarga de asegurar la protección de todos los recursos informáticos y
mejorar los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.
Funciones de control dual con otros departamentos.


Función normativa y del cumplimiento del marco jurídico.
Tiene funciones propias (Administración de la Seguridad lógica, etc.)
Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos
y plan de seguridad.
5
Metodología de Control Interno,
Seguridad y Auditoría Informática






Dictar normas de seguridad informática.
Definir los procedimientos de control.
Control de soportes físicos.
Control de información sensible o comprometida.
Control de calidad del servicio informático.
Definición de requerimientos de seguridad en proyectos nuevos.
HERRAMIENTAS DE CONTROL
Las herramientas de control son elementos software que por sus características funcionales
permiten vertebrar un control de una manera más actual y más automatizada. Las herramientas
de control más comunes son:

Seguridad lógica del sistema.

Seguridad lógica complementaria al sistema

Seguridad lógica para entornos distribuidos.

Control de acceso físico.

Control de Presencia.

Control de copias

Gestión de soportes magnéticos.

Control de proyectos.

Control de versiones.

Control de cambios.
SEGURIDAD
Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que
ayudaran a controlar un riesgo informático. (cifradores, autentificadores, equipos “tolerantes al
fallo” etc.)
6
Metodología de Control Interno,
Seguridad y Auditoría Informática
 ADMINISTRACIÓN DE LA SEGURIDAD
Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con
los criterios de seguridad física y lógica requerida por la organización.
Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completo
control sobre los miembros de la organización.
 SEGURIDADES
Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites de
longitud para el acceso a dicho producto.

ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE
PROCEDIMIENTOS DE CONTROL
Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo e
implantar su nuevo esquema de seguridad y desarrollar los procesos de control.
ORGANIZACIÓN INTERNA DE LA SEGURIDAD INFORMATICA



Comité de Seguridad de la Información
o
Seguridad corporativa.
o
Control Interno.
o
Departamento de Informática.
o
Departamento de Usuarios.
o
Dirección del Plan de Seguridad
Auditoría Informática
o
Plan Auditor
o
Dictámenes de Auditoria
Control Informático
o
Responsable de Ficheros
o
Controles generales Informáticos
7
Documentos relacionados
AUDITORIA INTERNA
AUDITORIA INTERNA
Descargar
Anuncio
Anuncio