IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO INFORMTICO

CRITERIO BSICO
Los controles pueden implantarse a varios niveles.
La evaluacin de controles de tecnologa de la Informacin exige analizar
diversos elementos interdependientes. Por ello es importante conocer bien
la configuracin del sistema, para poder identificar los elementos,
productos, herramientas que existen para saber donde pueden implantarse
los controles, as como para identificar los posibles riesgos.

CONOCER LA CONFIGURACIN DEL SISTEMA

Para llegar a conocer la configuracin del sistema es necesario documentar
los detalles de la red, as como los distintos niveles de control y elementos
relacionados:
Entorno de red..- esquema de la red, descripcin de la configuracin de
hardware de comunicaciones, descripcin del software que se utiliza como
acceso a las telecomunicaciones, control de red, situacin general de los
ordenadores de entornos de base que soportan las aplicaciones crticas y
consideraciones relativas a la seguridad de la red.
Configuracin del ordenador base.- configuracin del soporte fsico, entorno
del sistema operativo, software con particiones, entornos (pruebas y real),
bibliotecas de programas y conjunto datos.
Entorno de aplicaciones.- procesos de transacciones, sistemas de gestin
de base de datos y entornos de procesos distribuidos.
Productos y herramientas.- software para desarrollo de programas, software
de gestin de bibliotecas y para operaciones automticas.
Seguridad del ordenador base.- identificar y verificar usuarios, control de
acceso, registro e informacin, integridad del sistema, controles de
supervisin, etc.

PARA LA IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO

INFORMTICO DEBE DEFINIRSE:
Gestin de sistemas de informacin.- poltica, pautas y normas tcnicas
que sirvan para el diseo y la implantacin de los sistemas de informacin y
de los controles correspondiente.
Administracin de sistemas.- controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administracin de
las redes.
Seguridad.- incluye las tres clases de controles fundamentales implantados
en el software del sistema, integridad del sistema, confidencialidad (control
de acceso) y disponibilidad.
Gestin de cambio.- separacin de las pruebas y la produccin a nivel de
software y controles de procedimientos para la migracin de programas
software aprobados y probados.
RESPALDO PARA LA IMPLANTACIN DE UNA POLTICA Y CULTURA DE
SEGURIDAD
Direccin de Negocio o Direccin de Sistemas de Informacin (S.I).- Define
la poltica y/o directrices para los sistemas de informacin en base a las
exigencias del negocio, que podrn ser internas o externas.

Direccin de Informtica.- Ha de definir las normas de funcionamiento del

entorno informtico y de cada una de las funciones de informtica mediante
la creacin y publicacin de procedimientos, estndares, metodologa y
normas, aplicables a todas las reas de informtica as como a los usuarios,
que establezcan el marco de funcionamiento.
Control Interno Informtico.- ha de definir los diferentes controles
peridicos a realizar en cada una de las funciones informticas, de acuerdo
al nivel de riesgo de cada una de ellas, y ser diseados conforme a los
objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarn
en los oportunos procedimientos de control interno y podrn ser preventivos
o de deteccin. Peridicamente realizar la revisin de controles
establecidos de Control Interno Informtico informando las desviaciones a la
Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en
los controles, as como trasmitir constantemente a toda la organizacin de
Informtica la cultura y polticas de riesgo informtico.
Auditor interno/externo informtico.- ha de revisar los diferentes controles
internos definidos en cada una de las funciones informticas y el
cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo,
conforme a os objetivos definidos por la Direccin de Negocio y la Direccin
de Informtica. Informar a la Alta Direccin de los hechos observados y al
detectarse deficiencias o ausencias de controles recomendarn acciones

CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIN

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERAN LOS QUE
CONTROL INTERNO INFORMTICO Y AUDITORA INFORMTICA DEBERAN
VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ
CONTROLES DE DESARROLLO, ADQUISICIN Y MANTENIMIENTO DE SISTEMAS
DE INFORMACIN
Para que permitan alcanzar la eficacia del sistema, economa y eficiencia,
integridad de los datos, proteccin de los recursos y cumplimiento con las
leyes y regulaciones.
Metodologa del ciclo de vida del desarrollo de sistemas. Principales
controles:
La Alta Direccin debe publicar una normativa sobre el uso de metodologa
de ciclo de vida de desarrollo de sistemas y revisar sta peridicamente.
La metodologa debe establecer los papeles y responsabilidades de las
distintas reas del Departamento de Informtica y de los Usuarios, as como
la composicin y responsabilidades del equipo del proyecto.
Las especificaciones del nuevo sistema deben ser definidas por los usuarios
y quedar escritas y aprobadas antes e que comience el proceso de desarrollo.
Debe establecerse un estudio tecnolgico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos acompaadas de un
anlisis costo-beneficio de cada alternativa.
Cuando se seleccione una alternativa debe formularse el plan director del

CONTROLES EN LA METODOLOGA DE DESARROLLO DE SISTEMAS

Procedimientos para la definicin y documentacin de especificaciones de:
diseo, de entrada, de salida, de ficheros, de procesos, de programas, de
controles de seguridad, de pistas de auditora, etc.
Plan de validacin, verificacin y pruebas.
Estndares de prueba de programas, de pruebas de sistemas.
Plan de conversin: prueba de aceptacin final.
Los procedimientos de adquisicin de software debern seguir las polticas
de adquisicin de la organizacin y dichos productos debern ser probados y
revisados antes de pagar por ellos y ponerlos en uso.
La contratacin de outsourcing debe estar justificada mediante una
peticin escrita de un director del proyecto.
Debern prepararse manuales de operacin y mantenimiento como parte
de todo proyecto de desarrollo o modificacin de sistemas de informacin,
as como manuales de usuario.

EXPLOTACIN Y MANTENIMIENTO
El establecimiento de controles asegurar que los datos se traten de forma
congruente y exacta y que el contenido de sistemas slo ser modificado
mediante autorizacin adecuada.
Algunos controles que deben implantarse:
Procedimiento de control de explotacin.
Sistema de contabilidad para asignar usuarios de costos asociados con la
explotacin de un sistema de informacin.
Procedimientos para realizar un seguimiento y control de los cambios de
un sistema de informacin.

CONTROLES DE EXPLOTACIN DE SISTEMAS DE INFORMACIN

Planificacin y Gestin de recurso: definir el presupuesto operativo del
Departamento, Plan de adquisicin de equipos y gestin de la capacidad de
los equipos.
Controles para usar de manera efectiva los recursos en ordenadores:
1.Calendario de carga de trabajo.
2.Programacin de personal.
3.Mantenimiento preventivo del material.
4.Gestin de problemas y cambios.
5.Procedimientos de facturacin a usuarios.
6.Sistemas de gestin de la biblioteca de soportes.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, de seguridad y control de cambios.

SEGURIDAD FSICA Y LGICA

Definir un grupo de seguridad de la informacin, siendo una de sus
funciones la administracin y gestin del software de seguridad, revisar
peridicamente los informes de violaciones y actividad de seguridad para
identificar y resolver incidentes.
Controles fsicos para asegurar que el acceso a las instalaciones del Dpto.
de Informtica quede restringido a las personas autorizadas.
Control de visitas: personas externas a la organizacin.
Instalacin de medidas de proteccin contra el fuego.
Formacin y concientizacin en procedimientos de seguridad y evacuacin
del edificio.
Control de acceso restringido a los ordenadores.
Normas que regulen el acceso a los recursos informticos.
Existencia de un plan de contingencias para el respaldo de recursos de
ordenador crticos y para la recuperacin de los servicios del Dpto.

CONTROLES DE APLICACIONES
Cada aplicacin debe llevar controles incorporados para garantizar la
entrada, actualizacin, validez y mantenimiento completos y exactos de
los datos.
Aspectos ms importantes en el control de datos:
1. Control de entrada de datos: procedimientos de conversin y de entrada,
validacin y correccin de datos.
2. Control de tratamientos de datos para asegurar que no se dan de alta,
modifican o borran datos no autorizados para garantizar la integridad de
los mismos mediante procesos no autorizados.
3. Controles de salidas de datos: sobre el cuadre y reconciliacin de salidas,
procedimientos de distribucin de salidas, de gestin de errores en las
salidas, etc.

CONTROLES ESPECFICOS DE CIERTAS TECNOLOGAS

Controles en sistemas de Gestin de Base de datos.
Sobre el software de gestin de BD para preveer el acceso a la
estructuracin de y el control sobre los datos compartidos, deber
instalarse y mantenerse de modo tal que asegure la integridad del
software, las bases de datos y las instrucciones de control que definen el
entorno.
Que estn definidas las responsabilidades sobre la planificacin,
organizacin, dotacin y control de los activos de datos, es decir, un
administrador de datos.
Que existen procedimientos para la descripcin y los cambios de datos as
como para el mantenimiento del diccionario de datos.
Sobre el acceso de datos y la concurrencia.
Para minimizar fallos, recuperar el entorno de las bases de datos hasta el
punto de la cada y minimizar el tiempo necesario para la recuperacin
Controles para asegurar la integridad de los datos: programas de utilidad
para comprobar los enlaces fsicos punteros asociados a los datos,
registros de control para mantener los balances transitorios de

 Planes adecuados de implantacin, conversin y pruebas de aceptacin

para la red.
Existencia de un grupo de control de red.
Controles para asegurar la compatibilidad de conjunto de datos entre
aplicaciones cuando la red es distribuida.
Procedimientos que definan las medidas y controles de seguridad a ser
usados en la red de informtica en conexin con la distribucin del
contenido de bases de datos entre los departamentos que usan la red.
Que se identifiquen todos los conjuntos de datos sensibles de la red y que
se han determinado las especificaciones para su seguridad.
Existencia de inventario de todos los activos de la red.
Existencia de mantenimiento preventivo de todos los activos.
Que existen controles que verifican que todos los mensajes de salida se
validan de forma rutinaria para asegurar que contienen direcciones de
destino vlidas.
Controles de seguridad lgica: control de acceso a la red, establecimiento

Procedimientos de cifrado de informacin sensible que se transmite a travs

de la red.
Procedimientos de cifrado de informacin sensible que se transmite a travs
de la red.
Procedimientos automticos para resolver cierres del sistema.
Monitorizacin para medir la eficiencia de la red.
Disear el trazado fsico y las medidas de seguridad de las lneas de
comunicacin local dentro de la organizacin.
Detectar la correcta o mala recepcin de mensajes.
Identificar los mensajes por una clave individual de usuario, por terminal y
por el nmero de secuencia del mensaje.
Revisar los contratos de mantenimiento y el tiempo medio de servicio
acordados con el proveedor.
Determinar si el equipo multiplexor/concentrador/procesador frontal remoto
tiene lgica redundante y poder de respaldo con realimentacin automtica

Asegurarse de que existan pistas de auditora que puedan usarse en la

reconstruccin de los archivos de datos y de las transacciones de los diversos
terminales. Debe existir la capacidad de rastrear los datos entre el terminal y
el usuario.
Considerar circuitos de conmutacin que usen rutas alternativas para
diferentes paquetes de informacin provenientes del mismo mensaje; esto
ofrece una forma de seguridad en caso alguien intercepte los mensajes.
FUNCIN CONTROL EN LOS SISTEMAS

Funcin control esparcida en la empresa.

Consecuencia del desarrollo empresarial.
Especializacin de sus reas con infraestructura tecnolgica.
Decisiones basadas en informacin confiable, adecuado en tiempo y
forma.
Administracin de empresas apoyada en tecnologa.
Persona encargadas de control: cmo hacer para obtener efectividad en
sus funciones, si no participan en el desarrollo de los sistemas.Tendencia
se invierte con activa participacin de la funcin de control en el
desarrollo, implementacin y seguimiento de los sistemas de informtica.