La Necesidad de un Ambiente Eficaz de Controles Generales de TI Lucas R. Coronel Licenciado en Sistemas de Información de la Organizaciones Universidad de Buenos Aires
Objetivo Comprender la necesidad de implementar eficazmente un ambiente adecuado y razonable de controles generales de tecnología de la información en las organizaciones. Obtener información confiable para dar soporte a los procesos de negocio. 2
Procesos de Negocio ¿Por qué Controles Generales? Para asegurar que los procesos y la información administrada por las aplicaciones sean confiables, es necesario tener como base un ambiente eficaz de controles generales de TI. la información no pueda ser accedida o modificada de forma no autorizada, por fuera del sistema aplicativo. 3
Controles Generales de TI Procesos Principales de Control 4
Controles Generales de TI Estructura Organizativa de TI Estructura: independencia. Funciones y Responsabilidades: cumplimiento y supervisión. Segregación de Funciones: tareas acorde a su puesto. Metodología: formalización y comunicación. Plan de Sistemas: alineación a la estrategia del negocio. 5
Controles Generales de TI Administración de Cambios Aprobación del Requerimiento: autorización del jefe/gerente del usuario solicitante y del departamento de TI antes de iniciar los proyectos de cambios a objetos/datos productivos. Pruebas: técnicas y funcionales, para asegurar una correcta solución. Aprobación del Pasaje a Producción: autorización del usuario solicitante y del responsable del entorno productivo. 6
Controles Generales de TI ABM de Usuarios Aprobación del Requerimiento: autorización de las solicitudes de altas, bajas y modificaciones de cuentas de usuarios, por parte de un responsable autorizado. Ejecución: a cargo de un operador responsable de los sistemas. Se deben establecer validaciones periódicas de los accesos, con el objeto de mantener un nivel de seguridad y acceso apropiado a los recursos de la organización. 7
Controles Generales de TI Seguridad Lógica Usuarios de Máximo Privilegios: identificados y auditados. Contraseñas: adecuada parametrización y fortaleza. Auditoría: registro y revisión periódica. Permisos: acceso autorizado a información crítica. Si bien cada tecnología tiene sus particularidades, los controles mencionados son básicos y claves para realizar una adecuada parametrización en los sistemas 8
Controles Generales de TI Seguridad Física Acceso: personal autorizado. Aire Acondicionado: adecuada refrigeración. Detectores de Humo/Calor: actuar oportunamente. Extintores de Fuego: evitar incendios. Piso Técnico: instalación y circulación de cables. Material Combustible: no debe existir. UPS: continuar operatoria (tiempo breve). Suministro de Energía: continuar operatoria (tiempo prolongado). 9
Controles Generales de TI Continuidad del Procesamiento Resguardo y Recupero: procedimiento de backups y pruebas de recupero de información. Plan de Contingencia: plan formal, actualizado, comunicado y probado periódicamente. Empresa en Marcha 10
Conclusión La implementación de adecuados controles generales de TI permite iniciar el proceso y la cultura de control correspondiente, para lograr conformar un ambiente eficaz de tecnología de la información, a través del cual: se procese y obtenga información confiable para la organización, y se logre un mejor y más seguro funcionamiento de los procesos del negocio. 11
Preguntas 12 11
Contacto: lucas.coronel@yahoo.com MUCHAS GRACIAS Contacto: lucas.coronel@yahoo.com 11 13