AUDITORÍA DE SISTEMAS UNIDAD 2
NORMAS DE CONTROL EN EL MARCO DE LA SEGURIDAD COMPUTACIONAL
CONTROL INFORMÁTICO El control interno en la empresas tiene como finalidad ayudarles en la evaluación de la eficacia y eficiencia de su gestión administrativa. Eficaz.- Realizar, ejecutar,…, efectivo,…, que logra hacer efectivo un intento o un propósito. Eficiente.- Capaz de lograr un efecto,…, que tiene facultades para producir un efecto o realizar una determinada tarea.
CONTROL INFORMÁTICO Elementos fundamentales: Controles internos sobre la organización del área de informática. Controles internos sobre el análisis, desarrollo e implementación de sistemas Controles internos sobre la operación del sistema.
CONTROL INFORMÁTICO Controles internos sobre los procedimientos de entrada de datos, el procesamiento de l información y la emisión de los resultados. Controles internos sobre la seguridad del área de sistemas.
Controles internos sobre la organización del área. Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos
Controles internos sobre análisis, desarrollo e implementación Estandarización de metodologías para el desarrollo de proyectos Asegurar que el beneficio de los sistemas sea el óptimo Elaborar estudios de factibilidad del sistema
Controles internos sobre análisis, desarrollo e implementación Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implementación y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentación
Contr. int. sobre procedimientos de entrada de datos, procesamiento y la emisión de resultados Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
Contr. int. sobre procedimientos de entrada de datos, procesamiento y la emisión de resultados Comprobar la oportunidad, confiabilidad y veracidad de la emisión de los resultados del procesamiento de la información
Controles internos sobre la seguridad del área de sistemas Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematización. Controles sobre la seguridad física del área de sistemas. Controles sobre la seguridad del personal de informática
Controles internos sobre la seguridad del área de sistemas Controles sobre la seguridad lógica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la seguridad de los sistemas computacionales
Controles internos sobre la seguridad del área de sistemas Controles sobre la seguridad de telecomunicaciones Controles sobre la seguridad de las redes y sistemas multiusuarios Controles sobre la seguridad de las mini computadoras y de las microcomputadoras
Fases en la construcción de los sistemas Análisis del sistema actual Diseño conceptual Diseño detallado Programación Pruebas y correcciones Documentación del sistema
Fases en la construcción de los sistemas Capacitación de usuarios Implantación del sistema Liberación del sistema Mantenimiento
SEGURIDAD * El desarrollo de sistemas no se refiere únicamente al análisis, diseño e implementación de sistemas, se refiere también a otras actividades, de tanta o más significancia para las funciones de dichos centros.
SEGURIDAD Dependiendo de su tamaño, configuración y características; una de las más relevantes es la operación de los sistemas computacionales. De ahí la importancia de contar con un control interno que evalúe la adecuada operación de los sistemas.
En este caso será la adopción SEGURIDAD En este caso será la adopción
1.1 TIPOS DE CO NTROLES EN LA SEGURIDAD COMPUTACIONAL
* La eficiencia y el costo 1) DE OPERACION * La eficiencia y el costo
2) DE SALIDA ¿Quién entrega los documentos de salida? ¿En que forma se entregan? ¿Qué documentos? ¿Qué controles se tiene
3) DE ASIGNACION DE TRABAJO * Necesidades de tiempo * Compatible con los programas * Niveles efectivos de utilización de los equipos y sistema * Utilización de los equipos en línea
4) DE MEDIOS DE ALMACENAMIENTO MASIVO * Dispositivos de almacenamiento
3 Tipos de control de mantenimiento: * Total * Por llamada * En Banco
1.2 CLASIFICACION DE LOS CONTROLES EN LA SEGURIDAD COMPUTACIONAL
CONTROL DE LOS DATOS FUENTES Y MANEJO DE CIFRAS DE CONTROL * Suprimir u omitir datos * Adicionar datos * Alterar datos * Duplicar procesos
1.3 EL PROCESO DE CONTROL EN EL MARCO DE LA SEGURIDAD COMPUTACIONAL
1) SEGURIDAD LOGICA Y CONFIDENCIAL Computadoras (gran cantidad de información) Seguridad Lógica: * Mala utilización de la información * Copias “piratas” * Virus informáticos
2) SEGURIDAD EN EL PERSONAL Integridad, estabilidad y lealtad de personal * Políticas adecuadas de vacaciones * Políticas de rotación de personal * Política de reemplazo * Personal de confianza y motivación
Políticas, procedimientos y prácticas para evitar las interrupciones 3) SEGURIDAD FISICA Políticas, procedimientos y prácticas para evitar las interrupciones Ubicación del Centro de Computo: * Construcción del edificio * Fuentes de polvo y poseer detectores * Control sobre los extinguidores
De gran importancia. Cubrir todo el equipo y su instalación 4) SEGUROS De gran importancia. Cubrir todo el equipo y su instalación
5) SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO * Control de acceso a los programas * Respaldo de documentos y archivos * Protección de la información confidencial * Mantenimiento a los equipos y sistemas
6) PROCEDIMIENTO DE RESPALDO EN CASO DE DESASTRE Plan de emergencia Requerimientos: * Notificar * Informar al director de informática * Estado de todos los sistemas * Notificar a los proveedores
7) CONDICIONES, PROCEDIMIENTOS Y CONTROLES PARA OTORGAR SOPORTE A OTRAS INSTITUCIONES
Arreglos con otros centros de manera formal especificando lo siguiente: 1. A quiénes se le otorga 2. Condiciones 3. Procedimientos y controles 4. Tiempo, periodicidad y costo
FIN