2. Controles
Son
mecanismos de control, disminuye el
riesgo de una falla o error.
Evita problemas en el sistema.
Es cualquier tipo de proceso, ya sea
administrativo o computacional, que ha
sido desarrollado para verificar si se
cumplen las disposiciones, políticas o
parámetros de operación de la empresa.
3. Clasificación
Tipos:
Controles Preventivos : establece un parámetro seguro,
el cual eventualmente se puede sobre pasar a riesgo
del usuario (ej: backups del sistema en caso de
catástrofe, evita perdida total de datos)
Controles Detectivos: son aquellos que no evitan que
ocurra el problema, porque no se puede evitar y alertan
del suceso negativo. (ej: puerto 3 del switch de red
desconectado, PC con tarjeta de red dañada)
Controles Correctivos: Ayudan a la investigación y
corrección de las causas de riesgo (ej: verificación de
logs, reinicio de sistema, reconfiguración de equipos)
4. Principales controles lógicos y
físicos
Autenticidad: validación de datos
Redundancia: evitan duplicidad de datos
Privacidad: encriptación o codificación de
datos
Protección de activos: proteger la
información y el hardware que la maneja
Efectividad: medidas de calidad y
satisfacción, el cliente queda satisfecho
Eficiencia: monitorear desempeño del
sistema, costo-beneficio, tiempos de
respuesta
5. Controles En Las Contraseñas
Periodicidad de cambio de claves de
acceso: los cambios de clave deben ser
periódicos y obligatorios.
Combinación de alfanuméricos en claves de
acceso: las claves generadas deben ser lo
mas indescifrables e ininteligibles posibles,
deben ser:
Individuales
Confidenciales
No significativas
6. Verificación de datos de
entrada
Además de la difícil tarea de verificar la
exactitud o veracidad de los datos, validar
los datos de entrada es asegurarse que exista
COMPATIBILIDAD de los datos de entrada
con los tipos definidos en el sistema
Conteo de registros: se cuentan los registros
ingresados contra el numero de operaciones
atendidas en registros manuales
Totales de control: se generan totales en
base a los registros de la base de datos y se
comparan con conteos y totales manuales
7. Software de protección de
datos
Características:
Restringe el uso del computador para que solo
acceda a las funciones o programas autorizados.
Restringe la información para que no pueda ser
vista por otros usuarios que puedan hacer mal
uso.
Algunos programas permiten encriptar la
información o simplemente hacerla inentendible
a los usuarios.
Ejemplos: Watchdog, Secure Disk, PGP (archivos)
8. Control Interno Informático:
Procesamiento de Datos
Controles
de:
Preinstalación
Organización y planificación
Sistemas en desarrollo y producción
Procesamiento
Operación
Uso de microcomputadores
9. Controles de preinstalación
Objetivos:
Garantizar que el hardware y el software que
se hayan adquirido proporcionen los mayores
beneficios y prestaciones de acuerdo a los
recursos de la empresa
Acciones:
Elaborar un informe técnico en el que se
justifique la compra del equipo, software y
servicios, es decir estudio costo-beneficio.
10. Controles de organización y
planificación
Objetivo:
Definir funciones, línea de autoridad y
responsabilidades dentro las unidades del
área informática.
Acción:
El área de informática debe estar
estrechamente ligada con punta de la
pirámide administrativa de manera que
hayan menos obstáculos para el
cumplimiento de objetivos.
11. Controles de sistema en
desarrollo y producción
Objetivos:
Analizar el costo-beneficio que proporcionan los
sistemas que se han desarrollado para la
empresa.
Analizar la calidad tanto del producto final así
como del proceso de desarrollo, documentación
e implementación.
Acciones:
El personal de auditoria debe formar parte del
grupo de diseño para sugerir y solicitar la
implementación de rutinas de control (evaluación
estratégica de sistemas)
12. Controles de procesamiento
Objetivo:
Asegurar que todos los datos sean
procesados en los procesos correspondientes.
Garantizar la exactitud de los datos
procesados.
Acción:
Capacitar a los usuarios sobre el uso del
sistema, que sigan los pasos adecuados.
Validar datos de entrada para tener los datos
de salida correctos.
13. Controles de operación
Objetivos:
Prevenir y detectar errores accidentales que
puedan ocurrir en el centro de computo.
Garantizar la integridad de los recursos
informáticos, buen uso del computo.
Acciones:
El acceso a servidores o centros de computo solo
a personal autorizado.
Claves y passwords especiales a los
administradores de sistemas.
Asegurarse de que existe protección eléctrica
como reguladores de voltaje y UPS’s
15. Controles en el uso del
computador
Objetivo:
Evitar que las terminales o estaciones de trabajo
se conviertan en puertas de entrada para la
manipulación fraudulenta de datos.
Evitar que las terminales se conviertan en focos de
infección de virus.
Acciones:
Establecer políticas de grupos que restrinjan el uso
del computador solo a los programas necesarios
Asegurarse de las garantías de los equipos y
mantenimientos.
16. El caso del cumpleañero
Yung-Hsun Lin era sysadmin en una gran
compañía médica. Cuando pensó que sería
despedido, insertó un script en los servidores de la
compañía que borraría las bases de datos el día
de su cumpleaños, al año siguiente.
Pero no lo despidieron, y por alguna razón no
removió el script, pero se aseguró de que no se
iniciara como estaba planeado. Esto no funcionó
del todo bien, porque sí se ejecutó en la fecha
indicada, pero no causó daño debido a un error
de programación. Pero decidió corregir el script y
cambiar la fecha para el año siguiente, sólo por si
acaso. Otro sysadmin descubrió el código y dio la
alarma.