El documento contiene preguntas sobre controles internos informáticos. 1) Los controles detectivos son usados para identificar fallas en los controles preventivos. 2) La Dirección de Informática define las directrices para los sistemas de información en base a las exigencias del negocio. 3) El Plan Informática garantiza la confidencialidad, integridad y disponibilidad de la información.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Maria gabriela martinez cantos autoevaluacion
1. AUTOEVALUACION 1
1. (F) El control Interno Informático asegura que las medidas de los mecanismos
implantados sean solamente correctas.
2. (F) La Auditoria informática es el proceso de recoger evidencias para determinar si un
control e válido.
3. (F)Los informes del Control Interno Informático son envidos a la Dirección de
Departamento de Informática.
4. (V)Los Controles Detectivos son usados para conocer donde está la falla porque el
control preventivo no funcionó.
5. (F)Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de
información se ejecuten.
6. Cuál de los controles de la siguiente lista no es un control general organizativo.
a. Estándares
b. Políticas
c. Metodología del Ciclo de Vida
d. Políticas del Personal
7. Dentro de los controles generales organizativos-planificación, a que planes se debe
efectuar el control:
a. Plan a corto, mediano y largo plazo
b. Plan Estratégico de Información, Informático, General de Seguridad y de
emergencia de desastre.
c. Plan de gestión de recursos.
d. Plan de procedimientos de elección de sw y hw.
8. (V)El auditor es el responsable de revisar e informar a la Dirección de Informática el
funcionamiento de los controles implantados.
9. (V) La Dirección de Informática, define las directricespara los istemas de información
en base a la exigencia del negocio, que podrán ser internas o externas.
10. (V) El Plan Informática, garantiza la confidencialidad, integridad y disponibilidad de la
información.
CUESTIONARIO DE REPASO DEL LIBRO
1. ¿Qué cambios en las empresas provocan tensión en el control interno existente?
Cambio en el Sistema Informatico
Cambio de Autoridades
Rotación de Puestos
Falta de conocimiento de los objetivos
2. ¿Cuáles son las funciones del control interno informático?
a. El cumplimiento de procedimientos, normas y controles dictados
b. Controles sobre la producción diaria
c. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informático.
d. Controles en las redes de comunicaciones.
e. Controles sobre el software de base
f. Controles en los sistemas microinformáticos
2. g. La seguridad informática
3. ¿Cuáles son los objetivos de la Auditoria Informática?
a. Objetivos de protección de activos e integridad de datos
b. Objetivos de gestión que abarcan, no solamente los de protección de activos,
sino también los de eficacia e eficiencia.
4. ¿Cuálessonlassemejanzasydiferenciasentre Control InternoyAuditoríaInformática?.
SEMEJANZAS
Personal Interno
Conocimientos especializados en Tecnología de la Información
Verificación del cumplimiento de controles internos, normativa y
procedimientosestablecidosporlaDirecciónde InformáticayDirecciónGeneral
para los sistemas de información.
DIFERENCIAS
CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO
Análisis día a día Análisis de un momento informático
determinado
Informa a la Dirección del Departamento de
Informática
Informa a la Dirección General de la
Organización
Sólo personal interno Personal Interno y Externo
Alcance de funcionesesúnicamente sobre el
departamento de Informática
Tiene cobertura sobre todos los
componentesde lossistemasde información
de la Organización
5. Ponga ejemplos de controles correctivos en diversas áreas informáticas.
6. ¿Cuáles son los principales controles en el área del desarrollo?
Metodología del ciclo de vida del desarrollo de sistemas
o La alta dirección debe publicar una normativa sobre el uso de
metodología de ciclo de desarrollo de sistemas y revisar esta
periódicamente
Metodología debe establecer los papeles responsabilidades de las distintas
áreas del Departamento de informática y de los usuarios, así como la
composición de responsabilidades del equipo del proyecto.
Las especificaciones del nuevo sistema debenser definidas por los usuarios y
quedarescritasy aprobadasantesde que comience el proceso de desarrollo.
Establecer un estudio tecnológico de viabilidad en el cual formulen forma
alternativos de avanzar los objetivos del proyecto.
Cuando se seleccione la alternativa debe realizarse el plan director del
proyecto.
Procedimientos para la definicióny documentación de especificaciones de :
diseño, de entrada, de salida, de ficheros, de procesos, de programas, de
controles de seguridad de pistas de auditoria.
Plan de validación, verificación y pruebas
3. Estándares de pruebas de programas, de prueba de sistemas.
Plan de conversión; prueba de aceptación final
Los procedimientosde adquisiciónde software deberánseguirlaspolíticasde
adquisición de la Organización y dichos productos deberán ser probados y
revisados antes de pagar por ellos y ponerlos en uso.
La contrataciónde programasde serviciosdeprogramaciónmedidahade estar
justificada mediante una petición escrita de un director de proyecto
Preparamanualesde operaciónymantenimientocomopate de todoproyecto
de desarrollo o modificación de sistemas de información.
7. ¿Qué procesos definiría para controlar la informática distribuida y las redes?
Planes adecuados de implantación, conversión y pruebas de aceptación para
la red.
Controles para asegurar la compatibilidad del conjunto de datos entre
aplicaciones cuando la red es distribuida.
Existencia de inventarios de todos los activos de la red
Procedimientos de respaldo del hardware y software de la red
Existencia de inventario de todos los activos de la red
8. ¿Qué controles se deberían establecer en las aplicaciones?
a. Control de entrada de datos
b. Controles de tratamientos de datos para asegurar que no se dan de alta,
modifican o borran datos no autorizados para garantizar la integridad de los
mismos mediante procesos no autorizados.
c. Controles de salidas de datos : sobre el cuadre y reconciliación de salidas,
procedimientosde distribuciónde salidas, de gestiónde erroresenlassalidas.
9. ¿Cómo justificaría ante un directivo de empresa la inversión necesaria en control y
auditoría informática?
Primeroidentificaríamoslanecesidadde tenerunSistemaquegarantice laseguridady
calidad de información
10. Describa la informática como modo de estructuración de las empresas.
Sistema de Información: Compuesto de Información, Personas y Recursos
AUTOEVALUACION 2
Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada
pregunta de múltiples opcioneso caso contrario conteste Vsi es verdadero o F si es falso):
1. ( V )El método es un conjunto de herramientas y técnicas, que juntas, dan como
resultado un producto en particular.
2. ( V ) El factor más importante de una contramedidaesla Organización,ya que sin
él, nada es posible.
3. Cuando hablamos de la situación creada por la falta de uno o varios controles, nos
referimos
a. Amenaza
4. b. Vulnerabilidad
c. Riesgo
d. Impacto
4. Si la organización crea/tiene un sistema de detección y extinción de incendios,es para
que el riesgo sea:
a. Evitado
b. Transferido
c. Reducido
d. Asumido
5. ( F ) Las metodologíascualitativassonbasadasenel criterioy raciociniohumano
capaz de definir un proceso de trabajo y seleccionar en base a la experiencia.
6. ( V ) Las metodologíasde Análisisde Riesgoestándesarrolladasparalaidentificación
de la falta de controles y el establecimiento de un plan de contramedidas.
7. ( F ) En este sentido, la Seguridad Informática sirve para la protección de la
información,encontrade amenazasopeligros,paraevitardañosyparamaximizarriesgos,
relacionados con ella.
8. ( F ) La Gestiónde Riesgoesunmétodosoloparaclasificarel riesgoyposteriormente
implementar mecanismos que permitan controlarlo.
9. ( V )En la Seguridad de la Información el objetivo de la protección son los datos
mismos y trata de evitar su perdida y modificación no-autorizado.
10.( V )El objetivo de la protección de datos no son los datos en sí mismo, sino el
contenido de la información sobre personas, para evitar el abuso de ésta.
11.( V )Los Elementos de información son todos los componentes que contienen,
mantienen o guardan información. También se los conoce como Activos o Recursos.
5. 12.( F ) Una Amenazaeslaposibilidadde ocurrenciade cualquiertipode evento
o acción que no puede producir un daño.
13. ( F ) Riesgo = Probabilidad de Amenaza x Vulnerabilidad.
14.( V ) Plande Contingenciasesunaestrategiaplanificadaconstituidaporun
conjunto de recursos, una organización de emergencia y unos procedimientos.
15. Las fases de un Plan de Contingencias son:
a. Análisis y Diseño.
b. Desarrollo del Plan
c. Pruebas y
Mantenimiento
d. Todas las
anteriores
16. ( F ) El Plandel AuditorInformáticoeselmismoque elPlande Contingencias.
17.Cuandose hablade unvalordefinidoque permitedefinirlafechade larepeticiónde la
misma auditoría, en base a la evaluación final de la última auditoría realizada sobre ese
tema, se refiere a :
a. Funciones
b. Procedimi
c. Planes
d. Nivel de Exposición
18.( V ) En el Plande trabajoanual se debe estimartiemposde maneraracional
y componerun calendarioque dé un resultadode horasde trabajo previstasy,portanto,
los recursos que se necesitarán.
6. PREGUNTAS CAPITULO 2
1. Describa brevemente qué es el Ciclo de Deming. ¿De qué fases consta?
a. PLAN: Planificación de los objetivos y procesos necesarios para alcanzar los
resultados de acuerdo a las políticas de la empresa
b. DO: Implementación del proceso
c. CHECK: Revisión y monitorización de los procesos
d. ACT: Ejecutar acciones para mejorar continuamente los procesos
2.¿Cuál es la relación entre el motor y el PDCA en los Sistemas de Gestión de las TIC?
Los ámbitosdonde el PDCA esel motor y el conocimientode lasTIC esmuy variado.
El conocimiento es la guía de buenas prácticas, es la base de datos de los controles
3.¿Qué es el conocimientoenel modeloMotor-Conocimientode losSistemasde Gestión
de las TIC?
El conocimiento en el modelo Motor-Conocimiento es la guía de buenas prácticas que
desde laperspectivade losSistemasde Información, lodefinimoscomorepositorioobase de
datos de controles
4.En un SGSI-Sistema de Gestiónde la Seguridadde la Información, ¿cuál sería la base o
fundamento del sistema?
La Norma UNE ISO/IEC 27001:2007 y en la norma UNE ISO /-IEC27002
5.En la metodología Evaluación de Riesgos, explique brevemente las pruebas de
cumplimiento y sustantivas.
Las pruebas de cumplimiento consisten en recolectar evidencia con el propósito de probar el
cumplimiento de una organización con procedimientos de control. Esto difiere de la prueba
sustantiva, en la que la evidencia se recoge para evaluar la integridad de transacciones
individuales, datos u otra información.
6.En un modelode Certificaciónde sistemasde Gestiónde Tic, explique brevemente qué
es la Visita previa y la Auditoría Inicial.
VISITA PREVIA: Es la primeravisitaque hace el auditorexternorevisarael motor del
Sistema de gestión y emitirá un informe con observaciones al respecto.
AUDITORIA INICIAL: Se realizaraluegode un tiempoprudencial de realizadalavisita
previa, en esta se revisara el motor y conocimiento con la metodología EDR y se
emitiráun informe conlas conformidadesono conformidades,para que se emitala
certificación.
7. AUTOEVALUACION 3
1. ( V ) SegúnCOSO, el control internoes un proceso,ejercidoporel consejo
de administración de la organización, diseñado para proporcionar seguridad razonable.
2. ( V ) Los recursos de información son usados por la organización para
soportar sus procesos operativos o de negocios.
3. ( V ) Un recurso de información son las PERSONAS.
4. ( F ) El departamentode auditoríade losSI,puede estarubicadoencualquier
parte de la organización.
5. ( F ) No son necesarioslosrecursoseconómicosenel departamentode
auditoría de los SI.
6. ( F ) El estatutode auditoríade losSIescualquierdocumentodondesolamente
conste los objetivos que se quieren lograr en la auditoría.
7. ( F ) El estatuto debe ser privado y sólo debe conocerlo el auditor y el
auditado.
8. ( V ) El primer paso para AUDITAR es establecer ¿Qué se debe auditar?.
9. ( V ) El análisisde riesgoesestablecerunamedidade importanciarelativaa
cada uno de los elementos de la organización a auditar.
10. ( F ) Cualquierpersonade cualquierperfil puede conformarel equipode
auditoria de SI.
11.( V ) Una de lascaracterísticasmás importantesal seleccionaral personal del
equipo de auditoría de SI, es que tenga un magnífico trato con las personas.
12.( F ) Trato con las personas significa que debe ser paciente, prudente y
flexible, y no defender sus puntos de vista.
8. 13.( F ) El principio de comportamiento profesional significa que el auditor
debe estar plenamente capacitado para la realización de la auditoría.
14.( V ) El auditor debe ser plenamente consciente del alcance de sus
conocimientos y de su capacidad para desarrollar la auditoría.
15.( F ) El auditorestáen libertadde usarlos conocimientosadquiridosenuna
auditoría y usarlos en contra del auditado.
16.( V ) El auditor debe tener un secreto profesional sobre la información
obtenida durante la auditoría.
17.( V ) El auditor deberá actuar en la auditoría con criterio propio, así lo
dictamina el principio de independencia.
18. ( V ) El auditor deberá proteger los derechos económicos del auditado.
19.( F ) Es necesario que el auditor sea veraz en la información que dé en la
auditoría, aunque ésta no esté respaldada.
20.( F ) El auditor no se puede negar a participar en actividades ilegales o
impropias de la auditoría.
PREGUNTAS DE LIBRO BASE CAPITULO 3
1.¿ Qué diferencia y similitudes existen entre las metodologías cualitativas y las
cuantitativas? ¿Qué ventajas y qué inconvenientes tiene?
CUANTITATIVA CUALITATIVA
PROS Enfoca pensamientosmediante el uso
de números.
Facilita la comparación de
vulnerabilidades muy distintas
Proporcionaunacifrajustificantepara
cada contramedida
Enfoque amplio que se desee.
Plande trabajo flexibleyreactivo
Incluye factores intangibles
CONTRAS Estimación de probabilidad de
estadísticas fiables inexistentes.
Estimaciónde laspérdidaspotenciales
sólo si son valores cuantificables.
Metodología estándares.
Difíciles de mantener o modificar
Dependencia de un profesional
Depende fuertemente de la
habilidad y calidad del personal
involucrado.
Pueden excluir riesgos
significantes desconocidos .
Identificación de eventos reales
más claros al no tener que
aplicarles probabilidades
complejas de calcular.
9. Dependencia de un porfesional
2.¿Cuáles son los componentes de una contramedida o control (pirámide de la
seguridad)?¿Qué papel tiene las herramientas de control?¿Cuáles son las
herramientas de control más frecuentes?
Los componentes de una contramedida son: Normas, Organización, Metodologías,
Objetivos de Control Tecnología de Seguridad y Herramientas.
HERRAMIENTAS : Las herramientas juegan el papel de definir uno o varios
procedimientos de control, para cumplir una normativa y un objetivo de control
Las herramientas de control (software) más comunes son:
Seguridad lógica del sistema Seguridad lógica del sistema
Seguridad lógica complementaria al sistema
Seguridad lógica para entornos distribuidos.
Control de acceso físico
Seguridad lógica para entornos distribuidos.
Control de copias
Gestión de soportes magnéticos
Gestión y control de impresión y envíos de listados por red.
Control de proyectos
Control de versiones
Control y gestión de incidencias
Control de cambios
3.¿Qué tiposde metodologíasde Plande Contingenciasexisten?¿Enqué se usacadauna?
LAS DE RISCK ANALISIS: Se basan en el estudio de los posiblesriegos desde el punto
de vista de probabilidad de que los mismos sucedan.
BUSSINES IMPACT: Se basan en el estudio del impacto (pérdida económica o de
imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del
negocio.
4.¿Qué metodologías de auditoría informática existen?¿Para qué se usa cada una?
AUDITORIAS DE CONTROLES GENERALES: Dan un opinión sobre la habilidad de los
datos del computados para la Auditoria financiera, cuyo resultado es un informe
donde se destacan las vulnerabilidades encontradas
AUDITORES INTERNOS: Esta formada por recomendaciones de Plan de Trabajo;
deberán hacer cuestionarios y definir cuantas pruebas estimen oportunas; además
debe crear sus metodologíasnecesariasparaauditaráreas o aspectosque se definan
en el Plan del Auditor.
5.¿Qué es el nivel de exposición y para qué sirve?
Es el grado del efecto o consecuencia cuando el riesgo se materializa, nos
sirve para identificar el riesgo
6.¿Qué diferencias existen entre las figura de auditoría informática ya control interno
informático?¿Cuáles son las funciones más importantes de éste?
DIFERENCIAS
CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO
Análisis día a día Análisis de un momento informático
determinado
10. Informa a la Dirección del Departamento de
Informática
Informa a la Dirección General de la
Organización
Sólo personal interno Personal Interno y Externo
Alcance de funcionesesúnicamente sobre el
departamento de Informática
Tiene cobertura sobre todos los
componentesde lossistemasde información
de la Organización
7.¿Cuáles son las dos metodologías más importantes para el control interno
informático?¿Para qué sirve cada una?
8.Qué papel tienen las herramientas de control en los controles?
9.¿Cuáles son los objetivos de control en el acceso lógico?
OBJETIVOS DE CONTROL DE ACCESO LOGICO OBJETIVOS DE CONTROL DE ACCESO
LOGICO
• Segregación de funciones entre los usuarios del sistema productores de software,
software, jefes de proyecto, técnico de sistemas, operadores de explotación,
operadores,telecomunicaciones,grupode usuariosde aplicaciones,administradorde la
seguridad, lógica, auditoria, auditoria, y tantos se designen
•Integridad de los “LOG” e imposibilidadde desactivarlosporningún perfil para poder
revisarlos.
•Gestión centralizada de la seguridad o al menos única.
•Contraseña única para los distintos sistemas de la red y la autentificación de entrada
una sola vez. Y una vez dentro, controlar los derechos de uso.
•La contraseña y archivos con perfiles yderechos y las inaccesiblesatodos,incluso los
administradores seguridad.
•El sistema rechazar a los usuarios que no usan la clave del sistema correctamente,
inhabilitando y avisando a control que tomará las medidas oportunas.
•Separación entornos
•El LOG o los LOGs de actividad no podrán desactivarse a voluntad, y si se educa de su
integridad o carencia, resolver con un terminal externo controlado.
•El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo el
conozca, que es la única garantía de autenticidad de sus datos.
•Es frecuente encontrar mecanismos de auto-LOGOUT, que expulsan del sistema la
terminal que permanece inactiva más de un tiempo determinado.
10. Qué es lacertificaciónde seguridad?¿Que aportalaISO17799?¿Qué metodologíasse
utilizan en el desarrollo de un SGSI?.
CERTIFICADO DE SEGURIDAD: Es el reconocimiento formal por parte de un tercer
independiente de un determinadosistema de Gestión, son una medida de confianza
adicional para las personas que visitan y hacen transacciones en su página web, le
permite cifrarlosdatosentre el ordenadordel clienteyel servidorque representaala
página.
ISO 17799 ofrece recomendaciones para realizar la gestión de la seguridad de la
información, adoptada en España como norma UNE-ISO/IEC 17799.
11. Proporciona información precisa acerca del nivel de cumplimiento de la norma a
diferentes niveles: global, por dominios, por objetivos y por controles.
Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal