El documento define el control interno informático como el sistema para asegurar la protección de los recursos informáticos y mejorar la economía, eficiencia y efectividad de los procesos automatizados. Explica que existen controles manuales y automáticos, y que los controles se clasifican en preventivos, detectivos y correctivos. Además, detalla las diferentes áreas de aplicación del control interno informático, incluyendo la organización, el desarrollo y mantenimiento de sistemas, la explotación de sistemas y las aplicaciones.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUTOEVALUACIONES Y EVALUACIONES DE: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN, METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI YDEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.
Similar a Control a los sistemas de informacion (20)
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
3° UNIDAD 3 CUIDAMOS EL AMBIENTE RECICLANDO EN FAMILIA 933623393 PROF YESSENI...
Control a los sistemas de informacion
1. CONTROL INTERNO INFORMÁTICO
Definiciones
El Control Interno Informático puede definirse como el sistema integrado al
proceso administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos
informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados. (Auditoría Informática - Aplicaciones en
Producción - José Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los procedimientos,
las prácticas y las estructuras organizativas diseñadas para proporcionar
seguridad razonable de que los objetivos de la empresa se alcanzarán y que los
eventos no deseados se preverán, se detectarán y se corregirán.
También se puede definir el Control Interno como cualquier actividad o acción
realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G.
Plattini)
OBJETIVOS PRINCIPALES:
• Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas
• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
• Definir, implantar y ejecutar mecanismos y controles para comprobar el
grado de cumplimiento de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.
Tipos
En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
Controles Automáticos; son generalmente los incorporados en el
software, llámense estos de operación, de comunicación, de gestión de
base de datos, programas de aplicación, etc.
2. Los controles según su finalidad se clasifican en:
Controles Preventivos, permiten anticiparse a la ocurrencia de un hecho
riesgoso, dañino o fraudulento, a un sistema informático.
INCLUYA EN EL MAPA 3 EJEMPLOS DE CONTROLES PREVENTIVOS
EN INFORMÁTICA.
Controles Detectivos; tratan de descubrir a posteriori errores, daños o
fraudes que no haya sido posible evitarlos con controles preventivos.
INCLUYA EN EL MAPA 2 EJEMPLOS DE CONTROLES DETECTIVOS EN
INFORMÁTICA.
Controles Correctivos; tratan de asegurar que se corrijan todos los errores
identificados con los controles detectivos.
INCLUYA EN EL MAPA 2 EJEMPLOS DE CONTROLES
CORRECTIVOS EN INFORMÁTICA.
CONTROL INTERNO INFORMÁTICO (FUNCIÓN)
El Control Interno Informático es una función del departamento de Informática de
una organización, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de información automatizados se realicen cumpliendo
las normas, estándares, procedimientos y disposiciones legales establecidas
interna y externamente.
Entre sus funciones específicas están:
Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de programadores, técnicos y operadores.
Diseñar la estructura del Sistema de Control Interno de la Dirección de
Informática en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicación.
Explotación de servidores principales
Software de Base
Redes de Computación
Seguridad Informática
Licencias de software
Relaciones contractuales con terceros
3. Cultura de riesgo informático en la organización
CONTROL INTERNO INFORMÁTICO (SISTEMA)
Un Sistema de Control Interno Informático debe asegurar la integridad,
disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o
actividades de control.
Estos controles cuando se diseñen, desarrollen e implanten, deben ser sencillos,
completos, confiables, revisables y económicos.
Para implantar estos controles debe conocerse previamente la configuración de
todo el sistema a fin de identificar los elementos, productos y herramientas que
existen y determinar de esta forma donde se pueden implantar, así como para
identificar los posibles riesgos.
Para conocer la configuración del sistema se deberá documentar:
Entorno de Red: esquema, configuración del hardware y software de
comunicaciones y esquema de seguridad de la red.
Configuración de los servidores desde el punto de vista físico, sistema
operativo, biblioteca de programas y conjunto de datos.
Configuración de aplicaciones: proceso de transacciones, sistema de
gestión de base de datos y entorno de procesos distribuidos
Productos y herramientas: software de programación diseño y
documentación, software de gestión de biblioteca.
Seguridad del servidor principal: sistema de registro y acceso de usuarios,
identificar y verificar usuarios, integridad del sistema
Una vez que se posee esta documentación se tendrá que definir:
Políticas, normas y técnicas para el diseño e implantación de los sistemas
de información y sus respectivos controles.
Políticas, normas y técnicas para la administración del centro de cómputo y
redes de computadores y sus respectivos controles.
Políticas y normas que aseguren la integridad, confidencialidad y
disponibilidad de los datos y sus respectivos controles.
Políticas y normas que rijan los procedimientos de cambios, pruebas
actualización de programas y sus respectivos controles.
Políticas y normas de instalación, actualización y uso de licencias del
4. software de base, de red y de usuario y sus respectivos controles.
Políticas y normas que permitan implantar en la organización una cultura de
riesgo informático, la misma que comprenderá los siguientes entornos:
Dirección General, a través de políticas generales sobre los sistemas de
información respecto al tipo de negocio de la misma.
Dirección de informática, a través de la creación y difusión de
procedimientos, estándares, metodologías y normas aplicables a todas las
áreas de informática así como de usuarios.
Control Interno Informático, definirá los controles periódicos a realizar en
cada una de las funciones informáticas, de acuerdo al nivel de riesgo de
cada una de ellas y serán de carácter preventivo, detectivo y correctivo.
Auditoría Informática Interna; revisará periódicamente la estructura de
control interno tanto en su diseño como en su cumplimiento por parte de
cada una de las áreas definidas en él y de acuerdo al nivel de riesgo.
CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)
CONTROLES EN LA ORGANIZACIÓN
Son la base para la planificación, control y evaluación por la Dirección
General de las actividades del Departamento de Informática, y debe
contener la siguiente planificación:
Plan Estratégico de Información realizado por el Comité de Informática.
Plan Informático, realizado por el Departamento de Informática.
Plan General de Seguridad (física y lógica).
Plan de Contingencia ante desastres.
CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACION
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de
datos, protección de recursos y cumplimiento con las leyes y regulaciones a través
de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.
CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION
Tienen que ver con la gestión de los recursos tanto a nivel de planificación,
adquisición y uso del hardware así como los procedimientos de, instalación y
5. ejecución del software.
CONTROLES EN APLICACIONES
Toda aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento completos y exactos de los datos.
CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS
Tienen que ver con la administración de los datos para asegurar su integridad,
disponibilidad y seguridad.
CONTROLES INFORMATICOS SOBRE REDES
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y
funcionamiento de las redes instaladas en una organización sean estas centrales
y/o distribuidas.
CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del
hardware como del software de usuario, así como la seguridad de los datos que
en ellos se procesan.