El documento presenta las pautas de un sistema de control interno para el laboratorio de informática de una universidad. Establece objetivos como garantizar que la universidad alcance sus metas educativas y el buen funcionamiento de los equipos informáticos a través de políticas de seguridad, organización y capacitación del personal. Incluye ejemplos de controles sobre hardware, software, recursos humanos y procedimientos para el registro y mantenimiento de equipos.

1. Control Interno Auditoria Informática

2. El Control Interno El grado de fortaleza del Control Interno determinará si existe seguridad razonable de las operaciones, actividades y procedimientos informáticos y si son confiables o no.

3. Concepto de CI El control Interno (CI) comprende la estructura, las políticas, el plan de organización, el conjunto de métodos y procedimientos y las cualidades del personal que aseguren: Que los activos estén debidamente protegidos. La valides de la información en general. Que las actividades se desarrollen eficazmente. Que se cumplan las políticas y directrices marcadas por la dirección.

4. Control Interno Contables Tienen como objetivo básico establecer una relación directa o efecto sobre las cifras de los estados financieros: Métodos y procedimientos relacionado que tiene que ver con la protección de los activos. Autorización de las operaciones financieras. Asegurar la exactitud de los registros financieros.

5. Control Interno Administrativo Tienen como objetivo básico establecer: Plan de organización. Métodos y procedimientos relacionado con la eficiencia de las operaciones y actividades. Adhesión a las políticas gerenciales.

6. Tipos de control Controles de existencia. Aquellos que aseguran que las actividades organizadas existan y sean validas. Controles de exactitud. Son los que permiten registrar las actividades y operaciones por los montos y detalles que reflejan los documentos.

7. Tipos de control Controles de autorización Están orientados a permitir operaciones y/o actividades que sean validas desde el punto de vista interno. Controles de custodia Sirven para asegurar que los activos valioso movibles, estén resguardados del riesgo de robo o perdida.

8. NOTA El CI abarca todo tipo de controles, sin embargo, el CI confiere una seguridad razonable, pero no absoluta, de que los objetivos mismos se cumplirán.

9. EJEMPLO DE CI PARA EL LABORATORIO DE INFORMATICA DE U - ESTELI

10. Introducción Es imperativo que toda actividad se encuentre adecuadamente organizada y que se ejecute con base a un ordenamiento previamente definido, que dirija las actividades de todos aquellos que participan, a fin de que se logren los objetivos cualquiera que sean, adicionalmente se debe tener un sistema de retroalimentación que permita verificar el logro de los objetivos propuestos y determinar las acciones correctivas en caso de distorsiones no planificadas. El presente manual de Control Interno (CI), constituye una norma de cumplimiento, en el cual se indican requisitos mínimos del Control Interno Informático a implementar desde el punto de vista administrativo.

11. Objetivo del CI Garantizar que la universidad alcance sus objetivos, velando por el buen funcionamiento y el optimo desempeño que puedan generar los “Equipos y Sistemas Informáticos” del laboratorio de informática U – Estelí.

12. Visión Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyan a optimizar la administración de los recursos informáticos de la U X, sede Estelí.

13. Misión Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares internacionales desarrollados para tal fin.

14. Alcance del CI El ámbito de aplicación del manual de normas y políticas de seguridad informática, es la infraestructura tecnológica y entorno informático de la red institucional de U-ESTELI. El ente que garantizará la ejecución y puesta en marcha de la normativa y políticas de seguridad, estará bajo el cargo de la Unidad de Informática, siendo el responsable absoluto de la supervisión y cumplimiento, el Coordinador de carrera de Ingeniería en Sistemas, supervisados por la vice-rectoría académica.

15. Organización del CI Objetivos de control para: Generales o de Integridad, Políticas de Seguridad, Políticas de Seguridad para Hardware & Software, Políticas de RRHH

16. Ejemplo Objetivos de Control: Los servicios de la red institucional son de exclusivo uso académico, de investigación, técnicos y para gestiones administrativas, cualquier cambio en la normativa de uso de los mismos, será expresa y adecuada como política de seguridad en este documento. La coordinación de carrera de Ingeniera en Sistemas de información, es responsable de la elaboración de planes a corto y largo plazo relacionados con el laboratorio de informática de U, sede Estelí.

17. Ejemplo Objetivos de Control: Informar sobre problemas de seguridad a la alta administración universitaria. Toda acción debe seguir los canales de gestión necesarios para su ejecución Poner especial atención a los usuarios de la red institucional sobre sugerencias o quejas con respecto al funcionamiento de los activos de información. El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al usuario administrador.

18. Ejemplo Objetivos de los Controles Generales o de Integridad Preservar los atributos de la información Brindar apoyo competitivo Mantener la continuidad y consistencia Apoyar la eficiencia operativa Mantener una cultura informática adecuada. Apoyar la protección del Patrimonio. Emplear los recursos TI adecuadamente

19. Ejemplo Debe existir Registros de: Equipos existentes. Softwares instalados en cada equipo. Mantenimientos realizados a cada equipo firmados por el proveedor, soporte técnico y usuario.

20. Ejemplo Políticas de Seguridad Generales Conocer y aplicar las políticas y procedimientos apropiados en relación al manejo y uso de los equipos informáticos. El usuario acatará las disposiciones expresas sobre la utilización de los servicios informáticos de la red institucional. No permitir y no facilitar el uso de los sistemas informáticos del laboratorio de informática a personas no autorizadas.

21. Ejemplo Políticas de Seguridad Hardware Los computadores del laboratorio de Informática de U – Estelí, sólo deben usarse en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos. Es responsabilidad de los docentes, velar que los alumnos dejen apagadas las computadoras, baterías y el orden respectivo del mobiliario al finalizar las clases. Debe respetarse y no modificar la configuración de hardware y software establecida por el Encargado del laboratorio de Informática de U – Estelí.

22. Ejemplo Políticas de Seguridad Hardware Como medida de higiene y de seguridad del equipo físico informático (Hardware), queda totalmente prohibido sin excepción alguna el fumar, ingerir bebidas o alimentos mientras se estén utilizando las estaciones de trabajo, impresoras y cualquier otro equipo que tenga que ver con la infraestructura informática, ya que este tipo de práctica pone en riesgo el buen funcionamiento de los dispositivos. Los equipos deben marcarse para su identificación y control de inventario. Los registros de inventarios deben mantenerse actualizados.

23. Ejemplo Políticas de Seguridad Hardware No pueden moverse los equipos o reubicarlos sin permiso. Será responsabilidad del encargado del equipo de trabajo; el velar por el buen funcionamiento y cuidado del computador; por lo tanto si este último llegase a quebrantar negligentemente la política “referida a la higiene y seguridad del equipo físico informático”, recaerán sobre este todas las acciones pertinentes, para lograr que la estación de trabajo se mantenga funcionando en su estado normal entre las acciones están: Reemplazo total o parcial del equipo afectado.

24. Ejemplo Políticas de Seguridad Software Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al Encargado del Laboratorio de Informática y poner la PC en cuarentena hasta que el problema sea resuelto. Debe utilizarse un programa antivirus para examinar todo software que venga de afuera (Internet) o inclusive de otras áreas de U.

25. Ejemplo Políticas de Seguridad Software Se prohíbe la descarga de software que no haya sido indicado por docentes para el desarrollo de las clases practica. Se prohíbe la instalación de juegos, descarga de música, películas, videos o cualquier otro pasatiempo. Cada uno de los software instalados en el laboratorio de informática U – Estelí, cuente con la documentación requerida para su aprobación. Los encargados del laboratorio deben establecer procedimientos para verificar periódicamente la existencia de software no autorizado.

26. Ejemplo Políticas de RRHH Los docentes deben pasar por escrito la lista de software a utilizar durante el trimestre de clase con el plan calendario, o al menos una semana antes de empezar a utilizarlo, con el fin de que este sea instalado por los encargados del laboratorio. Los usuarios del laboratorio deben anotarse en la hoja de control de acceso al laboratorio indicando la fecha, nombre completo, periodo de tiempo y la estación de trabajo que utilizo.

27. Ejemplo Políticas de RRHH Se deben realizar capacitaciones periódicas relativas a la TI para optimizar la efectividad del recurso humano. Se deben realizar simulacros para situaciones de emergencia que puedan presentar en el laboratorio de U-Estelí. El gestor de seguridad monitoreara las acciones y tareas de los usuarios de la red institucional. Toda acción debe seguir los canales de gestión necesarios para su ejecución.