El documento describe varios tipos y clasificaciones de controles, incluyendo controles preventivos, detectivos y correctivos. También cubre controles lógicos y físicos como autenticidad, redundancia, privacidad y protección de activos. Explica controles en procesos como procesamiento de datos, operaciones, uso de software y hardware.

1. Evaluación
de Controles
Etapa de Ejecución:
Auditar de los mecanismos
existentes.

2. Controles
 Son mecanismos de control, disminuye el
riesgo de una falla o error.
 Evita problemas en el sistema.
 Es cualquier tipo de proceso, ya sea
administrativo o computacional, que ha
sido desarrollado para verificar si se
cumplen las disposiciones, políticas o
parámetros de operación de la empresa.

3. Clasificación
 Tipos:
 Controles Preventivos : establece un parámetro
seguro, el cual eventualmente se puede sobre pasar a
riesgo del usuario (ej: backups del sistema en caso de
catástrofe, evita perdida total de datos)
 Controles Detectivos: son aquellos que no evitan que
ocurra el problema, porque no se puede evitar y alertan
del suceso negativo. (ej: puerto 3 del switch de red
desconectado, PC con tarjeta de red dañada)
 Controles Correctivos: Ayudan a la investigación y
corrección de las causas de riesgo (ej: verificación de
logs, reinicio de sistema, reconfiguración de equipos)

4. Principales controles lógicos y
físicos
 Autenticidad: validación de datos
 Redundancia: evitan duplicidad de datos
 Privacidad: encriptación o codificación de
datos
 Protección de activos: proteger la
información y el hardware que la maneja
 Efectividad: medidas de calidad y
satisfacción, el cliente queda satisfecho
 Eficiencia: monitorear desempeño del
sistema, costo-beneficio, tiempos de
respuesta

5. Controles En Las Contraseñas
 Periodicidad de cambio de claves de
acceso: los cambios de clave deben ser
periódicos y obligatorios.
 Combinación de alfanuméricos en claves de
acceso: las claves generadas deben ser lo
mas indescifrables e ininteligibles
posibles, deben ser:
 Individuales
 Confidenciales
 No significativas

6. Verificación de datos de
entrada
 Además de la difícil tarea de verificar la
exactitud o veracidad de los datos, validar
los datos de entrada es asegurarse que exista
COMPATIBILIDAD de los datos de entrada
con los tipos definidos en el sistema
 Conteo de registros: se cuentan los registros
ingresados contra el numero de operaciones
atendidas en registros manuales
 Totales de control: se generan totales en
base a los registros de la base de datos y se
comparan con conteos y totales manuales

7. Software de protección de
datos
 Características:
 Restringe el uso del computador para que solo
acceda a las funciones o programas autorizados.
 Restringe la información para que no pueda ser
vista por otros usuarios que puedan hacer mal
uso.
 Algunos programas permiten encriptar la
información o simplemente hacerla inentendible
a los usuarios.
 Ejemplos: Watchdog, Secure Disk, PGP (archivos)

8. Control Interno Informático:
Procesamiento de Datos
 Controles de:
 Preinstalación
 Organización y planificación
 Sistemas en desarrollo y producción
 Procesamiento
 Operación
 Uso de microcomputadores

9. Controles de preinstalación
 Objetivos:
 Garantizar que el hardware y el software que
se hayan adquirido proporcionen los mayores
beneficios y prestaciones de acuerdo a los
recursos de la empresa
 Acciones:
 Elaborar un informe técnico en el que se
justifique la compra del equipo, software y
servicios, es decir estudio costo-beneficio.

10. Controles de organización y
planificación
 Objetivo:
 Definir funciones, línea de autoridad y
responsabilidades dentro las unidades del
área informática.
 Acción:
 El área de informática debe estar
estrechamente ligada con punta de la
pirámide administrativa de manera que
hayan menos obstáculos para el
cumplimiento de objetivos.

11. Controles de sistema en
desarrollo y producción
 Objetivos:
 Analizar el costo-beneficio que proporcionan los
sistemas que se han desarrollado para la
empresa.
 Analizar la calidad tanto del producto final así
como del proceso de desarrollo, documentación
e implementación.
 Acciones:
 El personal de auditoria debe formar parte del
grupo de diseño para sugerir y solicitar la
implementación de rutinas de control (evaluación
estratégica de sistemas)

12. Controles de procesamiento
 Objetivo:
 Asegurar que todos los datos sean
procesados en los procesos correspondientes.
 Garantizar la exactitud de los datos
procesados.
 Acción:
 Capacitar a los usuarios sobre el uso del
sistema, que sigan los pasos adecuados.
 Validar datos de entrada para tener los datos
de salida correctos.

13. Controles de operación
 Objetivos:
 Prevenir y detectar errores accidentales que
puedan ocurrir en el centro de computo.
 Garantizar la integridad de los recursos
informáticos, buen uso del computo.
 Acciones:
 El acceso a servidores o centros de computo solo
a personal autorizado.
 Claves y passwords especiales a los
administradores de sistemas.
 Asegurarse de que existe protección eléctrica
como reguladores de voltaje y UPS’s

14. UPS profesionales

15. Controles en el uso del
computador
 Objetivo:
 Evitar que las terminales o estaciones de trabajo
se conviertan en puertas de entrada para la
manipulación fraudulenta de datos.
 Evitar que las terminales se conviertan en focos de
infección de virus.
 Acciones:
 Establecer políticas de grupos que restrinjan el uso
del computador solo a los programas necesarios
 Asegurarse de las garantías de los equipos y
mantenimientos.

16. El caso del cumpleañero
 Yung-Hsun Lin era sysadmin en una gran
compañía médica. Cuando pensó que sería
despedido, insertó un script en los servidores de la
compañía que borraría las bases de datos el día
de su cumpleaños, al año siguiente.
Pero no lo despidieron, y por alguna razón no
removió el script, pero se aseguró de que no se
iniciara como estaba planeado. Esto no funcionó
del todo bien, porque sí se ejecutó en la fecha
indicada, pero no causó daño debido a un error
de programación. Pero decidió corregir el script y
cambiar la fecha para el año siguiente, sólo por si
acaso. Otro sysadmin descubrió el código y dio la
alarma.