Sergio fernandez salas Paula Moreira fernandez Katherine Camacho samudio Metodología de Control Interno, Seguridad y Auditoría Informática METODOLOGIAS • Hacen referencia al conjunto de procedimientos racionales utilizados para alcanzar una gama de objetivos que rigen una investigación científica, una exposición doctrinal o tareas que requieran habilidades, conocimientos o cuidados específicos. METODOLOGIAS DE EVALUACION DE SISTEMAS Auditoría Informática Solo identifica el nivel de “exposición” por falta de controles. Análisis de Riesgos Facilita la “evaluación” de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. TIPOS DE METODOLOGIAS • Cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. • Cualitativas Basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada. Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales. PASOS DE LA METODOLOGIA ►Identificación de la información. ►Inventario de entidades de información residentes y operativas. ►Identificación de Propietarios ►Definición de jerarquías de Información. ►Definición de la matriz de Clasificación. ►Confección de la matriz de Clasificación. ►Realización del plan de Acciones. ►Implantación y Mantenimiento. CONTROL INTERNO INFORMATICO “El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática” CONTROL INTERNO INFORMATICO • La Función de Control La tendencia generalizada es contemplar al lado de la figura del auditor informático, la de control interno informático. I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION ) La función de Control Informático Independiente debería ser en primer lugar independiente de él. La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica, podríamos decir que: El área Informática monta los procesos informáticos seguros. El Control Interno monta los controles. La Auditoria Informática evalúa el grado de control. CONTROL INTERNO INFORMATICO • Funciones de control dual con otros departamentos. 1. Función normativa y del cumplimiento del marco jurídico. 2. Tiene funciones propias ( Administración de la Seguridad lógica , etc.) • Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. 1. 2. 3. 4. 5. 6. Dictar normas de seguridad informática. Definir los procedimientos de control. Control de soportes físicos. Control de información sensible o comprometida. Control de calidad del servicio informático. Definición de requerimientos de seguridad en proyectos nuevos. ►Control de cambios y versiones. LOS METODOS Y PROCEDIMIENTOS DE CONTROL • Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección. DIFERENCIAS ENTRE AUDITORIA INFORMATICA Y CONTROL INTERNO 1. LA AUDITORIA INFORMATICA Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. • • Tiene sus propios objetivos distintos a los auditores de cuentas. Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión. Operan según el plan auditor. • • • Establecen planes con tiempos definidos y ciclos completos. Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoria de esta área. Función de soporte informático de todos los auditores. 2. CONTROL INTERNO INFORMÁTICO ►Funciones de control dual con otros departamentos. Función normativa y del cumplimiento del marco jurídico. Tiene funciones propias ( Administración de la Seguridad lógica , etc.) ►Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. Dictar normas de seguridad informática. Definir los procedimientos de control. Control de soportes físicos. Control de información sensible o comprometida. Control de calidad del servicio informático. Definición de requerimientos de seguridad en proyectos nuevos. HERRAMIENTAS DE CONTROL Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada. Las herramientas de control mas comunes son : o Seguridad lógica del sistema. o Seguridad lógica complementaria al sistema o Seguridad lógica para entornos distribuidos. o Control de acceso físico. o Control de Presencia. o Control de copias o Gestión de soportes magnéticos. o Control de proyectos. o Control de versiones. o Control de cambios. SEGURIDAD Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informático. (cifradores, autentificadores, equipos “tolerantes al fallo” etc.) ►ADMINISTRACIÓN DE LA SEGURIDAD Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad física y lógica requerida por la organización. Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completo control sobre los miembros de la organización. SEGURIDAD ►SEGURIDADES Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites de longitud para el acceso a dicho producto. • ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control. ORGANIZACIÓN INTERNA DE LA SEGURIDAD INFORMATICA ► Comité de Seguridad de la Información Seguridad corporativa. Control Interno. Dpto. de Informática. Dpto. de Usuarios. Dirección del Plan de Seguridad ► Control Informático Responsable de Ficheros Controles generales Informáticos ► Auditoría Informática Plan Auditor Dictámenes de Auditoria GRACIAS!
© Copyright 2024