Control interno informático
-
Upload
juan-moreno -
Category
Education
-
view
22 -
download
0
Transcript of Control interno informático
![Page 1: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/1.jpg)
Control interno informático
![Page 2: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/2.jpg)
Concepto
El sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
![Page 3: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/3.jpg)
OBJETIVOS PRINCIPALES• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa.• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.
![Page 4: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/4.jpg)
El control interno
1.Controles manuales: son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.2.Controles Automáticos: son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
![Page 5: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/5.jpg)
Los controles según su finalidad
1.Controles Preventivos: para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.2.Controles Detectivos: tratan de descubrir a posterior errores o fraudes que no haya sido posible evitarlos con controles preventivos.3.Controles Correctivos: tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.
![Page 6: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/6.jpg)
CONTROL INTERNO INFORMÁTICO (FUNCIÓN)
Controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.
![Page 7: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/7.jpg)
CONTROL INTERNO INFORMÁTICO (SISTEMA)
Asegurar la integridad, disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o actividades de control.
![Page 8: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/8.jpg)
Configuración del sistema
• Configuración de aplicaciones: proceso de transacciones, sistema de gestión de base de datos y entorno de procesos distribuidos• Productos y herramientas: software de programación diseño y documentación, software de gestión de biblioteca.
![Page 9: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/9.jpg)
CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)
• Controles generales organizativos• Controles de desarrollo y mantenimiento de
sistemas de informacion• Controles de explotación de sistemas de
información• Controles en aplicaciones• Controles en sistemas de gestión de base de datos• Controles informáticos sobre redes• Controles sobre computadores y redes de área local
![Page 10: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/10.jpg)
Centro de Cómputo
• Representa una entidad dentro de la organización, la cual tiene como objetivo satisfacer las necesidades de información de la empresa, de manera veraz y oportuna. Su función primordial es apoyar la labor administrativa para hacerla más segura, fluida, y así simplificarla.
![Page 11: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/11.jpg)
La Administración de Redes
• Es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada.
![Page 12: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/12.jpg)
La Administración de Redes
Sus objetivos son:•Mejorar la continuidad en la operación de la red•Hacer uso eficiente de la red •Reducir costos•Hacer la red más segura•Controlar cambios y actualizaciones en la red
![Page 13: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/13.jpg)
Desarrollo de sistemasEs un proceso que consiste en dos etapas principales de análisis y diseño El ciclo de vida del desarrollo de sistemas consiste en las siguientes actividades:• 1. Investigación preliminar• 2. Determinación de requerimientos • 3. Desarrollo de sistema (prototipo)• 4. Diseño de sistema• 5. Desarrollo de software• 6. Prueba de los sistemas y puesta en marcha
![Page 14: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/14.jpg)
Criterios de evaluación sistema de información en uso
1.Navegación. 2. Funcionalidad. 3. Control del usuario. 4. Lenguaje y contenido. 5. Ayuda en línea. 6. Información del sistema. 7. Accesibilidad. 8. Coherencia.
![Page 15: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/15.jpg)
Evaluación de la seguridad
1. Hardware2. Aplicaciones del software3. Plan de contingencias y de recuperaciónObjetivos• Verificar que existan los planes, políticas y procedimientos relativos a la seguridad dentro de la organización.• Confirmar que exista un análisis costo / beneficio de los controles y procedimientos de seguridad antes de ser implantados.
![Page 16: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/16.jpg)
Metodología para la evaluación de las bases de datos
1.Consistencia.2.Cobertura / alcance.3.Tasa error / exactitud.4.Rendimiento.5.Respaldo y entrenamiento al cliente.6.Accesibilidad / facilidad de uso.7.Actualidad.8.Integración.9.documentación.10.Tasa valor/costo.
![Page 17: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/17.jpg)
Valoración de bases de datos
1. Descripción general2. Especificaciones técnicas3. Documentación y respaldo4. Base de datos5. Interfaz de usuario6. Búsqueda7. Resultados8. Fiabilidad
![Page 18: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/18.jpg)
Estructura de las redes
• Las redes tienen tres niveles de componentes: software de aplicaciones, software de red y hardware de red.
![Page 19: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/19.jpg)
Tipos de Redes
• Redes Compartidas• Redes exclusivas• Redes privadas• Redes públicas• Redes LAN, MAN, WAN y redes de internet y
las redes inalámbricas
![Page 20: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/20.jpg)
Topologías de Red
• Su objetivo es buscar la forma más económica y eficaz de conexión para, al mismo tiempo, aumentar la fiabilidad del sistema, evitar los tiempos de espera en la transmisión, permitir un mejor control de la red y lograr de forma eficiente el aumento del número de las estaciones de trabajo.
![Page 21: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/21.jpg)
Tipos
• Bus• Anillo• Estrella• Árbol• Malla• Anillo en estrella• Bus en estrella• Estrella jerárquica
![Page 22: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/22.jpg)
Protocolo de Redes
• Los protocolo de red son una o más normas standard que especifican el método para enviar y recibir datos entre varios ordenadores.
![Page 23: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/23.jpg)
Tipos
Protocolos de transporte:•ATP (Apple Talk Transaction Protocol)•TCP (Transmission Control Protocol)Protocolos de red:•DDP (Delivery Datagram Protocol)•IP (Internet Protocol)Protocolos de aplicación:•FTP (File Transfer Protocol)•Http (Hyper Text transfer Protocol)
![Page 24: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/24.jpg)
Servicios de una Red
1.Acceso2.Ficheros3.Impresión4.Correo5.Información
![Page 25: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/25.jpg)
Pasos para realizar la investigación preliminar
• 1. Obtener la autorización de la gerencia.• 2. Identificar la información necesaria • 3. Realizar las acciones que sean necesarias para
conseguir la información:• a. Realizar encuestas, método usado cuando se
necesita información de muchas personas.• 4.Analizar la información obtenida, identificando
alternativas con sus costos y beneficios • 5.Presentar los resultados y recomendaciones a la
gerencia.
![Page 26: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/26.jpg)
El análisis de la información
• la aplicación de técnicas de procesamiento automático del lenguaje natural, de clasificación automática y de representación gráfica (cartografía) del contenido cognitivo (conocimientos) y factual (fecha, lengua, tipo de publicación) de los datos bibliográficos (o textuales).
![Page 27: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/27.jpg)
Recolección de datos
• Cuestionarios• Entrevistas• Observación• Información documental (archivo).
![Page 28: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/28.jpg)
Planeación de la auditoría en informática
• Investigación preliminar
• Administración
• Sistemas
• Personal participante
• Pasos a seguir
• Informes
![Page 29: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/29.jpg)
Evaluación de Riesgos
• El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
• Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
![Page 30: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/30.jpg)
• El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo :
• Luego, con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:
Niveles de riesgo
![Page 31: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/31.jpg)
Identificación de Amenaza.
Se suele dividir las amenazas existentes según su ámbito de acción:• Desastre del entorno (Seguridad Física).• Amenazas del sistema (Seguridad Lógica).
![Page 32: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/32.jpg)
Evaluación de Costos
• Desde un punto de vista oficial, el desafío de responder la pregunta del valor de la información ha sido siempre difícil, y más difícil aún hacer estos costos justificables, siguiendo el principio que "si desea justificarlo, debe darle un valor" (1).
![Page 33: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/33.jpg)
• Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:
• ¿Qué recursos se quieren proteger?• ¿De qué personas necesita proteger los
recursos?• ¿Qué tan reales son las amenazas?
![Page 34: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/34.jpg)
• Punto de Equilibrio• Una vez evaluados los riesgos y los costos en
los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio entre estas magnitudes:
![Page 35: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/35.jpg)
Plan de Contingencias
• Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño (delivery and support, véase ITIL).
![Page 36: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/36.jpg)
Ciclo de vida
• El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio.
• En cualquier caso, el plan de contingencias siempre es cuestionado cuando se materializa una amenaza, actuando de la siguiente manera:
![Page 37: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/37.jpg)
• Amenaza: Incendio. (los activos afectados son los anteriores).
• Impacto: (es un ejemplo ficticio)• Perdida de un 10% de clientes.• Imposibilidad de facturar durante un mes.• Todas estas consecuencias pueden valorarse en
términos monetarios, que junto a la probabilidad de materialización ofrecen una estimación del riesgo.
![Page 38: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/38.jpg)
El plan de contingencias contendría someramente las siguientes contramedidas:
• Medidas técnicas:– Extintores contra incendios.– Detectores de humo.
• Medidas organizativas:– Seguro de incendios.– Precontrato de alquiler de equipos informáticos y
ubicación alternativa.• Medidas humanas:– Formación para actuar en caso de incendio.– Designación de un responsable de sala.
![Page 39: Control interno informático](https://reader035.fdocuments.co/reader035/viewer/2022070513/5883b8901a28ab5c378b508b/html5/thumbnails/39.jpg)
Los subplanes contendrían las siguientes previsiones:
• Plan de respaldo:– Revisión de extintores.– Simulacros de incendio.
• Plan de emergencia:– Activación del precontrato de alquiler de equipos informáticos.– Restauración de las copias de respaldo.
• Plan de recuperación:– Evaluación de daños.– Traslado de datos desde la ubicación de emergencia a la
habitual.