28 Autenticacin e Integridad 29 Integridad de Transacciones Electrnicas 30 Integridad contnua de Datos Almacenados LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Comprender a travs de: 8 Entrevistas: Administracin de operaciones de la funcin de servicios de informacin Administracin de bases de datos de la funcin de servicios de informacin Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin Administracin de entrenamiento/recursos humanos de la funcin de servicios de informacin Administracin de soporte de sistemas de la funcin de servicios de informacin Administracin de la seguridad de respaldos Administraciones de usuarios varias para aplicaciones crticas de la misin 170
8 Obteniendo: Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo: flujo de datos dentro de la funcin de servicios de informacin y entre usuarios de datos puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched), editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios proceso de autorizacin de documentos fuente procesos de recoleccin, seguimiento y transmisin de datos procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente comple- tos para captura procedimientos utilizados para identificar y corregir errores durante la creacin original de datos procedimientos para asegurar la integridad, confidencialidad y aceptacin de los mensajes delicados transmi- tidos por Internet o cualquier otra red pblica mtodos utilizados por la organizacin para retener documentos fuente (archivo, imagen, etc.), para definir qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc. sistemas de interfase que proporcionen y utilicen datos para las funciones de servicios de informacin contratos de proveedores para llevar a cabo tareas de administracin de datos reportes administrativos utilizados para monitorear actividades e inventarios Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con: mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura funciones que lleven a cabo entradas de datos para cada aplicacin funciones que lleven a cabo rutinas de correccin de errores de entrada de datos mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores control de la integridad de los procesos de datos emitidos edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea posible manejo y retencin de salidas creadas por aplicaciones salidas, distribucin de salidas y sistemas de interfase que utilizan salidas procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones revisin de la precisin de los reportes de salida y de la informacin seguridad en los reportes de procesamiento de salidas distribuidos seguridad de los datos transmitidos y entre aplicaciones disposicin de documentacin sensible de entrada, proceso y salida procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesa- miento y salida Polticas y procedimientos relacionados con cualquier depsito de bases de datos de la organizacin, incluyendo: organizacin de la base de datos y diccionario de datos procedimientos de mantenimiento y seguridad de bases de datos determinacin y mantenimiento de la propiedad de las bases de datos procedimientos de control de cambios sobre el diseo y contenido de la base de datos reportes administrativos y seguimientos de auditora que definen actividades de bases de datos Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos fuera del site, in- cluyendo: 171
administracin de la librera de medios y del sistema de administracin de la librera requerir la identificacin externa de todos los medios requerir el inventario actual de todos los contenidos y procesos para actividades de control procesos de administracin para proteger los recursos de datos procedimientos de conciliacin entre registros reales y de datos reciclaje de datos y rotacin de medios de datos datos de pruebas pasadas de pruebas de inventario y recuperacin llevadas a cabo funciones del personal de los medios y fuera del site en los planes de manejo de desastres y recuperacin del negocio Evaluar los controles: 8 Considerando s: Para la preparacin de datos: los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez existen procedimientos de autorizacin para todos los documentos fuente existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a da- tos los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin original de documen- tos fuente los datos son transmitidos de una manera oportuna se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones apropiadas se lleva a cabo un manejo apropiado de documentos fuente errneos existe un control adecuado de informacin sensible en documentos fuente en cuanto a proteccin contra trans- gresiones los procedimientos aseguran suficiencia y precisin de documentos fuente, contabilidad apropiada para docu- mentos fuente y conversin oportuna la retencin de documentos fuente es lo suficientemente larga para permitir: la reconstruccin en caso de pr- dida, la disponibilidad para revisiones y auditora, las averiguaciones de litigacin o los requerimientos regu- latorios Para la entrada de datos: los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entra- da de datos existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores existen procesos de uso, mantenimiento y control de cdigos de estacin e identificadores de operador se lleva a cabo un seguimiento de auditora para identificar la fuente de entrada existen verificaciones de rutina o revisiones de edicin de los datos capturados tan cerca del punto de origen como sea posible existen procesos apropiados de manejo de datos de entrada errneos se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada de los datos 172
Para el procesamiento de datos: Los programas contienen rutinas de prevencin, deteccin y correccin de errores: los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin) los programas deben validar todas las transacciones contra una lista maestra los programas deben rechazar la anulacin de condiciones de error Los procesos de manejo de errores incluyen: la aprobacin de la correccin y del reenvo de errores la definicin de las responsabilidades individuales para archivos suspendidos la generacin de reportes de errores no resueltos por parte de los archivos en suspenso la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para propsitos de auditora Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como balancear las cuentas de registros y totales de control para todos los datos procesados Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error Las tablas utilizadas en la validacin son revisadas frecuentemente Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin no des- criptiva para reprocesamiento Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente La responsabilidad de la correccin de errores reside dentro de la funcin de envo original Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores humanos que aseguran que las decisiones importantes se aprueben Para las salidas, interfaces y distribucin: El acceso a las salidas est restringido fsica y lgicamente a personal autorizado Se lleva a cabo una revisin continua de necesidades de salidas Las salidas son balanceadas rutinariamente con respecto a totales de control Existen seguimientos de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de datos confusos La precisin de los reportes de salidas es revisada y los erro