Archivo

27 Proteccin de mensajes sensibles

28 Autenticacin e Integridad
29 Integridad de Transacciones Electrnicas
30 Integridad contnua de Datos Almacenados
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO
NIVEL SON AUDITADOS AL:
Comprender a travs de:
8 Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de bases de datos de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de
informacin
Administracin de entrenamiento/recursos humanos de la funcin de servicios
de informacin
Administracin de soporte de sistemas de la funcin de servicios de
informacin
Administracin de la seguridad de respaldos
Administraciones de usuarios varias para aplicaciones crticas de la misin 170


8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la naturaleza y
administracin de datos, incluyendo:
flujo de datos dentro de la funcin de servicios de informacin y entre usuarios
de datos
puntos en la organizacin en los que los datos son originados, concentrados
en grupos o tandas (batched),
editados, capturados, procesados, extrados, revisados, corregidos y remitidos,
y distribuidos a los usuarios
proceso de autorizacin de documentos fuente
procesos de recoleccin, seguimiento y transmisin de datos
procedimientos para asegurar la suficiencia, precisin, registro y transmisin
de documentos fuente comple-
tos para captura
procedimientos utilizados para identificar y corregir errores durante la creacin
original de datos
procedimientos para asegurar la integridad, confidencialidad y aceptacin de
los mensajes delicados transmi-
tidos por Internet o cualquier otra red pblica
mtodos utilizados por la organizacin para retener documentos fuente
(archivo, imagen, etc.), para definir
qu documentos deben ser retenidos, los requerimientos de retencin legales y
regulatorios, etc.
sistemas de interfase que proporcionen y utilicen datos para las funciones de
servicios de informacin
contratos de proveedores para llevar a cabo tareas de administracin de
datos
reportes administrativos utilizados para monitorear actividades e inventarios
Una lista de todas las aplicaciones mayores, as como de la documentacin de
usuario relacionada con:
mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin
de captura
funciones que lleven a cabo entradas de datos para cada aplicacin
funciones que lleven a cabo rutinas de correccin de errores de entrada de
datos
mtodos utilizados para prevenir (por medios manuales y programados),
detectar y corregir errores
control de la integridad de los procesos de datos emitidos
edicin y autenticacin de la validacin del procesamiento de datos tan cerca
del punto de origen como sea
posible
manejo y retencin de salidas creadas por aplicaciones
salidas, distribucin de salidas y sistemas de interfase que utilizan salidas
procedimientos de balanceo de salidas para control de totales y conciliacin
de variaciones
revisin de la precisin de los reportes de salida y de la informacin
seguridad en los reportes de procesamiento de salidas distribuidos
seguridad de los datos transmitidos y entre aplicaciones
disposicin de documentacin sensible de entrada, proceso y salida
procedimientos de control de proveedores como terceras partes con respecto
a preparacin, entrada, procesa-
miento y salida
Polticas y procedimientos relacionados con cualquier depsito de bases de
datos de la organizacin, incluyendo:
organizacin de la base de datos y diccionario de datos
procedimientos de mantenimiento y seguridad de bases de datos
determinacin y mantenimiento de la propiedad de las bases de datos
procedimientos de control de cambios sobre el diseo y contenido de la base
de datos
reportes administrativos y seguimientos de auditora que definen actividades
de bases de datos
Polticas y procedimientos relacionados con la librera de medios y con el
almacenamiento de datos fuera del site, in-
cluyendo: 171

administracin de la librera de medios y del sistema de administracin de la
librera
requerir la identificacin externa de todos los medios
requerir el inventario actual de todos los contenidos y procesos para
actividades de control
procesos de administracin para proteger los recursos de datos
procedimientos de conciliacin entre registros reales y de datos
reciclaje de datos y rotacin de medios de datos
datos de pruebas pasadas de pruebas de inventario y recuperacin llevadas a
cabo
funciones del personal de los medios y fuera del site en los planes de manejo
de desastres y recuperacin del
negocio
Evaluar los controles:
8 Considerando s:
Para la preparacin de datos:
los procedimientos de preparacin de datos aseguran suficiencia, precisin y
validez
existen procedimientos de autorizacin para todos los documentos fuente
existe una separacin de funciones entre el origen, la aprobacin y la
conversin de documentos fuente a da-
tos
los datos autorizados permanecen completos, precisos y vlidos a travs de
la creacin original de documen-
tos fuente
los datos son transmitidos de una manera oportuna
se lleva a cabo una revisin peridica de los documentos fuente en cuanto a
su suficiencia y aprobaciones
apropiadas
se lleva a cabo un manejo apropiado de documentos fuente errneos
existe un control adecuado de informacin sensible en documentos fuente en
cuanto a proteccin contra trans-
gresiones
los procedimientos aseguran suficiencia y precisin de documentos fuente,
contabilidad apropiada para docu-
mentos fuente y conversin oportuna
la retencin de documentos fuente es lo suficientemente larga para permitir: la
reconstruccin en caso de pr-
dida, la disponibilidad para revisiones y auditora, las averiguaciones de
litigacin o los requerimientos regu-
latorios
Para la entrada de datos:
los documentos fuente siguen un proceso de aprobacin apropiada antes de
su captura
existe una separacin de funciones apropiada entre las actividades de envo,
aprobacin, autorizacin y entra-
da de datos
existen cdigos nicos de terminal o estacin e identificaciones seguras de
operadores
existen procesos de uso, mantenimiento y control de cdigos de estacin e
identificadores de operador
se lleva a cabo un seguimiento de auditora para identificar la fuente de
entrada
existen verificaciones de rutina o revisiones de edicin de los datos
capturados tan cerca del punto de origen
como sea posible
existen procesos apropiados de manejo de datos de entrada errneos
se asignan claramente las responsabilidades para hacer cumplir una
autorizacin apropiada de los datos 172

Para el procesamiento de datos:
Los programas contienen rutinas de prevencin, deteccin y correccin de
errores:
los programas deben probar las entradas en cuanto a errores (por ejemplo,
validacin y edicin)
los programas deben validar todas las transacciones contra una lista maestra
los programas deben rechazar la anulacin de condiciones de error
Los procesos de manejo de errores incluyen:
la aprobacin de la correccin y del reenvo de errores
la definicin de las responsabilidades individuales para archivos suspendidos
la generacin de reportes de errores no resueltos por parte de los archivos en
suspenso
la disponibilidad del esquema de priorizacin de archivos suspendidos
tomando como base la edad y el tipo
Existen bitcoras de los programas ejecutados y las transacciones
procesadas/rechazadas para propsitos de auditora
Existe un grupo de control para monitorear las actividades de entrada e
investigar los eventos no-estndar, as como
balancear las cuentas de registros y totales de control para todos los datos
procesados
Todos los campos son editados apropiadamente, an si uno de los campos
contiene algn error
Las tablas utilizadas en la validacin son revisadas frecuentemente
Existen procedimientos por escrito para la correccin y reenvo de datos con
errores incluyendo una solucin no des-
criptiva para reprocesamiento
Las transacciones reenviadas son procesadas exactamente como fueron
procesadas originalmente
La responsabilidad de la correccin de errores reside dentro de la funcin de
envo original
Los sistemas de Inteligencia Artificial estn colocados en un marco referencial
de control interactivo con operadores
humanos que aseguran que las decisiones importantes se aprueben
Para las salidas, interfaces y distribucin:
El acceso a las salidas est restringido fsica y lgicamente a personal
autorizado
Se lleva a cabo una revisin continua de necesidades de salidas
Las salidas son balanceadas rutinariamente con respecto a totales de control
Existen seguimientos de auditora para facilitar el seguimiento del
procesamiento de transacciones y la conciliacin de
datos confusos
La precisin de los reportes de salidas es revisada y los erro