Control Interno Informatico

Alejandro Alcntara.

Control Interno Informtico

Tipos de CI Informatico

En el ambiente informtico, el control interno se

materializa fundamentalmente en controles de dos tipos:

Controles manuales; aquellos que son ejecutados por el

personal del rea usuaria o de informtica sin la utilizacin
de herramientas computacionales.
Controles Automticos; son generalmente los
incorporados en el software, llmense estos de operacin,
de comunicacin, de gestin de base de datos, programas
de aplicacin, etc.

Preventivo
Preventivos: Anticipan eventos no deseados antes de suceder.
Adecuaciones
Entrada

?
Punto de Control

Proceso

Salida

CONTROLES PREVENTIVOS

Son ms rentables.

Deben quedar incorporados en los sistemas.

Evitan costos de correccin o reproceso.

Evitar problemas antes de que aparezcan.

Monitorear tanto las operaciones como las

transacciones de entrada.

Tratar de predecir problemas potenciales

antes de que ocurran y hacer ajustes.

Prevenir la ocurrencia de un error, omisin o

acto delictivo.

Las aplicaciones gateway

ofrecen un nmero de ventajas

generales sobre el modo default
de permitir que la aplicacin
trafique directamente para hosts
internos.
Estas ventajas incluyen:

Ocultamiento de la informacin.
Robusta autenticacin y registro.
Costo - eficacia.
Menos complejas las reglas de
filtrado.

detectivo
Detectivos: Identifican eventos en el momento de presentarse
Adecuaciones

Entrada

Proceso

?
Punto de Control

Salida

CONTROLES DETECTIVOS

Son ms costosos que los preventivos.

Miden la efectividad de los preventivos.
Algunos errores no pueden ser evitados
en la etapa preventiva.
Incluyen revisiones y comparaciones
(registro de desempeo).
Conciliaciones, confirmaciones, conteos
fsicos de inventarios, anlisis de
variaciones, tcnicas automatizadas.
Lmite de transacciones, password,
edicin de reportes.

Controles que detectan un error

Mensajes de error
sobre las etiquetas
internas de las cintas

detectivo
Detectivos: Aseguran tomar acciones para revertir un
evento no deseado.
Adecuaciones
Entrada

Proceso

Salida

?
Punto de Control

CONTROLES CORRECTIVOS

Acciones
y
procedimientos
rectificatorios en recurrencia.

Comprenden documentacin y
reportes, sobre supervisin a
los
asuntos,
hasta
su
reformulacin o solucin.

PROCEDIMIENTOS DE
ALMACENAMIENTO Y RESPALDO

Elaboracin de Backups

EJEMPLOS DE CONTROLES

Pregunta
El Proceso de
Backup a que tipo
de control
pertenece?
Correctivo

BENEFICIOS DEL CONTROL

INTERNO

Pueden ayudar al Jefe de la organizacin.

Se
consideran
como
medios
favorecedores
al logro de metas y
objetivos.

Es un medio integrador del personal con

los objetivos.

Ayuda al personal a medir su desempeo y

mejorarlo.

Ayuda a evitar tentaciones de fraude.

Facilita a los Jefes de las organizacin a

demostrar cmo han aplicado los recursos
y logrado los objetivos.

Elementos fundamentales del CI INF

CI sobre la organizacin del rea de informtica.

CI sobre el anlisis, desarrollo e implementacin de

sistemas.
CI sobre operacin del sistema.

CI sobre los procedimientos de entrada de datos, el

procesamiento de informacin y la emisin de resultados.

CI sobre la seguridad del rea de sistemas

Control interno para la organizacin del

area de informtica
Direccin

Perfiles de
puestos

Dentro del rea de TIC de

cualquier empresa, se proponen
los siguientes sub-elementos de
organizacin:

Establecimiento
de estndares y
mtodos

Divisin del
Trabajo

Asignacin de
responsabilidad
y autoridad

Melvis E. Len

Control Interno Informtico

Controles internos para la organizacin del area de informtica
La supervisin
de actividades

La asignacin
de actividades
La coordinacin
de recursos

La distribucin
de recursos
La delegacin de autoridad
y responsabilidad

Control Interno Informtico

Controles internos para la organizacin del area de informtica

Divisin del trabajo

Control Interno Informtico

Controles internos para la organizacin del area de informtica

Perfiles de puestos

Asignacin de
responsabilidad
y autoridad

Establecimientos
de estndares
y mtodos

Estandarizacin De Metodologas
Para El Desarrollo De Proyectos
Metodologa Estandarizada
Uniformidad en aplicaciones y Eficiencia en recursos.

Estandarizacin De Metodologas
Para El Desarrollo De Proyectos
Por ende:
o Estandarizacin de mtodos para el diseo de
sistemas
o Lineamientos en la realizacin de sistemas
o Polticas para el desarrollo de sistemas
o Normas para regular el desarrollo de proyectos

Asegurar Que El Beneficio Del Sistema

Sea ptimo

Optimizacion de las tareas

Mejorar las operaciones

Optimizacion de los equipos

Elaborar Estudios De Factibilidad Del Sistema

Viable: se dice del asunto con posibilidad de salir adelante. (Valorar la

posibilidad de hacerlo)
Factible: que se puede llevar a cabo o que es posible realizar. (Valorar
si se puede realizar).
Viabilidad y factibilidad operativa.
Viabilidad y factibilidad econmica.
Viabilidad y factibilidad tcnica.

Garantizar La Eficiencia Y Eficacia En El

Anlisis Y Diseo Del Sistema.

Eficacia

Objetivos

Eficiencia

Recursos

Garantizar La Eficiencia Y Eficacia En El Anlisis Y

Diseo Del Sistema

Adopcin y seguimiento de una metodologa institucional.

Adoptar una adecuada planeacin, programacin

Contar con la participacin activa de los usuarios finales

Contar con el personal que tenga la disposicin, experiencia, capacitacin y

conocimientos para el desarrollo de sistemas.

Utilizar los requerimientos tcnicos necesarios para el desarrollo del sistema,

como son el hardware, software y personal informtico.

Disear y aplicar las pruebas previas a la implementacin del sistema.

Supervisar permanentemente el avance de las actividades del proyecto.

Vigilar La Efectividad Y Eficacia En La Implementacin

Y En El Mantenimiento Del Sistema.
Es necesario vigilar la efectividad en la
implementacin del sistema y, una vez liberado,
tambin se debe procurar su eficiencia a travs
del mantenimiento.
No basta con elaborar el sistema, tambin se
tiene que implementar totalmente, se tiene que
liberar a cargo del propio usuario y se le tiene
que dar un mantenimiento permanente para
garantizar su efectividad.

Lograr Un Uso Eficiente Del Sistema Por Medio

De Su Documentacin

Es indispensable elaborar
manuales
Es de suma importancia que se
proporcione capacitacin a
usuarios finales

Lograr Un Uso Eficiente Del Sistema Por Medio

De Su Documentacin

Manuales e instructivos del usuario.

Manual e instructivo de operacin del sistema
Manual tcnico del sistema
Manual e instructivo de mantenimiento del sistema.

Controles internos sobre la operacin del

sistema.
Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operacin
de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos
del control interno tales como:
o Establecer la seguridad y proteccin de la informacin, del sistema de cmputo y
de los recursos informticos de la empresa.
o Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su
procesamiento en el sistema y la emisin de informes.
Contando con este elemento bsico, se puede prevenir y evitar posibles errores y
deficiencias de operacin, as como el uso fraudulento de la informacin que se
procesa en un centro de cmputo, adems de posibles robos, piratera, alteracin de
la informacin y de los sistemas, lenguajes y programas.

Sub-Elementos del control interno sobre la

operacin del sistema.

Prevenir y corregir errores de operacin.

Prevenir y evitar la manipulacin fraudulenta de la

informacin.

Controles de datos fuente, de operacin y

de salida
Deben disearse con el propsito de salvaguardar los datos fuente de
origen, operaciones de proceso y salida de informacin procesada por la
entidad.
01. Para implementar los controles sobre datos fuente, es necesario que
la entidad designe a los usuarios encargados de salvaguardar los datos.
Para ello, deben establecerse polticas que definan las claves de acceso
para los tres niveles:

a) Primer nivel: nicamente tiene opcin de consulta de datos,

b) Segundo nivel: captura, modifica y consulta datos,
c) Tercer nivel: captura, modifica, consulta y adems puede realizar
bajas de los datos.

02. Los controles de operacin de los equipos de cmputo estn dados

por procedimientos estandarizados y formales que se efectivizan de la
siguiente forma:
a) Describen en forma clara y detallada los procedimientos;
b) Actualizan peridicamente los procedimientos;
c) Asignan los trabajos con niveles efectivos de utilizacin de equipos.
03. Los controles de salida de datos deben proteger la integridad de la
informacin, para cuyo efecto es necesario tener en cuenta aspectos
tales como: copias de la informacin en otros locales, la identificacin de
las personas que entregan el documento de salida y, la definicin de las
personas que reciben la informacin.

04. Corresponde a la direccin de la entidad en coordinacin con el rea

de Informtica, establecer los controles de datos fuente, los controles de
operacin y los controles de seguridad, con el objeto de asegurar la
integridad y adecuado uso de la informacin que produce la entidad.

Implementar y mantener la seguridad en la operacin.

Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la informacin de la institucin.

Controles internos sobre los procedimientos de

entrada e datos, el procesamiento de
informacin y la emisin de resultados
La adopcin de estos controles en el rea de sistematizacin es de gran
ayuda en el procesamiento de informacin. Para lograr la eficiencia y
eficacia al establecer este elemento en la captura de datos, es necesario
tener bien establecidos aquellos mtodos, procedimientos y actividades
que regularn la entrada de datos al sistema, verificar que los datos sean
procesados de manera oportuna, evaluar la veracidad de los datos que se
introducen al sistema y proporcionar la informacin que se requiere en las
dems reas de la empresa.

Aspectos en la entrada de datos, el

procesamiento de informacin y emisin de
resultados.
Eficacia en la captura de datos: la captura de datos depende tanto del
hardware que se usa como el software que est encargado de
capturarlos. Ambos deben estar en buen estado para que la captura
del dato introducido sea el correcto.
Mtodos para regular la entrada de datos: pueden regularse la
cantidad de caracteres introducidos por teclado, por campos del
sistema. Tambin puede regularse la cantidad de veces que una
aplicacin pueda abrirse, en especial si se especializa en la entrada de
datos. Para el caso de datos o informacin no deseada como hackers y
sobre carga del sistema se pueden incorporar firewalls, antivirus y anti
espas.
Los datos sean procesados de manera oportuna: los datos deben ser
procesados de manera eficiente y veloz para dar respuesta rpida a los
procesos que necesitan de este procesamiento en una etapa posterior.
Un sistema que procese los datos de una manera lenta puede atrasar
los procesos siguientes de necesiten uso de los datos.

Evaluar la veracidad de los datos que se introducen: los datos introducidos

deben ser del tipo que se requiera y que se solicite. Los sistemas que soliciten
datos y que estos sean introducidos por el usuario, deben evaluar que sus
campos restrinjan el tipo de datos introducidos, por ejemplo: que en campos
donde se soliciten nmeros, el campo solo acepte nmeros, si se desea
introducir algn nombre, que el campo correspondiente solo admita caracteres
validos por el sistema y vlidos segn la planificacin y diseo del mismo.

Proporcionar la informacin a las dems reas de la empresa: luego de que los

datos hayan sido procesados si se hayan transformado en informacin, estos
deben pasar a las dems reas de la empresa que necesiten uso de este. Este
aspecto cubre tanto el medio fsico por el cual se llevar la informacin a
distintos lugares de la empresa y el aspecto lgico ya que se debe enviar la
informacin justa y necesaria sin enviar informacin que no sea relevante para
esa parte de la empresa.

Seguridad fisica

Seguridad informatica
La seguridad fsica, comprende las
medidas de seguridad aplicables a un
Sistema de Informacin, que tratan de
proteger a este y a su entorno de
amenazas fsicas tanto procedentes de
la naturaleza, de los propios medios,
como del hombre.

Amenaza
Acciones
que
pueden
ocasionar
consecuencias
negativas
en
la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos
informticos,
desastres
ambientales, incendios, accesos ilegales
a los sistemas, fallas elctricas.

Pueden ser de tipo lgico o fsico.

Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas se
materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.

Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reduccin de eficiencia, fallas
operativas a corto o largo
plazo, prdida de vidas
humanas, etc.

Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
informtico (Guas para la Gestin
de la Seguridad) como:
La probabilidad de que una
amenaza
se
materialice
de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto especfico, el cual
puede estar representado por
prdidas y daos.

Por qu es tan importante

la seguridad?
Por la existencia de personas ajenas
a la informacin, tambin conocidas
como piratas
informticos o hackers, que buscan
tener acceso a la red empresarial para
modificar, sustraer o
borrar datos.

Propositos y objetivos de la
seguridad fisica
Asegurar la capacidad de supervivencia de la organizacion
ante eventos que pongan en peligro su existencia.
Proteger y conservar los activos de la organizacion, de
riesgos, de desastres naturales o actos mal intencionados.
Reducir la probabilidad de las perdidas, a un minimo nivel
aceptable, a un costo razonable y asegurar la adecuadad
recuperacion.
Asegurar que existan controles adecuados para las
condiciones ambientales que reduzcan el riesgo por fallas o
mal funcionamiento del equipo, del sotfware, y de los
medios de almacenamiento.
Controlar el acceso de agentes de riesgo, a la organizacion
para minimizar la vulnerabilidad potencial.

Factores ambientales

Incendios
Inundaciones
Sismos
Humedad

Factores humanos
Robos
Actos vandalicos
Actos Vandalicos contra el sistema
de Red
Fraude
Sabotaje
Terrorismo

Algunas Consideraciones
sobre seguridad
Que se quiere proteger?
Contra que se quiere proteger?
Cuanto tiempo, esfuerzo y dinero se
esta dispuesto a invertir?

TIPO DE INSTALACIONES
Instalaciones de alto riesgo
Instalacin de riesgo medio
Instalacin de bajo riesgo

CONTROL DE ACCESO
FSICO
Estructura y disposicin del rea de
recepcin
Acceso de terceras personas
Identificacin del personal
A) Algo que se porta
B) Algo que se sabe
C) Algunas caractersticas fsicas
especiales

Otros CONTROLES DE
ACCESO

Guardias y escoltas especiales.

Registro de firma de entrada y salida.
Puertas con chapas de control electrnico
Tarjetas de acceso y gafetes de
identificacin.
Entradas de dobles puertas
Equipos de monitoreo (CCTV)
Alarmas contra robos.
Trituradores de papel.

CONTROL DE RIESGOS

Aire acondicionado
Instalacin elctrica
Riesgo de inundacin
Proteccin, deteccin y extincin de
incendios
Mantenimiento

SEGURIDAD DE LOS
EQUIPOS

Proteccin fsica de los equipos

Proteccin emanaciones electromagnticas
Proteccin frente a accidentes naturales
Proteccin frente a incendios
Proteccin frente a explosivos
Proteccin frente a inundaciones
Suministro Elctrico
Climatizacin
Seguros
Suministro elctrico

Proteccin, deteccin y
extincin de incendios
Consideraciones sobresalientes
Paredes de material incombustible
Techo resistente al fuego
Canales y aislantes resistentes al fuego
Sala y reas de almacenamiento
impermeables
Sistema de drenaje en el piso firme
Detectores de fuego alejados del AC
Alarmas de incendios conectado al general

Principios

El intruso probablemente es
alguien conocido
No confies, y s cauteloso con
quien requiera tu confianza
No confies en t mismo, o verifica lo
que haces
Haga que el intruso crea que ser
atrapado

Evidencias
1

El crecimiento del acceso a Internet y de usuarios conectados

incrementa la posibilidad de concrecin de amenazas informticas.

Crecimiento de la informacin disponible de empresas y sus

empleados en redes sociales Ingeniera Social.

Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.

Robo de credenciales o captura ilegal de datos.

Acceso a redes empresariales a travs de cdigos maliciosos

diseados para obtener informacin sensitiva.

En el 2009 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.

En el 2009 Symantec identific 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2008.

Fuente: Symantec (2010).

Evidencias
8

En el 2010 hubo 286 millones de nuevas ciberamenazas.

Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).

10

Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

mundo, como Estados Unidos, UK o Espaa, han mostrado la
preocupacin que tienen ante ataques que puedan afectar a la
economa del pas o incluso a otras reas, tales como las
denominadas infraestructuras crticas. Tambin este ao 2009 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos y
Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxocommunity.com

11

Cuidar a las empresas en esos momentos no es labor fcil. Los

ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Control Interno Informtico

Controles internos para la seguridad del area de sistemas
Seguridad Fsica
Seguridad Lgica
Seguridad en la operacin

Seguridad del personal de inf.

Seguridad en las redes

Control Interno Informtico

Subelementos del control interno Informatico
Controles para prevenir y evitar las amenazas, riesgos y
contingencias en las reas de sistematizacin
Control de acceso fsico del personal del rea de computo
Control de accesos al sistema, a las bases de datos, a los programas y a
la informacin
Uso de niveles de privilegios para acceso, de palabras clave y de control
de usuarios

Control Interno Informtico

Monitoreo de accesos de usuarios, informacin y programas de uso

Existencia de manuales e instructivos, as como difusin y vigilancia del
cumplimiento de los reglamento del sistema
Identificacin de los riesgos de los riesgos y amenazas Para el sistema,
con el fin de adoptar las medidas preventivas necesarias
Elaboracin de planes de contingencia, simulacros y bitcoras de
seguimiento

Control Interno Informtico

Controles para la seguridad fsica del rea de sistemas

Inventario del hardware, mobiliario y equipo
Resguardo del equipo de cmputos
Bitcoras de mantenimientos y correcciones
Controles de acceso del personal al rea de sistema
Seguros y fianzas para el personal, equipos y sistemas

Control Interno Informtico

Controles para la seguridad lgica de los sistemas
Control para el acceso al sistema, a los programas y a la informacin
Establecimiento de niveles de acceso
Dgitos verificacin y cifras de control

Palabras claves de accesos

Controles para el seguimiento de las secuencias y rutinas lgicas del
sistema

Control Interno Informtico

Controles para la seguridad de las bases de datos
Respaldo peridico de informacin
Planes y programas para prevenir contingencias y recuperar informacin
Control de acceso a las base de datos

Rutinas de monitoreo y evaluacin de operaciones Relacionadas con las

bases de datos

Control Interno Informtico

Controles para la seguridad en la operacin de los sistemas
computacionales
Controles para los procedimientos de operacin
Controles para el procesamiento de informacin
Controles para la emisin de resultados
Controles especficos para la operacin de la computadora
Controles para el almacenamiento de informacin

Controles para el mantenimiento del sistema

Control Interno Informtico

Controles para Prevenir y evitar las amenazas, riesgos y
contingencias en las reas de sistematizacin

Es el primer paso para prevenir las repercusiones de

posibles amenazas, riesgos y contingencias en las
reas del centro de cmputos.
Es identificar aquellos elementos que pueden influir
en la seguridad de sus instalaciones.

Control Interno Informtico

Controles bsicos que debern ser adoptados en las reas de
sistematizacin para evitar amenazas a los sistemas

Control Interno Informtico

La seguridad no es una opcin, es una

obligacin para cualquier empresa.
No es un producto sino, un proceso

Control Interno Informtico

Controles para la seguridad fsica del rea de Sistemas
Bitcoras de Mantenimiento y correcciones
Controles de acceso del personal al rea de sistemas
Control de mantenimiento a instalaciones y construcciones
Seguros y fianzas para el personal, equipos y sistemas
Contrato de actualizacin, asesora y mantenimiento de hardware

Control Interno Informtico

Controles para la seguridad lgica de los sistemas

As como es necesario establecer controles

para salvaguardar los bienes fsicos del
sistema computacional de la empresa,
tambin es necesario establecer controles y
medidas preventivas y correctivas para
salvaguardar sus bienes lgicos.

Control Interno Informtico

Controles que se deben considerar en la seguridad lgica:
Control para el acceso al sistema, a los programas y a la informacin
Dgitos verificadores y cifras de control
Establecimiento a los niveles de acceso
Palabras clave de acceso
Controles para el seguimiento de las secuencias y rutinas lgicas del sistema.

Control Interno Informtico

Controles para la seguridad de las bases de datos
El control interno informtico ayuda a proteger las
bases de datos de la empresa, por medio de
controles especiales y medidas
preventivas y correctivas.
Estos controles pueden ser establecidos por el rea
administrativa Para vigilar el acceso de los usuarios
al sistema, as como para proteger la informacin
atreves de respaldo peridicos y
recuperacin de datos en caso de perdidas,
deterioros y de cualquier mal uso que de haga de
ellos.

Control Interno Informtico

Algunos de los controles que se pueden establecer para la seguridad
de las bases de datos
Programas de Proteccin para impedir el uso inadecuado
y la alteracin de datos de uso exclusivo
Respaldo peridicos de informacin
Planes y programas para prevenir contingencias y recuperar
informacin
Control de accesos a la base de datos
Rutinas de monitoreo y evaluacin de operaciones relacionadas
con las base de datos

Control Interno Informtico

Controles para la seguridad en la operacin de los sistemas
computacionales
Para el buen funcionamiento de los sistemas de procesamiento
de datos, es necesario establecer controles y medidas preventivas
para evitar accidentes, actos dolosos premeditados o negligencias
que repercutan en la operacin y funcionamiento del sistema en la
emisin del resultados del procesamiento de la informacin.

Control Interno Informtico

Los siguientes aspectos deben ser tomados en cuenta para la
seguridad en la operacin del sistema
Controles para los procedimientos de operacin
Controles para el procesamiento de informacin
Controles para la emisin de resultados

Controles especficos para la operacin de la computadora

Control Interno Informtico

Controles para el almacenamiento de informacin

Son la medidas de seguridad y proteccin,

internas y externas,
que se adoptan en el rea de sistemas
para el almacenamiento de la informacin
contenida en la base de datos as como de
los programas, lenguajes, y paqueteras
que se utilizan para la operacin normal
de dicha rea.

Control Interno Informtico

Algunos de los controles para el mantenimiento de sistema
Controles para la seguridad del personal de informtica

Controles administrativos de personal

Seguros y fianzas para l personal de sistemas
Planes de programas de capacitacin

Control Interno Informtico

Controles para la seguridad en las telecomunicacin de datos

Controles para la seguridad y sistemas de redes y multiusuario

Preguntas?