Intraclase #7

Temas: Control Interno Informático
Objetivo: Conocer los tipos de controles informáticos que se deben implementar en una organización, con la finalidad de mantener la integridad, confidencialidad y confiabilidad de los datos.

SISTEMA DE CONTROL INTERNO INFORMÁTICO

Controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

OBJETIVOS PRINCIPALES:

*Asesorar sobre el conocimiento de las normas.

*Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.

*Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del servicio informático.

CLASIFICACIÓN DE LOS OBJETIVOS DEL CONTROL INFORMÁTICO

*Controles Preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

*Controles Detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. 

Por ejemplo, el registro de intentos de acceso no autorizados.

 

*Controles Correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. 

Por ejemplo, la recuperación de un archivo perdido o dañado a partir de copias de seguridad.

 

ALGUNOS CONTROLES INTERNOS

 

1. Controles generales organizativos.

• Plan Informático, realizado por el Departamento de Informática.
• Plan General de Seguridad (física y lógica).
• Plan de Contingencia ante desastres.

2. Controles de desarrollo y mantenimiento de sistemas de información: Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de desarrollo de aplicaciones.

3. Controles de explotación de sistemas de información: Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.

4. Controles en aplicaciones Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completo y exacto de los datos.

IMPLANTACIÓN DE POLÍTICAS Y CULTURA 

IMPLANTACIÓN DE UN SISTEMA DE CONTROL 

INTERNO INFORMÁTICO

La evaluación de controles de tecnología de la Información exige analizar diversos elementos ínter dependientes. Por ello es importante conocer bien la configuración del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, así como para identificar los posibles riesgos.

• Entorno de Red.- esquema de la red, descripción de la configuración de hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de la red.
• Configuración del Ordenador Base.-Configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos.
• Entorno de Aplicaciones.- Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y Herramientas.- Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
• Seguridad del Ordenador Base.- Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, entre otros.

Para la implantación de un sistema de control interno informático debe definirse.

 

• Gestión de sistemas de Información.- Política, pautas y normas técnicas que sirvan para el diseño y la implantación de los sistemas de información y de los controles correspondiente. 
• Administración de Sistemas.- Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes. 
• Seguridad.- Incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Extraclase #4

Extraclase #4

Flujograma

Firma #4

Firma #4

Intraclase #6

Tema: Funciones de la auditoria informática.
Objetivo:  Analizar las funciones para el control interno, mediante el análisis de las consideraciones pertinentes.
Fecha: 07/06/2019.

Evaluación durante la Operación del Sistema de Cómputo

El ingeniero en informática debe de asegurarse que durante la operación del sistema de cómputo:

• Cumpla con los requerimientos del usuario.
• Se sigan las normas, políticas y procedimientos de seguridad.
• Se mantenga actualizado tecnológicamente.
• Se efectúen auditorias informáticas programas y eventuales.

Auditoria en Informática:

Su función es descubrir fraudes, robo electrónico, alteración o modificación de programas, difamación, entre otros, riesgos que repercuten en daños económicos.

La auditoria tiene como apoyo a los controles para mantener la seguridad de los sistemas de información.

• Revisión analítica a la suficiencia de controles establecidos en el ámbito informático, con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la información.
• La función del auditor va encaminada a prevenir y vigilar el control de la función del procesamiento de datos, apoyar en el establecimiento de estándares en la empresa y pugnar por la conservación de los activos informáticos de la misma.
• Se parte de la existencia de normas, políticas y procedimientos que rigen a la función informática y delimita el nivel de congruencia con el ejercicio de los mismos.

Importancia:

Un sistema de información se constituye por un conjunto de procedimientos manuales y computarizados.

Objetivo:

El objetivo de la auditoria es asegurar que la información que producen los sistemas sea confiable, útil y oportuna entre otras.

Para lograrlo se ayuda de los controles.

• Monitorea el cumplimiento del programa de seguridad informática.
• Revisa el acatamiento y el apego a las políticas y normas.

Objetivos Particulares

Personal:

• Cuerpo de gerentes 
• Supervisores 
• Técnicos Operadores

Personal de la institución:

• Cumple con lo establecido en las políticas y normas de seguridad.
• Reporta excepciones al coordinador de seguridad.
• Participa en los programas de concientización.

Grupo de emergencia ante contingencias:

• Apoyan ante la presencia de fallas de en la seguridad.
• Diagnostican problema,
• Corrigen fallas y ajustan las tecnologías de protección.
• Notifican la problemática a otras áreas técnicas a fines.

Grupo de instrucción detección (Tiger Teams). 

• Evalúan nivel de seguridad en la organización.
• Detectan riesgos y fallas presentes en las tecnologías y aplicaciones.
• Documentan problemáticas y proponen acciones de solución.

Administradores (Firewalls). 

• Aplican políticas de seguridad establecidas.
• Parametrizan el firewall.
• Dan seguimiento a situaciones de excepción.
• Generar respaldos periódicos.
• Dan apoyo ante afectación del servicio.

FUNCIONES GENERALES DEL AUDITOR 

Funciones Generales

• Diseñar, establecer (si no existe) y verificar que se lleve a cabo métodos de respaldo y control que garanticen la continuidad de los servicios a los usuarios.
• Elaborar (si no existe) y verificar que sea adecuado el plan de contingencia de todo el procesamiento electrónico de datos.
• Establecer los controles adecuados que garanticen la completa protección de todos los recursos de cómputo.
• Investigar , estudiar y proponer la adquisición y utilización de nuevos equipos de cómputo.
• Mantener y actualizar la configuración de los equipos electrónicos y redes de comunicación para satisfacer las necesidades de crecimiento, implantación de nuevas aplicaciones y niveles de servicio ofrecidos a los usuarios. 

Objetivos Particulares

Software:  Verificar que se este a la vanguardia en tecnología de software:

• Sistema operativo

                 Utilitario

                 Métodos de acceso

                 Lenguajes

• Software de comunicaciones
• Software de base de datos

Servicio a usuarios:

Mejorar y mantener los niveles de servicio al usuario en sus necesidades. 

• Consultas
• Capacitación
• Documentación
• Implementacion

Taller #4

Taller #4

Tema: Escribir 5 características de los manuales de Usuario, Programador, Procedimientos.

MANUAL DEL USUARIO 

1. Porcentaje mayor de gráficas o capturas de pantalla.
2. No requiere conocimientos específicos en el área de interés.
3. Indica el modo de operar de un objeto o programa.
4. Contiene una guía de uso.
5. Presenta el e-mail y teléfonos de soporte técnico.

MANUAL DEL PROGRAMADOR

1. Detalla las condiciones especiales de ejecución.
2. Presenta una estructura de datos y características físicas y lógicas de los archivos usados.
3. Posee la definición y descripción de variables usadas en el sistema.
4. Tiene un diccionario de datos.
5. Indica la transformación que sufren los datos para convertirse en información.

MANUAL DE PROCEDIMIENTOS

1. Cumple con la función para la que fueron creados.
2. Cuenta con metodología para una actualización y aplicación mas fácil.
3. Debe encontrarse a disposición y conocimiento de todo el personal de la empresa.
4. Debe contar con un lenguaje sencillo.
5. Presenta diagramas y flujos que conectan los procesos.

Intraclase #5

Tema: Principios deontologicos del Auditor Informático.
Objetivo: Conocer los principios de deontologia para un mejor entendimiento de la auditoria.

CÓDIGO DEONTOLÓGICO

El código deontológico es un documento que recoge un conjunto más o menos amplio de criterios, normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional. Los códigos deontológicos se ocupan de los aspectos más sustanciales y fundamentales del ejercicio de la profesión que regulan.

FINALIDAD:

Incidir en sus comportamientos profesionales estimulando que esta se ajusten a determinados principios morales que deben servirles de guía.

PRINCIPIOS:

Estos principios deben concordar con los del resto de profesionales y más con los de quienes cuya actividad presenten mayores relaciones con la de la auditoria.

Los principios deontologicos son:

PRINCIPIO DE BENEFICIO DEL AUDITADO:

• La actividad del auditor debe estar en todo momento orientada a orientar el máximo provecho de su cliente.
• Cualquier actitud que anteponga intereses personales del auditor al auditado deberá      considerarse como no ética.
• El auditor deberá evitar estar ligado en cualquier forma a intereses de determinadas  marcas, productos o equipos del auditado con los de otros fabricantes.
• El auditor deberá abstenerse de recomendar actuaciones innecesarias o que generen      riesgos injustificados para el auditado.

PRINCIPIO DE CALIDAD

• En caso de que los medios impidan o dificulten la realización de la auditoria deberá negarse a realizara hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios.
• Si el auditor considera conveniente ganar el informe de otros técnicos mas cualificados sobre algún aspecto que supere su capacitación profesional deberá remitirlo a un especialista para mejor calidad de la auditoria.

PRINCIPIO DE CAPACIDAD:

• Principio relacionado con el de formación continúa.
• El auditor debe estar plenamente capacitado para la realización de la auditoria.
• El auditor puede incidir en la toma de decisiones de la mayoría de sus clientes con un elevado grado de libertad dada la dificultad practica del auditado.
• Debe ser consiente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria evitando que una sobre-estimación personal pudiera provocar el incumplimiento parcial o total de la misma.
• El auditor deberá procurar que sus conocimientos evolucionen con el desarrollo de las tecnologías de la información.

PRINCIPIO DE CAUTELA:

• Sus recomendaciones deben estar basadas en la experiencia.
• Debe estar al corriente del desarrollo de las tecnologías de la información e informar al auditado de su evolución.
• Debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL:

• El auditor deberá actuar conforme a las normas implícitas o explicitas de dignidad de la profesión.
• Debe cuidar la moderación de la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones.
• Debe transmitir una imagen de precisión y exactitud en sus comentarios.
• El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos.
• El auditor debe guardar respeto por la política empresarial del auditado. 

PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO:

• El auditor deberá evitar que el exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas. 
• Deberá calcular las posibles consecuencias de la acumulación de trabajos. 
• Evitar la practica de ahorro de esfuerzos basada en la reproducción de partes significativas de conclusiones obtenidos de trabajos anteriores.

PRINCIPIO DE CONFIANZA:

• El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional. 
• Para que haya confianza se requiere una disposición de dialogo que permita aclarar las dudas por las dos partes. 
• Debe adecuar su lenguaje a nivel de comprensión del auditado, si es necesario detallar su explicación.

PRINCIPIO DE CRITERIO PROPIO:

• Este principio esta relacionado con el principio de independencia. 
• El auditor deberá actuar con criterio propio y no permitir que este dependa de otros profesionales aún de reconocido prestigio. 
• En caso de que aprecie diferencias de criterio con otros profesionales deberá reflejar dichas diferencias dejando de manifiesto su criterio.

PRINCIPIO DE ECONOMÍA:

• El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios.
• Debe procurar evitar retrasos innecesarios en la realización de la auditoria.
• Tener en cuenta la economía de medios materiales o humanos.
• Debe delimitar de forma concreta el alcance y limites de la auditoria.
• Deberá rechazar las ampliaciones de trabajo que no estén directamente relacionados con la auditoria aún a petición del auditado.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN:

• Deberá cuidar del reconocimiento del valor de su trabajo. 
• La remuneración por su actividad profesional debería estar acorde con la preparación del auditor. 
• Debe evitar competir des lealmente con sus compañeros rebajando sus precios a límites impropios. 
• Deberá promover el respeto mutuo y la no confrontación entre compañeros.

PRINCIPIO DE INTEGRIDAD MORAL:

• Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión.
• Evitar participar voluntaria o inconscientemente en cualquier acto de corrupción personal o de terceras personas.
• No aprovechar los conocimientos adquiridos durante la auditoria para utilizarlos en contra del auditado.
• Deberá emplear la máxima diligencia, dedicación y precisión utilizando su saber y entender.

PRINCIPIO DE LEGALIDAD:

• El auditor deberá evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la desobediencia de la legalidad vigente. 
• No consentirá ni colaborará en la eliminación de dispositivos de seguridad ni intentará obtener códigos o claves de acceso a sectores restringidos de información. 
• Debe abstenerse de intervenir líneas de comunicación o controlar actividades que generen vulneración.

PRINCIPIO DE PRECISIÓN:

• Relacionado con el principio de calidad exige al auditor la no conclusión de su trabajo hasta estar convencido.
• En la exposición de sus conclusiones debe ser critico.
• Debe indicar como ha evaluado únicamente aquello que haya comprobado u observad o de forma absoluta.

PRINCIPIO DE RESPONSABILIDAD:

• El auditor debe responsabilizarse de lo que haga, diga o aconseje. 
• Está obligado a hacerse cargo de daños o prejuicios que pueden derivarse de una actuación culpable.

PRINCIPIO DE SECRETO PROFESIONAL:

• La confidencia y confianza son características esenciales de las relaciones entre el auditor y el auditado.
• El auditor no debe difundir a terceras personas ningún dato que haya visto, oído o deducido durante el desarrollo de su trabajo.
• Imponer medidas y mecanismos de seguridad para garantizar al auditado que la información documentada va ha estar segura.

PRINCIPIO DE VERACIDAD:

• Debe siempre asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, corrección y secreto profesional.

Firma #3

Firma #3