Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

CONTROLES GENERALES




Enviado por Magno D Ayala

    Indice
    1.
    Introducción
    2. Conceptos
    Básicos
    3. Herramientas de
    control
    4. Formularios de
    control
    5. Conclusiones y
    recomendaciones
    6. Bibliografía

    1.
    Introducción

    En un mundo que depende cada día mas de los
    servicios
    proporcionados por las computadoras,
    es vital definir procedimientos en
    caso de una posible falla o siniestro. Cuando ocurra una
    contingencia, es esencial que se conozca el detalle, el motivo
    que la origino y el daño causado, lo que permitirá
    recuperar en el menor tiempo posible el
    proceso
    perdido. También se debe analizar el impacto futuro en el
    organización y prevenir cualquier
    implicación negativa.
    En todas las actividades relacionadas con las ciencias de la
    computación, existe un riesgo aceptable,
    y es necesario analizar y entender estos factores para establecer
    los procedimientos
    que permitirán analizarlos al máximo y en caso que
    ocurran, poder reparar
    el daño y reanudar la operación lo mas
    rápidamente posible.
    En una situación ideal, se deberían elaborar planes
    para manejar cualquier contingencia que se presente.
    Evidentemente, ante todo debe existir en la empresa una
    política
    abierta y decidida en materia de
    seguridad,
    impulsada por la propia dirección. En este afán es que se
    trata de evaluar estas situaciones mediante la aplicación
    de los formularios de
    controles generales.

    2. Conceptos
    Básicos

    Auditoria informática
    Conceptualmente la auditoria, toda y cualquier auditoria, es la
    actividad consistente en la emisión de una opinión
    profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad
    que pretende reflejar y/o cumple las condiciones que le han sido
    prescritas.
    En un ambiente donde
    la informática esta encabezando el trabajo en
    las diferentes oficinas e instituciones,
    el almacenamiento,
    ejecución y procesamiento de los datos se esta
    haciendo vía computadoras,
    por lo tanto en el trabajo de
    la auditoria también es algo indispensable. Aunque en el
    ambiente de la
    informática la computadora
    es el medio principal para auditar pero no hay que olvidar que es
    a la persona junto a
    la información la cual estamos auditando y no
    la computadora en
    si, no se cambio el
    espirito de la auditoria tradicional, solamente se cambio el
    método.
    El seleccionar la metodología de trabajo implica estudiar
    varias para así determinar cuál es la más
    adecuada.

    Clases de auditoria y procedimientos
    El Objeto y la Finalidad distinguen el tipo o clase de auditoria
    de que se trata. El objeto sometido a estudio, sea cual sea su
    soporte, por una parte, y la finalidad con que se realiza el
    estudio, definen el tipo de auditoria de que se trata.
    La opinión profesional, elemento esencial de la auditoria,
    se fundamenta y justifica por medio de unos procedimientos
    específicos tendentes a proporcionar una seguridad
    razonable de lo que se afirma.
    Como es natural, cada una de las clases o tipos de auditoria
    posee sus propios procedimientos para alcanzar el fin previsto
    aun cuando en muchos casos puedan coincidir. El alcance de la
    auditoria, concepto de vital
    importancia, nos viene dado por los procedimientos. La amplitud y
    profundidad de los procedimientos que se apliquen nos definen su
    alcance.
    Se pretende garantizar que se toman en consideración todos
    los aspectos, áreas, elementos, operaciones,
    circunstancias etc. que sean significativas.
    Para ello se establecen unas Normas y
    Procedimientos que en cuanto a la ejecución de la
    auditoria se resumen en que:

    • El trabajo se planificará apropiadamente y
      se supervisará adecuadamente.
    • Se estudiará y evaluará el sistema de
      control
      interno.
    • Se obtendrá evidencia suficiente y
      adecuada

    Para concluir se establece que la evidencia obtenida
    deberá recogerse en los papeles de trabajo del auditor
    como justificación y soporte del trabajo efectuado y la
    opinión expresada.

    3. Herramientas
    de control

    Definición. Características
    En la tecnología de la seguridad
    informática que se ve envuelta en los controles,
    existe tecnología de
    hardware (como
    los cifradores) y de software. Las herramientas
    de control son
    elementos software que por sus
    características funcionales permiten
    vertebrar un control de una
    manera mas actual y mas automatizada. Pero a no olvidar que la
    herramienta de control en si misma no es nada.
    Las áreas de control mas comunes son:

    • De organización
    • De operación
    • De Seguridad lógica del sistema
    • De Seguridad física del
      sistema
    • De planes de contingencia
    • De cambios a programas y/o
      sistemas

    4. Formularios de
    control

    Formularios mas utilizados
    Una de las herramientas mas utilizadas por los auditores son los
    formularios, que sirven como guía para indagar acerca del
    desempeño de las áreas a ser
    analizadas. Estos formularios se hacen de tal manera a cubrir la
    mayor parte de las situaciones que deban ser verificadas a fin de
    tener un completo panorama del status actual del departamento
    auditado.
    Estos formularios abarcan las áreas como ser:

    • Gerencia Informática
    • Operación

    Para la Gerencia
    informática se establecen a su vez otras áreas como
    ser:

    • Organización
    • Planes de contingencia
    • Cambios a programas y/o
      sistemas

    Para el área Operativa se establecen a su vez
    otras áreas como ser:

    • Operación
    • Seguridad física
    • Seguridad lógica

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles
    generales*

    I- Controles de Organización

    SI

    NO

    N. A.

    Referencia

    1- Existen normas y
    procedimientos escritos sobre el funcionamiento del
    CPD?

    2- El CPD esta separado del resto de los
    departamentos?

    3- Es adecuada la segregación de funciones
    entre el CPD y los departamentos usuarios?

    4- Existe organigrama del funcionamiento del
    CPD?

    5- Se describen con detalles las funciones y
    responsabilidades del personal?

    6- Es posible que los operadores accedan a
    programas y datos no
    necesarios para su trabajo?

    7- Se rotan la asignaciones de trabajo de los
    operadores?

    8- Existe personal
    con conocimiento y experiencia suficiente para
    organizar el trabajo?

    9- Se aprueba por personal autorizado las
    solicitudes de nuevas aplicaciones?

    10- Existen procedimientos adecuados para mantener
    la documentación al
    día?

    11- Tienen manuales
    todas las aplicaciones?

    12- Se aprueban los programas nuevos?

    13- Se revisan antes de ponerlos en
    funcionamiento?

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles
    generales*

    I- Controles de Operación

    SI

    NO

    N. A.

    Referencia

    1- Existen procedimientos normales para la
    operación del Centro de Cómputos?

    2- Están actualizados los
    procedimientos?

    3- Existen ordenes de proceso
    para cada corrida de la
    computadora?

    4- Existe un control que asegure la
    justificación de los procesos
    en el computador?

    5- Como programan los operadores los trabajos
    dentro del departamento de cómputos?

    6- Los retrasos o incumplimiento con el programa de
    operación diaria, se revisa y analiza?

    7- Existen procedimientos escritos para la
    recuperación del sistema en caso de
    falla?

    8- Existen instrucciones especificas para cada
    proceso, con las indicaciones pertinentes?

    9- Puede el operador modificar los datos de
    entrada?

    10- Se prohibe a analistas o programadores la
    operación del sistema que analizo o
    programo?

    11- Se prohibe al operador modificar información de archivos o
    bibliotecas de programas?

    12- El operador realiza mantenimiento diario en dispositivos que
    así lo requieran?

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles generales

    I- Controles de Operación

    SI

    NO

    N. A.

    Referencia

    13- Se tiene un control adecuado sobre los
    sistemas
    y programas que están en
    operación?

    14- Existen procedimientos para evitar la corrida
    de programas no autorizados?

    15- Se controla estrictamente el acceso a la
    documentación de programas o de
    aplicaciones rutinarias?

    16- Existen procedimientos formales que se deban
    observar antes de que sean aceptados en operación,
    sistemas
    nuevos o modificaciones?

    17- Estos procedimientos incluyen a las corridas
    en paralelo con los sistemas anteriores?

    18- Se tiene inventario actualizado de los equipos y
    terminales con su localización?

     

     

    Esta sección fue dejada en blanco en forma
    intencional

     

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles
    generales*

    I- Controles de Seguridad Física

    SI

    NO

    N. A.

    Referencia

    1- Existe vigilancia a la entrada del
    CPD?

    2- Se ha instruido a estas personas en caso de que
    alguien pretenda ingresar sin
    autorización?

    3- El edificio donde se encuentra el CPD esta a
    salvo de terremotos, incendios, inundación,
    sabotaje?

    4- El CPD tiene salida directa al
    exterior?

    5- Son controladas las visitas en el
    CPD?

    6- Existen alarmas detectoras de incendios?

    7- Estas alarmas son perfectamente
    audibles?

    8- Existen extintores de fuego?

    9- El personal ha sido adiestrado en su
    uso?

    10- Se verifica periódicamente el
    funcionamiento de los extintores?

    11- Los interruptores de energía
    están debidamente protegidos, etiquetados y al
    alcance?

    12- Sabe que hacer el personal en caso de
    incendio?

    13- Existe salida de emergencia?

    14- Se prohibe fumar, comer y beber en el
    CPD?

    15- Existen carteles indicativos?

    16- El personal esta adiestrado para casos de
    emergencia?

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles generales

    I- Controles de Seguridad Lógica

    SI

    NO

    N. A.

    Referencia

    1- Se cuenta con copias de los archivos en
    lugar distinto al de la computadora?

    2- Se tienen procedimientos de
    actualización para estas copias?

    3- Existe Departamento de Auditoria
    Interna?

    4- Se auditan los sistemas en
    operación?

    5- Si se tienen terminales conectadas, se han
    establecidos procedimientos de operación?

    6- Se ha establecido que información puede
    ser accesada y por que persona?

    7- Se ha establecido un numero máximo de
    violaciones en sucesión para que sea inhabilitada la
    terminal?

    8- Se registra cada violación a los
    procedimientos con el fin de llevar estadísticas y frenar tendencias
    mayores?

    9- Se exige a los usuarios que cambien sus
    contraseñas periódicamente?

    10- Estas contraseñas son de longitud
    mínima?

    11- El sistema restringe a los usuarios cuyas
    cuentas
    están inactivas por determinado tiempo?

    12- Se tienen identificados los archivos con
    información confidencial y se cuentan con claves de
    acceso?

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles
    generales*

    I- Controles de Planes de Contingencia

    SI

    NO

    N. A.

    Referencia

    1- Existen procedimientos de restauración y
    repetición de procesos?

    2- Los operadores cuentan con documentación
    acerca de estos procedimientos?

    3- Existen planes de contingencia en casos de
    estragos (incendios, sabotajes, etc.)?

    4- Se cuenta con personal alternativo en caso de
    que los responsables del área no estén
    disponibles?

    5- Se cuenta con fuentes
    de energía ininterrumpible UPS’s?

    6- Los teléfonos de emergencia
    (policía, bomberos, etc.) están ubicados en
    lugares visibles?

    7- Se cuenta con los teléfonos de los
    responsables del área?

    8- Se cuenta con los teléfonos de los
    proveedores?

    9- El personal esta entrenado para los casos de
    emergencia?

    10- El personal sabe a quien recurrir en caso de
    emergencia?

    11- El plan de
    contingencia tiene la aprobación de los
    superiores?

    12- Tiene revisión
    periódica?

    Referencia:
    Cliente:
    Fecha:
    Título: Formulario de controles generales

    I- Controles de Cambios de
    Programas/Sistemas

    SI

    NO

    N. A.

    Referencia

    1- La solicitud de modificaciones a los programas
    se hace en forma escrita?

    2- Una vez efectuadas las modificaciones se
    presentan las pruebas
    a los interesados?

    3- Existe control estricto en las
    modificaciones?

    4- Las correcciones están debidamente
    autorizadas?

    5- Las correcciones están debidamente
    documentadas?

    6- Las correcciones están debidamente
    probadas?

    7- Cuando se efectúan modificaciones a los
    programas a iniciativa de quien se hacen?

    • Usuario
    • Director de Informática
    • Jefe de análisis y programación
    • Programador
    • Otro

    8- Se revisa que tengan la fecha de las
    modificaciones cuando se hayan efectuado?

    Esta sección fue dejada en blanco en forma
    intencional

     

    5. Conclusiones y
    recomendaciones

    Evidentemente el control de las actividades relacionadas
    al Area de Informática afecta sobremanera la forma de en
    como estas serán realizadas. Permitirá una mejor
    utilización y desempeño de programas, sistemas y
    demás recursos, con
    mejores prestaciones
    en cuanto a fiabilidad, seguridad, conceptos tan importantes hoy
    en día.
    Sin duda los formularios que utilice el auditor serán de
    suma utilidad y ayuda
    en la tarea. Le permitirá un mejor control de las
    áreas a ser verificadas y podrá enfocar mejor los
    objetivos de
    la auditoria y su alcance.

    6.
    Bibliografía

    – PIATTINI, Mario G y Del PESO, Emilio. Auditoria
    Informática. Un enfoque practico. RA-MA, Madrid.
    1998

     

     

     

    Trabajo preparado por:
    Magno Ayala

    Analista de Sistemas. 2001

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter