Notes

Control Interno

Se lee en 3 min

Política y cultura sobre seguridad

1. Política y Cultura sobre Seguridad

El control interno comienza con la creación de una cultura organizacional que valore la seguridad de la información y los sistemas.

2. Agentes Implicados en las Auditorías

Auditor Informático (Interno o Externo)

  • Funciones principales:
    • Revisar los controles internos definidos en cada función informática.
    • Verificar el cumplimiento de normativas internas y externas.
    • Evaluar riesgos según criterios de la Dirección del Negocio y de Informática.
    • Informar a la alta dirección sobre hallazgos.
    • Recomendar acciones para minimizar riesgos cuando se detecten deficiencias.

Controles Generales en las Empresas

Cuando una persona ingresa a una empresa, se crean cuentas y accesos a sistemas. Esto lo gestiona el área de personal. Todo queda registrado:

  • ¿Qué se hace?
  • ¿Cómo se hace?

A medida que los sistemas se vuelven más complejos, las medidas de seguridad deben evolucionar también.

Elementos Clave del Control Interno

a. Políticas

  • Fundamentan la planificación, control y evaluación.
  • Establecidas por la Dirección de Informática.

b. Planificación Estratégica

  • Plan Estratégico de Información:

    • Define procesos corporativos.
    • Considera el uso de TI, sus amenazas y oportunidades.
    • Lo elabora la Alta Dirección.

  • Plan Informático:

    • Define proyectos concretos de implementación.
    • Responsable: Dirección de Informática.

  • Plan General de Seguridad:

    • Garantiza la confidencialidad, integridad y disponibilidad de la información.

  • Plan de Emergencia ante Desastres:

    • Asegura la disponibilidad de los sistemas en caso de eventos imprevistos.

c. Estándares

  • Regulan:
    • Adquisición de recursos.
    • Diseño, desarrollo, modificación y explotación de sistemas.

d. Procedimientos

  • Detallan:
    • Responsabilidades y formas de ejecución.
    • Relación entre la Dirección de Informática y los Departamentos Usuarios.

e. Organización de la Dirección de Informática

  • Debe ser independiente de los Departamentos Usuarios.
  • Claras funciones y responsabilidades, bien separadas.

f. Políticas de Personal

  • Involucran:
    • Selección y formación.
    • Vacaciones.
    • Evaluación y promoción del personal.

g. Control de Excepciones

  • La Dirección de Informática debe:
    • Revisar todos los informes de control.
    • Resolver las excepciones detectadas.

h. Clasificación de la Información

  • Debe existir una política formal para establecer niveles de acceso.

i. Roles Clave

  • Designación oficial de:
    • Responsable de Seguridad de la Información (CIL).
    • Auditor Informático.

Controles en Desarrollo, Adquisición y Mantenimiento de Sistemas

Los controles en esta área deben asegurar:

  • Eficiencia del sistema.
  • Economía e integridad de los datos.
  • Protección de los recursos.
  • Cumplimiento de leyes y regulaciones.

Principales Herramientas y Metodologías

a. Ciclo de Vida del Desarrollo de Sistemas

  • Su aplicación garantiza que se cumplirán los objetivos definidos del sistema.
  • Proporciona un marco metodológico para controlar cada etapa del desarrollo.

b. Controles en Explotación y Mantenimiento

  • Aseguran que:
    • Los datos se traten con consistencia y precisión.
    • Las modificaciones a sistemas sean autorizadas y controladas.

c. Controles en Aplicaciones

  • Controles de entrada de datos. Validación de los formularios, etc.
  • Controles de tratamientos de los datos para garantizar la integridad de los mismos.
  • Controles de salida. Gestión de errores de salida

Vista Gráfica

Retroenlaces