© ITGI 2004 - not for commercial use. 1

Control Interno y Auditoría de TICAgenda:

Control Interno InformáticoControl Interno InformáticoAuditoría InformáticaAuditoría InformáticaDefinición de tipos de controles Definición de tipos de controles internosinternosImplantación de un sistema de CITImplantación de un sistema de CIT

C. generales organizativosC. generales organizativosC. desarrollo adq y mant de SIC. desarrollo adq y mant de SIC. explotación de SIC. explotación de SIC. aplicaciónC. aplicaciónC. de tecnologías específicasC. de tecnologías específicas

ConclusionesConclusiones

© ITGI 2004 - not for commercial use. 2

Analizar y evaluar el CI

Las politicas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables

DefiniDefinicciióón n dede ControlControl

DefiniDefinicciióón n dede ObjetivObjetivoo de de

Control Control de de TTII

Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI

Recordemos primero las definiciones de control ya vistas

© ITGI 2004 - not for commercial use. 3

Control Interno de TIC

CIT verifica que todas las políticas, procedimientos, prácticas, relacionadas con TIC sean realizadas cumpliendo con los procedimientos, estándares y normas establecidos por la Dirección de la Organización y/o la Dirección de TIC así como los requerimientos legales

© ITGI 2004 - not for commercial use. 4

Auditoría de TIC

La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúa la función de tecnología de información y su aportación al cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.

© ITGI 2004 - not for commercial use. 5

Auditoría de TIC como Proceso

La AT es el proceso de recopilar analizar y evaluar evidencias para determinar si las TIC está siendo utilizadas para salvaguardar los activos, mantener la integridad de los datos, llevar a cabo eficazmente los fines de la organización y utilizar eficientemente los recursos

© ITGI 2004 - not for commercial use. 6

Grupos de funciones de la At

• Participar antes durante y después en las actividades de CVS

• Revisión y evaluación de los controles

• Revisión y evaluación del nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información

© ITGI 2004 - not for commercial use. 7

Sistema de Control Interno de TICTipos de controles internos

Primero propiedadesPrimero propiedades

• CompletosCompletos

• SimplesSimples

• RevisablesRevisables

• FiablesFiables

• AdecuadosAdecuados

• RentablesRentables

© ITGI 2004 - not for commercial use. 8

Sistema de Control Interno de TICTipos de controles internos

Segundo, tiposSegundo, tipos

• Controles preventivosControles preventivos

• Controles detectivosControles detectivos

• Controles correctivosControles correctivos

© ITGI 2004 - not for commercial use. 9

Sistema de Control Interno de TICMétodos de control y objetivos de controlObjetivo de control de Objetivo de control de mantenimiento. mantenimiento. Asegurar que las Asegurar que las modificaciones de procedimientos modificaciones de procedimientos almacenados estén correctamente almacenados estén correctamente diseñadas, probadas aprobadas e diseñadas, probadas aprobadas e implantadas.implantadas.

Objetivo de control de seguridad Objetivo de control de seguridad de programasde programas. Garantizar que no se . Garantizar que no se pueda realizar cambios no autorizados pueda realizar cambios no autorizados en los procedimientos de los en los procedimientos de los programas.programas.

© ITGI 2004 - not for commercial use. 10

Implantación de un Sistema de Control Interno de TIC

Documentar:Documentar:

Entorno de redEntorno de red

Configuración del ordenador baseConfiguración del ordenador base

Entorno de aplicacionesEntorno de aplicaciones

Productos y herramientasProductos y herramientas

Seguridad del ordenador baseSeguridad del ordenador base

© ITGI 2004 - not for commercial use. 11

Implantación de un Sistema de Control Interno de TIC

Definir :Definir :

Gestión de TICGestión de TIC

Administración de SistemaAdministración de Sistema

SeguridadSeguridad

Gestión de cambiosGestión de cambios

Seguridad del ordenador baseSeguridad del ordenador base

© ITGI 2004 - not for commercial use. 12

Implantación de un Sistema de Control Interno de TIC

Respaldo de la DirecciónRespaldo de la Dirección

Dirección de Negocios o Dirección de Dirección de Negocios o Dirección de TICTIC

Dirección de TICDirección de TIC

Control Interno de TICControl Interno de TIC

Auditor interno/externo de TICAuditor interno/externo de TIC

© ITGI 2004 - not for commercial use. 13

© ITGI 2004 - not for commercial use. 14

Implantación de un Sistema de Control Interno de TIC

Categorías de CITCategorías de CIT

Controles generales de organizaciónControles generales de organización

Controles de adquisición, desarrolloControles de adquisición, desarrollo

y mantenimiento de SIy mantenimiento de SI

Controles de explotación de SIControles de explotación de SI

Controles en aplicacionesControles en aplicaciones

Controles específicos de ciertas Controles específicos de ciertas tecnologíastecnologías

© ITGI 2004 - not for commercial use. 15

Controles generales de organizaciónControles generales de organización

PolíticasPolíticas

PlanificaciónPlanificación

PETIPETI

Plan de TICPlan de TIC

SgsiSgsi

SCnSCn

EstándanesEstándanes

© ITGI 2004 - not for commercial use. 16

Controles generales de organizaciónControles generales de organización

ProcedimientosProcedimientos

OrganizaciónOrganización

Descripción de funcionesDescripción de funciones

Políticas de personalPolíticas de personal

Dirección revise todos los informes de Dirección revise todos los informes de controlcontrol

Política de clasificación de informaciónPolítica de clasificación de información

Designar oficialmente la figra de CIT y Designar oficialmente la figra de CIT y ATAT

© ITGI 2004 - not for commercial use. 17

Controles de adquisición, desarrolloControles de adquisición, desarrolloy mantenimiento de SIy mantenimiento de SI

Metodología de CVD Metodología de CVD

Publicación normativasPublicación normativas

Responsabilidades por AreasResponsabilidades por Areas

Especificaciones definidas por Especificaciones definidas por usuariousuario

Plan Director de control de costosPlan Director de control de costos

Procedimientos para definición y Procedimientos para definición y documentación de especificaciones documentación de especificaciones de diseño, de entrada, salida, de diseño, de entrada, salida, arcivos, de procesos, de programas, arcivos, de procesos, de programas, etc.etc.

© ITGI 2004 - not for commercial use. 18

Controles de adquisición, desarrolloControles de adquisición, desarrolloy mantenimiento de SIy mantenimiento de SI

Metodología de CVD Metodología de CVD

Plan de validación, veriificación y Plan de validación, veriificación y pruebaspruebas