Control interno (ci)
15
Control Interno (CI) Identificar una buena gestión de los sistemas
-
Upload
jose-alvarado-robles -
Category
Technology
-
view
55 -
download
0
Transcript of Control interno (ci)
Control Interno (CI)Identificar una buena gestión de los sistemas
Control Informático
Responsables: departamento de informática, jefe de informática o CIO (Chief Information Officer).
Establece como prioridad la seguridad y protección de la información
Proveer la confiabilidad y veracidad de los datos.
Establece las acciones necesarias para el adecuado desempeño de los sistemas.
Ejemplos
Servidores de almacenamiento de datos con mecanismos de redundancia, discos duros múltiples (RAID).
Validación de los datos por medio de software, contraseñas, datos lógicos y preguntas de seguridad.
Contar con la documentación de los sistemas, manuales de operación y mantenimiento.
CI del Área de Informática
Controles internos de la organización: Dirección (debe tener un encargado) División del trabajo (personal asignado
para cada tarea, especialización) Asignación de responsabilidades Establecimientos de estándares
(manuales de procedimientos para cada puesto)
Perfiles de puestos (requisitos mínimos de estudios / experiencia)
CI sobre el análisis, desarrollo e implementación del sistema
Estandarización de metodologías de desarrollo de proyectos (ej. ciclo de vida clásico)
Asegurar el beneficio del sistema (uso vs. costo) Elaborar estudio de factibilidad (se pueden pagar
u obtener los recursos necesarios) Garantizar la eficacia y eficiencia del diseño (es lo
que se pidió? El sistema puede colapsar?) Vigilar la eficiencia y eficacia de la
implementación (ej. tiempo de instalación) Optimización del uso del sistema por medio de la
documentación (manuales fáciles y prácticos)
CI sobre la operación
Prevenir y corregir los errores de operación (ej. capacitar a los usuarios)
Prevenir la manipulación fraudulenta de datos (ej. Establecer niveles de usuario: operador, administrador, etc.)
Implementar y mantener la seguridad en la información (ej. Copias de seguridad programadas)
CI sobre la seguridad informática Controles para prevenir y evitar
contingencias Controles sobre la seguridad lógica del área
de sistemas Control sobre la seguridad física del área de
sistemas Controles de seguridad de la BD Controles sobre la seguridad del personal Controles sobre la telecomunicación de
datos Controles sobre la seguridad de redes
Ejemplos
Manuales de operación por medio de diagramas de bloques o flujos.
Designar al personal que será responsable de equipos de red y servidores.
El cuarto de servidores cuenta con cerradura tradicional o cerradura eléctrica con tarjetas de cinta magnética.
Direcciones IP de los servidores o rutas de información deben ser confidenciales.
Políticas de seguridad en el Sistema Operativo Implementación de VPN o redes privadas
virtuales.
Puntos de ControlIdentificando riesgos en el sistema
Puntos de control
Lugar o momento donde existe riesgo o posibilidad falla o error.
Puntos de control básicos: Ingreso de datos Creación de archivos Manipulación de datos Actualización de datos Almacenamiento
Técnica para situar punto de control
Analizar el sistema (la lógica del sistema) Estudiar cada una de las pantallas (o procesos)
del sistema y determinar si existe riesgo Si existe riesgo, comprobar la relación de
entradas y salidas. Evaluar la incidencia de la posible falla o error
(cuan posible es introducir un entrada invalida) Establecer el mecanismo de control (la
solución) Establecer la factibilidad del punto de control
Factibilidad del Punto de Control Identificar si la organización es capaz de
cumplir las metas o establecer nuevas soluciones con los recursos actuales de la organización.
Factibilidades: Técnica, mejorar directamente la tecnología. Económica, costo de implementar mejora
vs. Desempeño + financiamiento. Factibilidad operativa, la solución
implementada, mejora o dificulta el uso del sistema? Hará mas lentas las operaciones?
Ejemplo
En la Cooperativa Xelaju se detectaron entradas ilegales (no intencionales) en la base de datos por personal no autorizado
Las soluciones propuestas son: Que el operador ingrese su numero de trabajador, su nombre de
usuario y su contraseña en cada operación, la contraseña alfanumérica es de 10 dígitos.
Costo de modificación Q3500.00 que incluye mejora de código y 1 hora para reinstalación.
Retrasa la operación aprox. 30 segundos. Promedio tiempo/transacción 5 min 6 horas de jornada de trabajo 6x60 min / 5 min = # operaciones por jornada 6x60 min / 5.5 min = # operaciones por jornada con modificación # operaciones jornada - # operaciones modificación = #
operaciones perdidas (x semana? Y x mes?)
Ejemplo
En cada estación de trabajo se debe de instalar un lector de huellas digitales por medio del cual se realiza la autenticación de operaciones.
Hay 8 estaciones de trabajo y el lector cuesta Q150.00, en total son Q1200.00
Implementar el software de lectura de huella tiene un costo de Q4000.00 y la reinstalación dura 2 horas.
Prácticamente no retrasa la operación por lo que los tiempos de operación se mantienen iguales
6x60 min / 5 min = # operaciones diarias con modificación y sin modificación
QUE SOLUCIÓN ES LA MEJOR?
Hoja de Trabajo
Analice el sistema de “Control Web De Alumnos” de la Universidad Mesoamericana en base a su propia experiencia y establezca los puntos de control en base al siguiente esquema:
1) Punto de Control*1. Falla o Error2. Daños3. Justificación de la falla o error4. Mecanismo propuesto (solución)*El punto de control puede ser tanto software como proceso administrativo.
