CONCEPTOS FUNDAMENTALES SOBRE RIESGO Y CONTROLES BÁSICOS EN INFORMÁTICA
Páginas: 13 (3098 palabras)
Publicado: 21 de noviembre de 2013
3.3. UNIDAD 3
3.3.1. CONCEPTOS FUNDAMENTALES SOBRE RIESGO Y CONTROLES BÁSICOS EN INFORMÁTICA
3.3.1.2. Control Interno y auditoría informáticos: campos análogos
La evaluación de ambas funciones ha sido espectacular durante la última década. Muchos controles internos fueron una vez auditores. De hecho, mucho de los actuales responsables de Control Interno Informático recibieron formación enseguridad informática tras su paso por la formación en auditoría. Numerosos auditores se pasan al campo de Control Interno Informático debido a la similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.
SISTEMA DE CONTROL INTERNO INFORMÁTICO1
Definición y tipos de controles internos
Se puede definir el control interno como“cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último habrá que analizar el coste-riesgo de suimplantación.
Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y paragestionar los sistemas de información.
Para asegurar la integridad, disponibilidad y eficiencia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos. Resulta interesante observar, sin embargo, que hasta en los sistemas servidor/cliente avanzados, aunque algunos controles son completamente automáticos, otros son completamente manuales, y muchosdepende de una combinación de elementos de software y de procedimientos.
Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes categorías:
Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: cuando fallan los preventivos para tratar de conocer cuantoantes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Como el concepto de controles se originó en la profesión deauditoría, resulta importante conocer la relación que existe entre los métodos de control, los objetivos de control y los objetivos de auditoría. Se trata de un tema difícil por el hecho de que, históricamente, cada método de control ha estado asociado unívocamente con un objetivo de control.
Sin embargo, a medida que los sistemas informáticos se han vuelto más complejos, los controles informáticoshan evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos.
Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de controlsatisface casi totalmente los tres objetivos de control.
La relación que existe entre los métodos de control y los objetivos de control puede demostrar mediante el siguiente ejemplo, en el que un sistema conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
Objetivos de control de mantenimiento: asegurar que las...
3.3.1. CONCEPTOS FUNDAMENTALES SOBRE RIESGO Y CONTROLES BÁSICOS EN INFORMÁTICA
3.3.1.2. Control Interno y auditoría informáticos: campos análogos
La evaluación de ambas funciones ha sido espectacular durante la última década. Muchos controles internos fueron una vez auditores. De hecho, mucho de los actuales responsables de Control Interno Informático recibieron formación enseguridad informática tras su paso por la formación en auditoría. Numerosos auditores se pasan al campo de Control Interno Informático debido a la similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.
SISTEMA DE CONTROL INTERNO INFORMÁTICO1
Definición y tipos de controles internos
Se puede definir el control interno como“cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último habrá que analizar el coste-riesgo de suimplantación.
Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y paragestionar los sistemas de información.
Para asegurar la integridad, disponibilidad y eficiencia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos. Resulta interesante observar, sin embargo, que hasta en los sistemas servidor/cliente avanzados, aunque algunos controles son completamente automáticos, otros son completamente manuales, y muchosdepende de una combinación de elementos de software y de procedimientos.
Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes categorías:
Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: cuando fallan los preventivos para tratar de conocer cuantoantes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Como el concepto de controles se originó en la profesión deauditoría, resulta importante conocer la relación que existe entre los métodos de control, los objetivos de control y los objetivos de auditoría. Se trata de un tema difícil por el hecho de que, históricamente, cada método de control ha estado asociado unívocamente con un objetivo de control.
Sin embargo, a medida que los sistemas informáticos se han vuelto más complejos, los controles informáticoshan evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informáticos.
Por ejemplo, en los actuales sistemas informáticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de controlsatisface casi totalmente los tres objetivos de control.
La relación que existe entre los métodos de control y los objetivos de control puede demostrar mediante el siguiente ejemplo, en el que un sistema conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
Objetivos de control de mantenimiento: asegurar que las...
Leer documento completo
Regístrate para leer el documento completo.