Controles de las Tecnologías de Información Indice

1. Introducción 2. Los siete controles primarios de tecnologia informatica 3. Controles de implementacion 4. Controles sobre el mantenimiento 5. Controles sobre la operacion del computador 6. Controles sobre la seguridad de programas 7. Controles sobre la seguridad de archivos de datos 8. Controles sobre el softvvare de sistemas 9. Controles sobre la conversion de archivos

1. Introducción
Los controles de TI son los procedimientos dentro del departamento de Sistemas de Información, que aseguran que los programas operan apropiadamente y que se impidan cambios no autorizados. Incluyen controles sobre el diseño, Implementación, Seguridad, y uso de Programas y Archivos del computador. Estos controles consisten en una combinación de procedimientos manuales y programados. Los controles de TI son similares a los controles de Aplicación, aunque debería notarse las siguientes diferencias: λ Los controles de TI son controles sobre el medio ambiente de PED en su totalidad. λ Los controles de Aplicación son controles sobre aplicaciones específicas; los controles de TI cubren todas las aplicaciones. λ Los controles de Aplicación están compuestos de procedimientos manuales y procedimientos programados. λ Los controles de Ti regulan el medio ambiente de PED para asegurar que los procedimientos programados continúen funcionando apropiadamente. λ Si existen debilidades en los controles de TI, no hay seguridad de que los procedimientos programados continúen trabajando apropiadamente, aún cuando no hayan sido cambiados. λ Un ambiente de PED controlado en forma inapropiada, puede ocasionar la interrupción de las operaciones de la organización por la vía de: λ Múltiples reejecuciones de las aplicaciones para corregir errores, causando retrasos. λ Afectar la información usada por la Administración para operar el negocio. λ Permitir la ocurrencia de fraudes, tal como la alteración no autorizada de los registros electrónicos. λ Permitir la divulgación de secretos comerciales.

2. Los siete controles primarios de tecnologia informatica

Controles sobre el software de sistemas. entre el momento en que completa el estudio de factibilidad para un sistema de aplicación propuesto y el momento en que ese sistema se implanta exitosamente. para arribar a una serie de programas de producción detallados e instrucciones específicas. El trabajo realizado por una organización. Los procedimientos relacionados con el desarrollo de nuevos sistemas son los siguientes: λ λ λ λ Administración del desarrollo del sistema Diseño de sistema y preparación de programas Prueba de programas y sistemas Catalogación. probados. diseñados para asegurar que los procedimientos programados son propiados y correctamente implantados en los programas computacionales. 3.Incluyen controles sobre el diseño de nuevas aplicaciones computacionales.1 Administración del desarrollo del sistema . diseñados para asegurar que cambios no autorizados no pueden ser hechos a procedimientos programados. Los controles de implementación ayudan a evitar los errores en aplicaciones nuevas. diseñados para asegurar que los cambios a los procedimientos programados son diseñados.Los controles de TI pueden ser divididos en las siguientes siete áreas: • • • • • • • • 3. Estos controles se aplican tanto a sistemas desarrollados internamente como a aquellos adquiridos a proveedores externos. CONTROLES DE IMPLEMENTACION Controles de lmplementación. diseñados para asegurar que los procedimientos programados son aplicados consistentemente durante todo el procesamiento de la información y que se utilizan las versiones correctas de los archivos. La traducción de los requerimientos de los usuarios partiendo de ideas generales. Controles sobre operación del computador. tanto para el computador como para los departamentos usuarios. Controles sobre la seguridad de programas. diseñados para asegurar que el software de sistemas es implantado correctamente y protegido contra cambios no autorizados. Controles sobre la seguridad de archivos. y los procedimientos para traspasar los programas aprobados a producción. diseñados para asegurar que los datos. puede significar una cantidad de tiempo considerable. son convertidos en forma total y exacta desde un sistema antiguo a uno nuevo. diseñados para asegurar que cambios no autorizados no pueden ser efectuados a archivos de datos. Controles sobre el mantenimiento. aprobados e implementados apropiadamente. es muy significativo. Controles sobre la conversión de archivos. la prueba de los programas de aplicación.

por el grupo de soporte técnico (en relación a la compatibilidad con el Software de Sistemas existente). Se definen los puntos de control y las interfases con otros sistemas y con el software de sistemas. partes a ser involucrados en el proceso de desarrollo del plan. Se realiza la aprobación del estudio de factibilidad. plan de pruebas y resultados. 3. A menudo. y . son revisados y aprobados usualmente por los usuarios y por las funciones de PED que se verán afectadas por la nueva aplicación (por ejemplo: los administradores de la Base de Datos y de la Red de Comunicaciones). los requerimientos para nuevas aplicaciones son submitidos el Departamento de PED por los dueños de las aplicaciones. los requerimientos de nuevas aplicaciones son iniciados por los usuarios. cambios en la legislación o por el deseo de incrementar la eficiencia del procesamiento. el plan de pruebas es un esfuerzo conjunto entre los usuarios y la administración de PED. y de la compatibilidad con las otras aplicaciones). se efectúa el control del avance del proyecto en relación a grupos de programas o módulos. 3. los datos a ser utilizados o la metodología para generar estos datos. y los resultados esperados de las pruebas. diagramas de flujo de la recopilación de datos. Los prototipos pueden ayudar a los usuarios a refinar sus especificaciones para la nueva aplicación.Generalmente. análisis técnico para determinar los efectos sobre el hardware y software existente y análisis operacional para medir el impacto de la aplicación sobre las operaciones de la organización. Los usuarios y personal de PED efectúan el estudio de factibilidad. diseño general del sistema.la jefatura. Normalmente. La prueba de programas y sistemas se hace normalmente en tres etapas diferentes: . y las aprobaciones que deben obtenerse. Los informes de estudio de factibilidad. el diseño general del sistema y las especificaciones detalladas. La documentación del plan incluye la descripción de las pruebas. La administración de cada unidad ínvolucrada en el flujo de datos revisa el plan para asegurar que entienden y están de acuerdo con él antes de que continúe el desarrollo. las funciones de control de calidad y/o auditoría interna están involucradas en este proceso. Esas políticas especifican el nivel de detalle de la documentación del plan. basados en necesidades. las políticas de PED requieren el desarrollo de planes de prueba para todas las aplicaciones nuevas. Se documenta el diseño general. incluyendo análisis de costobeneficio. incluyendo los procedimientos manuales y programados.2 Diseño del Sistema y Preparación de Programas Típicamente.3 Prueba de Programas y Sistemas Normalmente. procesos de ingreso y emisión de informes para conciliación y fechas esperadas de término e implementación. También es necesario controlar la planificación de la implementación de los nuevos sistemas a través del uso de cartas de administración de proyectos u otro método que registre el estado de avance del proyecto. Típicamente. de programación (para dar la conformidad de los programas respecto de las especificaciones. las especificaciones detalladas para las nuevas aplicaciones incluyen narrativas y/o flujogramas de actividades. Generalmente.

Es probable que el programador original piense que su lógica es correcta y trate de probar que lo es. La prueba de escritorio consiste en analizar la lógica de un programa y confirmar que el código del programa reúne las especificaciones de dicho programa. no de prueba.deberían ser probados y documentados. si esto fuera posible. La prueba de programa consiste en verificar la lógica de programas individuales. el sistema existente. hasta que todos los errores de lógica sean detectados. Cuando fuera posible. La prueba de escritorio se realiza normalmente en conjunción con la utilización de datos de prueba. 1. haya sido exitosamente ejecutado en el nuevo sistema. Los resultados deberían ser revisados. si fuera necesario. ni tampoco debería ser abandonado hasta que. Los datos de prueba deben ser reprocesados y rediseñados. o en paralelo con. incluyendo todos los procedimientos de los usuarios. y procesar grandes volúmenes de información. entes que realmente verificar que así sea. Se deben establecer procedimientos formales para identificar y corregir cualquier error descubierto durante la prueba. La prueba de sistema consiste en verificar que la lógica de varios programas individuales es consistente y que pueden encadenarse para formar un sistema completo que reúna los requerimientos de las especificaciones detalladas del sistema. Los resultados obtenidos de este proceso dual. los procedimientos de recuperación la habilidad del sistema para recuperarse de una terminación anormal . En adición a ello. Los métodos principales utilizados son la prueba de escritorio y datos de prueba. 3. preparados de acuerdo con las especificaciones del sistema para ser procesados por el mismo y deben ser diseñados para cubrir todas las alternativos de proceso o condiciones de error. la técnica principal utilizada es la de datos de prueba. A diferencia de la prueba de sistema. Todos los resultados obtenidos con los datos de prueba deberán ser documentados y retenidos como evidencia de que dichas pruebas fueron realizadas. por personal diferente al responsable de la programación detallada. las pruebas deberían también tratar el efecto de circunstancias inusuales en el sistema.(1) prueba de programa. Corridas en paralelo o piloto es una manera de probar la operación de un sistema completo. En adición a situaciones comunes que el sistema está diseñado para manejar. el propósito de la prueba en paralelo o piloto es probar la habilidad del sistema para manejar datos reales. La prueba paralela significa operar el nuevo sistema al mismo tiempo. pueden ser verificados para identificar e investigar cualquier diferencia. el ciclo completo de proceso. la prueba del sistema debería ser realizada o verificada por personal diferente de aquél que fue responsable de hacer la programación detallada. (2) prueba de sistema.4 Catalogación . 3. la prueba de escritorio debería ser realizada por un programador diferente el que diseño y escribió el programa. Los resultados de la prueba deben ser cuidadosamente revisados. Los datos de prueba son datos ficticios. en vez de transacciones individuales. 2.. en la medida que sea práctico. Los mismos datos pueden también ser utilizados para probar cambios futuros al sistema. y (3) prueba paralela. El nuevo sistema no debería ser aceptado en su totalidad por el departamento usuario correspondiente. Cuando fuera posible.

han sido hechos a los programas. Por ejemplo. La versión fuente también debe ser guardada. estén funcionando. Los procedimientos relacionados con la mantención de sistemas son: Administración de los cambios a sistemas Prueba de programas Catalogación. es un procedimiento del sistema operativo. incorporados y actualizados apropiadamente. la versión ejecutable de un programa es la probada y utilizada para producción. y que los procedimientos manuales para el sistema nuevo. Otra buena práctica es recompilar programas antes de la prueba final de aceptación. Un control de cambios manual o automatizado. aprobados. y que los requerimientos de cambio son manejados apropiadamente. . pero se relacionan con los cambios de programas más que con nuevas aplicaciones. revisadas y aprobadas por personal responsable de los departamentos involucrados. Naturalmente. la transferencia de programas aprobados que residen en bibliotecas de prueba a bibliotecas de producción u operacionales.La catalogación es el conjunto de procedimientos necesarios para transferir a producción aquellos programas ya probados. según sea el caso. Esto incluye la preparación de instrucciones escritas de operación y de usuarios. es importante verificar que el programa fuente retenido coincide con la versión ejecutable residente en la biblioteca de producción. Cubren las mismas áreas que los controles de implementación. Estos controles deberían asegurar que los cambios son diseñados. incluyendo instrucciones al personal sobre los nuevos procedimientos. Con todas estas versiones disponibles. probados. y solamente ellos. Los procedimientos más importantes son aquellos que aseguran que la prueba y la documentación ha sido satisfactoriamente completados antes que los programas entren en producción. Esto es esencial si se desea confiar en la comparación de versiones fuente descripta anteriormente. Cuando estos programas están en línea. puesto que cualquier cambio autorizado subsecuente se hace sobre esta versión. Los procedimientos de catalogación deberán incluir puntos de control para asegurar que todos los cambios requeridos. 4. un individuo en cada departamento puede preparar requerimientos o reunirse con los propietarios de la aplicación y con personal de PED para discutir la necesidad de los cambios y los métodos mediante los cuales deberían ser efectuados.1 Administración de los cambios a sistemas Los usuarios y la administración de PED siguen procedimientos específicos para requerir cambios. CONTROLES SOBRE EL MANTENIMIENTO Los controles sobre el mantenimiento. existen programas disponibles para verificar que un programa recompilado es idéntico a la versión ejecutable del mismo programa. tanto en el departamento usuario como en el departamento de PED. o el sistema que está siendo cambiado. 4. Existen paquetes de manejo de bibliotecas que pueden ayudar a controlar las versiones y los cambios realizados. están diseñados para asegurar que las modificaciones a los procedimientos programados están diseñadas e implementadas en forma efectiva. Debería haber un procedimiento para transferir a producción programas nuevos o cambiados.

tiene políticas que requieren el desarrollo de un plan de pruebas para cada programa sometido a cambios. (2) prueba de sistema: y/o (3) prueba paralela. la aprobación necesaria del plan. Dependiendo de la complejidad de los cambios y su impacto sobre el sistema de aplicación. de los programas. Operaciones del computador es responsable por la ejecución física de las aplicaciones (montar cintas. y que especifica el nivel de detalle. La documentación del sistema. Los cambios a los programas deberían ser documentados tan acabadamente como los sistemas nuevos. 4. el departamento de operaciones del computador controla el funcionamiento del hardware y software en el día-a-día. de operación y de los usuarios debería ser actualizada para reflejar todos los cambios.3 Catalogación Generalmente. esto es asistido por un departamento de control de la producción. los resultados esperados. Para asegurar que la documentación ha sido actualizada satisfactoriamente. Incluyen controles sobre el uso de los datos apropiados. Una documentación inadecuada puede resultar en errores de sistema. el usuario en conjunto con la administración de PED deberían determinar la técnica de prueba apropiada: (1 ) prueba de programa. Usualmente. esta es revisada y aprobada por la función de control de calidad o por los usuarios responsables de la aplicación y por la administración de PED.2 Prueba de programas Una organización bien controlada.asegura que todos los requerimientos son atendidos y que se lleva un registro del estado de avance de ellos. la transferencia de programas probados es la misma para la implementación de sistemas nuevos como para las subsecuentes mantenciones. La documentación del plan de pruebas debería incluir las pruebas a ser ejecutadas. y quienes deberían efectuar dichas pruebas. programas y otros recursos. En muchas organizaciones. Los controles sobre la operación del computador están descritos en las siguientes secciones: . tiempo excesivo de mantención y una dependencia desmedida en personal técnico. particularmente cuando ocurre un problema. la mayoría de los cambios requieren de la prueba de programas y la prueba de sistemas. tales como discontinuar el uso de un dispositivo cuando presenta una falla). imprimir los informes y tomar decisiones acerca del hardware. CONTROLES SOBRE LA OPERACION DEL COMPUTADOR Los controles sobre la operación del computador están diseñados para asegurar que los sistemas continúan funcionando consistentemente. y cómo desarrollar los datos de prueba. de acuerdo con lo planeado. el plan de pruebas es revisado y aprobado por los usuarios y por la administración de PED. 5. y la ejecución apropiada de esta función por parte de los operadores. Control de 18 producción es responsable por la preparación de trabajos y la planificación de la carga. 4. Normalmente.

los tiempos de inicio y fin del trabajo y cualquier condición anormal ocurrida durante la ejecución del trabajo. Otras instalaciones usan un esquema de planificación manual. Las consideraciones de control se asocian a que si los trabajos se ejecuten en el punto. La administración de PED utiliza bitácoras (manuales o automáticas) para monitorear la adherencia de los operadores a la planificación aprobada. control de la producción o la jefatura de operaciones requiere de aprobaciones escritas de los usuarios para ejecutar trabajos en una secuencia distinta a la planificada. la planificación sólo es relevante para aquellos proceso de tipo batch.1 Planificación La planificación vincula los trabajos a ser ejecutados con los archivos de datos a ser utilizados. la planificación de los procesos es aprobada por los usuarios y por la jefatura de operaciones. es mantener instrucciones escritas previamente aprobadas. tiempo y secuencia apropiada. Si las aplicaciones en operación son en línea. cuando se implementa un sistema. tales como actualizaciones periódicas a ciertos archivos. de respaldo y de inicio de actividades del día. Los usuarios deben entregar requerimientos escritos para la planificación de trabajos que no están considerados en la planificación normal. En cualquiera de estos casos.- Planificación de la carga Preparación y ejecución de Trabajos Uso correcto de los archivos de datos Monitoreo de actividades Procedimientos de Respaldo y Recuperación. se debe especificar la secuencia de eventos. la preparación de trabajos es importante para los controles sobre operación del computador. Esas bitácoras informan los trabajos ejecutados. Cuando ocurre una condición anormal. En muchas instalaciones. Esto debería ser revisado y aprobado por personal responsable. el operador prepara un formulario de descripción de problemas para la. o procedimientos de fin de año. se utiliza software de planificación para submitir los procesos sobre una base predeterminada (por ejemplo: todos los días a las tres de la tarde. y los dispositivos deben ser asignados. Existe también la necesidad de verificar que los comandos y los parámetros utilizados se corresponden con dichas instrucciones. posterior investigación y la autorización de la reejecución. La manera más común de asegurar que el lenguaje de control de trabajos y los parámetros que están siendo utilizados son los apropiados.2 Preparación de Trabajos Preparación de trabajos es el nombre normalmente dado a la preparación de una aplicación para su proceso. 5. Las instrucciones de preparación de trabajos deberían cubrir todas las aplicaciones y el . Se deben definir y cargar los programas y archivos de datos del sistema. Normalmente. o los días 15 y último de cada mes). 5. debido a que ayuda a asegurar que el lenguaje de control de trabajos y sus parámetros están apropiadamente preparados y que los archivos correctos sean utilizados. tales como los procesos de fin de día.

4 Monitoreo de actividades El funcionamiento del computador y sus operaciones. normalmente el sistema operativo o el operador deberán cancelar el trabajo. El sistema operativo puede también asegurar que los archivos correctos están siendo utilizados. Sin embargo. 5. 5. cuando es necesario. que es leído por el software de sistemas y chequeado por el computador contra la información contenida en el JCL o en un sistema de control de cintas. para asegurar la correcta secuencia de ellos. información relacionada con la preparación de equipos periféricos y archivos. descritos como controles de aplicación. aún son necesarios controles específicos sobre el uso de datos correctos. los controles sobre la actualización y sobre el mantenimiento. cabecera conteniendo información tal como el nombre del archivo y el número de la versión del mismo. desde el momento en que son retirados de la biblioteca física hasta la preparación del trabajo. Cuando el archivo es preparado para el proceso. está normalmente controlado por procedimientos manuales y programados. Sin embargo. aseguran que se utiliza los archivos de datos correctos. Control de la producción determina la causa del problema y toma las acciones correctivas necesarias. En sistemas más avanzados. Las funciones manuales están normalmente restringidas a las acciones requeridas o solicitadas por dichos programas especiales. Estas acciones son revisadas y aprobadas por control de la producción y por los usuarios. La consideración principal de control en este caso es que el sistema operativo utilizado es confiable y que los . el software de sistemas cheques el label interno de cada uno de los volúmenes. lenguaje de control de trabajos (JCL) y parámetros de ejecución. los detalles de dicho registro son verificados. el flujo del proceso.3 Uso correcto de los archivos de datos En muchos casos. Los correspondientes label externos son puestos a los dispositivos de almacenamiento removibles. Esto es particularmente verdadero. Típicamente. controles específicos sobre la utilización de los archivos correctos aún son necesarios. interno único. para aquellos archivos que contienen tablas que son utilizadas durante un proceso (por ejemplo. Ellos deberían incluir. aseguran que los archivos correctos están siendo utilizados.sistema operativo. cada archivo asignado a un dispositivo incluye un registro. En muchos casos. Cuando un archivo requerido por un trabajo está erróneo. Esto es particularmente cierto en archivos que contienen tablas que son requeridas en el procesamiento (por ejemplo: la lista de números cuando se utiliza chequeo de la secuencia numérica). los controles de actualización y mantenimiento. descritos como controles de aplicación. donde fuera apropiado. está utilizado como una técnica de control. Cuando el sistema operativo. para que sean leídos por los cincotecarios y operadores en el momento de asignar dichos archivos al procesamiento. Cuando un archivo es de tipo multi-volumen. dichos procedimientos son mayormente llevados a cabo por programas especiales. los controles sobre los archivos de datos requieren que éstos tengan un label. la lista de números cuando se utiliza chequeos de secuencia). Cualquier intervención por parte del operador sobre estos controles debería ser revisada y aprobada. Puede haber controles manuales sobre los archivos de datos.

CONTROLES SOBRE LA SEGURIDAD DE PROGRAMAS Los controles sobre seguridad de programas están diseñados para asegurar que cambios no autorizados no pueden ser hechos a programas de producción.1 Software de control de acceso Una organización puede usar software de sistemas (por ejemplo: opciones del sistema operativo. ejecución. Algunas de las principales técnicas que pueden ser utilizadas son: • La facilidad para recomenzar en un estado intermedio del proceso. y otros documentos claves están disponibles en caso que los originales se pierdan. no debería introducir ningún cambio erróneo dentro del sistema.Códigos de identificación de usuarios y passwords . Esto es aplicable a los programas cancelados antes de su término normal y evita la necesidad de reprocesar todo el trabajo. paquetes de seguridad. para asegurar que las copias de las instrucciones de operación.5 Procedimientos de Recuperación y Respaldo Deberían existir procedimientos de respaldo. • Instrucciones formales escritas para la recuperación del proceso o su transferencia a otra instalación. Generalmente. 5. paquetes de administración de bibliotecas de programas. se puede interferir con o afectar el proceso normal del computador. 6. el proceso de recuperación de programas de producción. puesto que por error o por otras razones. software de comunicaciones) para restringir el acceso a las bibliotecas de programas o a programas específicos en bibliotecas de producción. un cambio hecho en un sistema que procesa salarios y pagos en efectivo podría resultar en que se realicen pagos no autorizados). 6. Los procedimientos relacionados con la seguridad sobre los programas son: Software de control de acceso Controles sobre el acceso físico Segregación defunciones. sistema operativo o archivos. Esto hace posible recuperar cualquier archivo perdido o dañado durante la interrupción del trabajo. • Un sistema para copiar y almacenar independientemente archivos maestros y las transacciones respectivas.procedimientos manuales no lo son. La seguridad de programas es preocupación especial para el auditor cuando un cambio no autorizado en un programa particular podría beneficiar a la persona que realiza el cambio (por ejemplo. las técnicas de control usadas incluyen: . • Procedimientos similares al anterior. Dichos controles aseguran que los únicos cambios son aquellos hechos a través de los procedimientos normales de cambios de programas. En el evento de una falla del computador.

sino también a: Bibliotecas de procedimientos (JCL) Archivos del software de control de acceso Bibliotecas del software de sistemas Archivos de bitácoras. de modo independiente. Los problemas (por ejemplo: desactivación de usuarios o denegar el acceso) son identificados y se efectúa un seguimiento oportuno. Las acciones privilegiadas (por ejemplo: definición de nuevos usuarios. Una seguridad de acceso Completa.Opciones de menú restringidos .. Típicamente.Niveles de acceso restringido a los usuarios (acceso sólo de lectura) . Todos los controles de acceso necesitan usuarios con privilegios especiales para la administración y otras tareas importantes. La mayoría de las organizaciones usan software de control de acceso para restringir tanto el acceso a procesos en línea como a los procesos en batch. y asegurar que las user ID's y passwords no pueden ser obtenidas por personal no autorizado λ Mantener y definir las reglas de acceso de los usuarios autorizados λ Controlar. los programas pueden ser accedidos y alterados en una gran variedad de formas. junto con el software de control de acceso. cambios a los privilegios de los usuarios. las funciones del administrador de la seguridad son: λ Mantener control es apropiados sobre el diseño y mantención de las identificaciones de los usuarios (user ID) y sus passwords.Capacidades de los medios de input/output restringidas. Es preferible las revisiones diarias o semanales de los registros. proveen control extenso sobre los programas. 6. requiere que todos los usuarios estén registrados por el sistema y que sean monitoreados por la función de administración de la Seguridad.2 Controles sobre el acceso físico El control físico. El acceso no sólo es 'restringido a programas específicos o 8 bibliotecas. Los procedimientos de control de interés incluyen: . cambios en la definición de los recursos y a las reglas de acceso y sobrepasar la seguridad) también son registradas e investigadas en forma oportuna por el administrador de la seguridad. En los sistemas computacionales de hoy en día. distribuir y corregir las tablas de password λ Revocar inmediatamente las user ID's y passwords de los usuarios que dejan de pertenecer a la organización o que han sido trasladados. tales como: λ λ λ λ Establecer y cambiar las user ID's Resetear las passwords u otros códigos secretos Sobrepasar los controles de acceso (atributos de acceso irrestricto) Cambiar el estado del sistema de seguridad y las opciones del software de control de acceso. pero las revisiones mensuales pueden ser adecuadas para un volumen bajo de actividades.

ya sea accidental o intencionalmente. el problema está limitado a controlar la acción de los operadores durante esa ejecución en particular.3 Segregación de funciones Con la suficiente capacidad técnica y el conocimiento detallado de su contenido. aún fuera de las horas normales de trabajo. 6. 7. donde los archivos de datos han sido cargados para la ejecución de un programa específico.1 Software de Controles de Acceso Una amenaza particular para los datos es el acceso irrestricto. La protección contra esta posibilidad. 7. y los recursos disponibles. La necesidad de controles de seguridad sobre archivos de datos es normalmente mayor para archivos maestros que para archivos de transacciones. El nivel apropiado de los controles de acceso está determinado por la sensibilidad de los datos. normalmente se incremento con una apropiada segregación de funciones. incluyendo la restricción a los caminos de acceso de u sistema y al rango de actividades permitidas a los usuarios.λ Restricción de acceso físico a los terminales o el acceso privilegiado a terminales y usuarios específicos. Consideraciones operativas incluyen proteger los datos de ser borrados o destruidos. En sistemas en lote. aquellos responsables del desarrollo y mantenimiento de los programas. Los sistemas de conexión telefónica requieren altos niveles de seguridad debido a los peligros de acceso por personal no autorizado. por otro lado. la división de funciones de los usuarios. Los controles sobre archivos de datos son también importante desde un punto de vista operativo. Los sistemas en línea y tiempo real requieren una: combinación de técnicas de control. los usuarios podrían sobrepasar la seguridad y hacer cambios a programas en producción. en una bodega. . Por ejemplo. porque no todos los campos de datos críticos de los archivos maestros están sujetos a los procedimientos regulares de verificación y reconciliación. Cuando las funciones son separadas. que permite que los datos sean cambiados sin autorización previa. y contra robos y uso no autorizado. los usuarios no pueden obtener un conocimiento detallado de los programas. restringiendo al acceso al terminal para registrar el stock físico y reforzar la limitación de tiempo para el uso de la terminal λ Restricción de acceso a la sala del computador (vía tarjetas magnéticas o claves de números en la puerta) λ Restricción al acceso de los listados de los programas λ Control y restricción al acceso de los respaldos de los programas y su documentación. Esto es así. no pueden tener acceso irrestricto a los programas de producción. Es importante mantener esta segregación de funciones en todo momento. CONTROLES SOBRE LA SEGURIDAD DE ARCHIVOS DE DATOS Los controles sobre la seguridad de archivos aseguran que no se pueden efectuar cambios no autorizados sobre los archivos de datos. Cualquier verificación cíclica de archivos de datos podría no ser hecha lo suficientemente a menudo para proveer la oportuna identificación de cambios no autorizados.

Es posible producir informes. 7. una nota de crédito ficticia que está apareada a una factura dentro del archivo. ya sea para obtener información o introducir cambios. incluyen funciones del Sistema operativo tales como paquetes de control de bibliotecas. o un campo de datos. Estos procedimientos. como es el caso de sistemas en línea y tiempo real.Acceso por los usuarios. son similares a aquellos ya descritos para programas. transacciones.5 Seguridad Física . incluyendo aquellos almacenados en sitios remotos para utilización en caso de desastre. Normalmente transacciones con datos inválidos son introducidas al sistema para alterar el efecto de una transacción que ya se encuentra en el archivo. a través de los cuales se puede definir qué datos pueden ser procesados y con qué opciones. posiblemente con propósitos no autorizados. pero pueden ser removidos.2 Acceso a Datos en línea En situaciones donde los datos son capturados a través de un terminal.3 Acceso por los programas en producción En adición a los controles de acceso de usuarios y de termínales. programas de comunicaciones y sistemas de manejo de base de datos. programas de seguridad del sistema operativo. 7. Esto puede ocurrir cuando los archivos no están físicamente protegidos y/o su manejo no está apropiadamente controlado. El acceso a los datos puede ser restringido por medio de paquetes de seguridad. debería haber una combinación apropiada de opciones del sistema operativo. Solamente personal autorizado debería tener acceso a archivos.4 Archivos Fuera de Línea Los archivos residentes fuera de línea están protegidos contra cambios mientras no estén cargados en el computador. de todos los accesos permitidos a los diferentes programas. alteraría el estado de dicha factura. que se utilizará posteriormente en el proceso de actualización. ya sea de lectura o actualización. tal como la tasa de pago o la tasa de interés. o archivos. Los procedimientos da control diseñados para proteger archivos de datos contra accesos no autorizados por parte de usuarios dec sistema. que normalmente pueden ser llevados a cabo al mismo tiempo que aquellos para los programas. Por ejemplo. 7. es esencial proteger contra la captura de información no autorizada. palabras claves. Dichos informes deberían ser revisados e investigados si fuera necesario. tal como la cuenta de un proveedor ficticio. deberían establecerse procedimientos para restringir el acceso a los datos por diversos programas. Las características de control deberían proteger contra el traslado no autorizado o destrucción de archivos. Datos inválidos dentro de un archivo maestro pueden consistir de un registro completo. generado por dicho paquete. que permita restringir termínales a ciertos programas. La captura de datos inválidos puede ser hecha para archivos de transacciones o archivos maestros. 7. Cuando los archivos de datos están en línea.

Para proteger archivos fuera de línea contra accesos no autorizados. Muchos de los controles de TI. CONTROLES SOBRE EL SOFTVVARE DE SISTEMAS Los controles sobre el software de sistemas asegura que el software de sistemas es implementado. tales como la seguridad de archivos de datos y programas. preferiblemente. Esto significa que se deberían preparar calendarios de proceso que especifiquen en detalle los archivos que son requeridos para el proceso. . los programas del sistema operativo son importantes para el auditor puesto que ayudan a controlar tanto los programas que procesan información como los archivos de datos. Es necesario que existan procedimientos para asegurar que los archivos sean utilizados solamente para procesos autorizados.1 Implementación Los controles requeridos para la implantación exitosa del software de sistemas son esencialmente similares a aquellos requeridos para la implantación de programas de aplicación. Dichos calendarios deberían prepararse para todas las aplicaciones y ser aprobados por personal responsable. Debería requerirse autorización específica para remover archivos a sitios remotos o a otro computador. supervisado por un bibliotecario responsable de la entrega. recepción y seguridad de todos los archivos. El software de sistemas que puede ser relevante para controlar incluye programas relacionados con: • Catalogación • Informe de trabajos procesados • Manejo de archivos • Comunicaciones de datos • Informe de operaciones • Preparación de archivos • Seguridad de acceso • Registro de bibliotecas • Base de datos Los controles sobre el software de sistemas son discutidos en las siguientes secciones. excepto que este trabajo es efectuado por personal de soporte técnico y con por los programadores de aplicación. mantenido y protegido de cambios no autorizados en forma apropiada. Los accesos de dicha biblioteca deberían ser restringidos solamente a personal autorizado para retirar o devolver archivos. 8. dependen del software de sistemas. Debería estar alejada de donde reside el computador y. 8. debería existir un área de almacenamiento bajo llave.

si ocurren anomalías. como las diferentes opciones disponibles. Cuando el nuevo software de sistemas tiene una interfase directa con programas de aplicación es imperativo que los nuevos programas sean probados con programas de aplicación ya estables. En muchas organizaciones. Finalmente. para prevenir que personal de soporte técnico obtenga un entendimiento detallado de las aplicaciones procesadas y de los controles sobre los archivos claves y sobre las transacciones de aquellas aplicaciones. CONTROLES SOBRE LA CONVERSION DE ARCHIVOS Los controles sobre la conversión de archivos apuntan a la conversión de los archivos existentes a los nuevos archivos de datos de una aplicación nueva. el grupo de soporte técnico puede necesitar algunos programas de servicio que no deberían estar disponibles a operadores o a usuarios. Dicho personal debería asegurarse que la documentación describe apropiadamente los procedimientos necesarios para utilizar y operar correctamente el software de sistemas. Así. la organización debería establecer controles similares a aquellos sobre los programas de aplicación. 9. En el caso de que exista experiencia técnica y herramientas. las organizaciones aplican segregación de funciones. no hay experiencia técnica ni herramientas para efectuar correcciones al software de sistemas. Por ejemplo. 8. Las instrucciones y otra documentación del software de sistemas y las distintas opciones provistas deberían ser revisadas por personal técnicamente competente. Estas mejoras o nuevos programas deben ser probados para asegurar que éste opera de acuerdo con el ambiente de la organización. el riesgo de modificaciones no autorizadas es mínimo. Esta revisión debería abarcar tanto el sistema operativo básico. En esas circunstancias. El uso de programas del software de sistemas debería ser restringido a usuarios autorizados. Normalmente.Todo software de sistemas provisto por un proveedor debería estar sujeto a la revisión y aprobación por una persona con el conocimiento suficiente para determinar el impacto de dichos programas en los sistemas existentes y los procedimientos en operación. Dicha persona debería ser capaz de determinar si dichos programas satisfacen las necesidades y objetivos de la compañía. el trabajo del personal de soporte técnico debería ser supervisado en forma muy cercana por la jefatura de soporte técnico. .2 Mantenimiento El software de sistemas es modificado periódicamente por el vendedor quien introduce nuevos programas o mejoras a los programas existentes. ellas pueden ser identificadas como resultantes del nuevo software de sistemas. Ellos están diseñados para asegurar que el proceso de conversión no causo errores en los archivos de datos.

Sign up to vote on this title
UsefulNot useful