METODOLOGIAS DE CONTROL INTERNO,SEGURIDAD Y ADITORIA INFORMATICA



INTRODUCCION A LAS METODOLOGÍAS

Siendo el método un modo ordenado de decir o hacer una cosa determinada, podemos decir que la metodología es un conjunto de métodos que se siguen en una investigación científica, lo cual significa que cada proceso científico debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual se le da el nombre de metodología.

La metodología se hace necesaria en materias como la informática, ya que sus aspectos son muy complejos y la cual se utiliza en cada doctrina que compone dicha materia, siendo de gran ayuda en la auditoria de los sistemas de información.

El nacimiento de metodología en el mundo de la auditoria y el control informático se puede observar en los primeros años de los ochenta, naciendo a la par con la informática, la cual utiliza la metodología en disciplinas como la seguridad de los sistemas de información, la cual la definimos como la doctrina que trata de los riesgos informáticos, en donde la auditoria se involucra en este proceso de protección y preservación de la información y de sus medios de proceso.

La informática crea unos riesgos informáticos los cuales pueden causar grandes problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos, siendo esta una función de los auditores informáticos. Una contramedida nace de la composición de varios factores como:

  • LA NORMATIVA: en donde se debe definir de forma clara y precisa todo lo que se debe existir y ser cumplido. Debe inspirarse en estándares, políticas, marco jurídico, y normas de la empresa.
  • LA ORGANIZACIÓN: en esta la integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos y aprobados por la dirección de la empresa.
  • LAS METODOLOGIAS: son muy necesarias para desarrollar cualquier proyecto que queramos hacer de forma ordenada eficaz.
  • LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos
  • LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, por lo cual deben estar aprobados por la dirección
  • En la TECNOLOGIA DE SEGURIDAD están todos los elementos, ya sean hardware o software, que ayudan a controlar el riesgo informático.
  • LAS HERRAMIENTAS DE CONTROL: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.

Todos estos anteriores factores están relacionados entre sí, así como la calidad de cada uno de ellos con la de los demás y al evaluar el nivel de seguridad en una entidad, lo que se está evaluando son estos factores y se plantea un plan de seguridad nuevo que mejore todos los factores a medida que se va realizando los distintos proyectos del plan, dicho plan de seguridad no es más que una estrategia planificada de acciones y proyectos que lleven a mejorar un sistema de información.

Arriba


METODOLOGIAS DE EVALUACION DE SISTEMAS

En la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad además de la auditoria informática.

Existen dos metodologías de evaluación de sistemas son las de ANALISIS DE RIESGOS y las de AUDITORIA INFORMATICA, con dos enfoques distintos. La auditoria informática solo identifica el nivel de exposición por la falla de controles, mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al coste-beneficio de las mismas.

Arriba


TIPOS DE METODOLOGIAS

Las metodologías existentes en la auditoria y el control informático, se pueden agrupar en dos familias:

  • Cuantitativas : basadas en un modelo matemático numérico que ayuda a la realización del trabajo.
  • Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.

METODOLOGIAS CUANTITATIVAS

Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos valores en el caso de metodologías de análisis de riesgos son datos de probabilidad de ocurrencia de un evento que se debe extraer de un registro de incidencias donde el número de incidencias tienda al infinito.

METODOLOGIAS CUALITATIVAS/SUBJETIVAS

Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.

Arriba


METODOLOGIAS MÁS COMUNES

Entre las metodologías más comunes de evaluación de sistemas se encuentra :

CONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL

Función de Control;

En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.

Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informática.

Metodologías de clasificación de información y de obtención de procedimientos de control;

Es establecer cuales son las entidades de información a proteger, dependiendo del grado de importancia de la información para el establecimiento de contramedidas.

Herramientas de control;

Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia y control de cambios. Y fisiocs los cifradores

ANALISIS DE PLATAFORMAS

Se trata de en determinar la plataforma para la colocación del producto más tarde.

CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACION

Es determinar el inventario de lo que se va a conseguir y también lo necesario para la implantación; acciones y proyectos, calendarizados y su duración y seguimiento.

ANALISIS DE APLICACIÓN

Se trata de inventariar las necesidades de desarrollo de INTERFASES con los diferentes software de seguridad de las aplicaciones y bases de datos.

INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS

Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones como de los del sistema y permite establecer que si el nuevo esquema de control no pierde los objetivos de control .

ADMINISTEACION DE SEGURIDAD

Es la observación de los diferentes productos para la control loa cuales deben de tener; reglas de control aplicables a todos los recursos del sistema, permitir al administrador la seguridad de establecer un perfil de privilegios de acceso para el usuario, designación de diferentes administradores, permitir el p´roducto al administrador de establecer privilegios a grupos y limitarlos en estas peticiones.

SINGLE SING ON

Este concepto se define como la utilización de un software password para tener una identificación para un usuario.

FACILIDAD DE USO Y REPORTING

Trata de la interfaz y la calidad de interfaz (interfaz gráficas, menús, etc.).

SEGURIDAD

Esta relacionado con la contraseña , la identificación , la contraseña mínima.


Arriba