Descripción: Control interno informatico...
RIESGO Y CONTROL INFORMATICO Momento Final
1
Jaider F. Contreras Puentes Escuela de Ciencias Básicas Tecnología e Ingeniería, Universidad Nacional Abierta a Distancia Bogotá, Colombia
[email protected]
Resumen— En ell presente artículo se abordaran temas en el ámbito de la seguridad informática tales como los activos de información, vulnerabilidades, amenazas, riesgos y controles informaticos, para finalmente llegar a la contextualización de Control Interno Informático.
Palabras Clave: activo, amenaza, control, riesgo, control interno informático, vulnerabilidad. .
Activos de información bases de datos, documentación, manuales, software, hardware, contratos equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y las personas, que son quienes generan, transmiten y destruyen información.” Una clasificación general podría ser:
Abstrac – In this article topics were addressed in the field of computer security such as information assets, vulnerabilities, threats, risks and computerized controls, and finally to the contextualization of Internal Control Computer. Keywords: asset, threat, risk, internal control computer, vulnerability. I.INTRODUCCIÓN Los activos de información y los activos informáticos en general son quizás los más importantes para una empresa; Salvaguardar la seguridad de estos implica identificar las vulnerabilidades, las amenazas y los riesgos de estos y buscar mecanismos de control que impliquen contrarrestar ataques en contra de los mismos, mediante controles y políticas bien definidas y la implementación de funciones propias del área de TICs, ejemplo de ello es la implementación del control interno. Teniendo en cuenta lo anterior, en el presente articulo se trataran todos estos temas con el fin de contextualizar el control interno informático como factor importante dentro de la seguridad de la información y de los activos informáticos en general.
II. 1.
DESARROLLO
ACTIVOS INFORMÁTICOS
De acuerdo a la norma ISO 27001 se puede decir que “Un activo en relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Cualquier cosa que tiene valor para la organización. Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.
Figura 3: Clasificación de activos de Información 2.
VULNERABILIDADES
Las vulnerabilidades en un sistema informático son todas aquellas debilidades que se están presentando en el sistema, lo cual hace susceptible de ser afectado, alterado o destruido por alguna circunstancia indeseada, que afectan al funcionamiento normal o previsto de dicho sistema informático. Dentro de los tipos de vulnerabilidades que se pueden presentar en la empresa se encuentran: a)
Vulnerabilidades Físicas: Este tipo de vulnerabilidades se pueden encontrar en el edificio o entorno físico. Se relacionan con la posibilidad de entrar o acceder físicamente al lugar donde se encuentra el sistema para robar, modificar o destruir el mismo. Esta vulnerabilidad se refiere al control de acceso físico al sistema.
b) Vulnerabilidades Naturales: Se refiere al grado en que el sistema puede verse afectado debido a los fenómenos naturales que causan desastres. Las vulnerabilidades pueden ser:
Se puede penetrar al sistema a través de la red.
No contar con un espejo del sistema en otro lugar geográfico en caso de inundaciones o terremotos.
Interceptar información que es transmitida desde o hacia el sistema.
No disponer de reguladores, no-breaks, plantas de energía eléctrica alterna
Tener una mala instalación eléctrica de los equipos, en caso de rayos, fallas eléctricas o picos altos de potencia. f) Además de que las instalaciones se encuentren en mal estado, no contar con un adecuado sistema de ventilación y calefacción para que los equipos en temperaturas de 18 y 21 °C y se tenga una humedad entre 48 y 65%.
Se debe tener cuidado en que el centro de cómputo no tenga fallas debido a una mala estructura y en el diseño del cableado estructurado por no seguir ningún estándar para el diseño e implementación del mismo.
c)
Vulnerabilidades Humanas: Algunas de las diferentes vulnerabilidades humanas se tienen:
Contratar personal sin perfil psicológico y ético.
No tener personal suficiente para todas las tareas.
En caso de inundaciones, el no contar con paredes, techos impermeables y puertas que no permitan el paso del agua.
El descuido.
El cansancio.
No estar informado de las condiciones climatológicas locales al construir un centro de cómputo o para tomar medidas en determinado tiempo.
Maltrato del personal, así como la mala comunicación con el personal, malos entendidos.
Personal irresponsable, que descuida el acceso a su área de trabajo.
No tener servicio técnico propio de confianza.
No instruir a los usuarios para que eviten responder a preguntas sobre cualquier característica del sistema.
No asegurarse de que las personas que llaman por teléfono son quienes dicen ser.
El no tener control de acceso o acceso basado en restricciones de tiempo.
No contar con guardias de seguridad.
No tener un control de registros de entrada y salida de las personas que visitan el centro de cómputo.
3.
AMENAZAS
Vulnerabilidades de Hardware: El no verificar las características técnicas de los dispositivos junto con sus respectivas especificaciones, la falta de mantenimiento del equipo. Desde el punto de vista del hardware, ciertos tipos de dispositivos pueden ser más vulnerables que otros. Así, pueden existir algunos sistemas que no cuenten con la herramienta o tarjeta para poder acceder a los mismos; adquirir un equipo de mala calidad o hacer un mal uso del mismo, tener el equipo de cómputo expuesto a cargas estáticas, etc.
d) Vulnerabilidades de Software: Ciertas fallas o debilidades de los programas del sistema hace más fácil acceder al mismo y lo hace menos confiable. Este tipo de vulnerabilidades incluye todos los errores de programación en el sistema operativo u otros de aplicaciones que permite atacar al sistema operativo desde la red explotando la vulnerabilidad en el sistema. e)
2 sometido, al aumentar la cantidad de gente que puede tener acceso al mismo o intenta tenerlo. También se añade el riesgo de intercepción de las comunicaciones:
Vulnerabilidades de Red: La conexión de las computadoras a las redes supone un enorme incremento de la vulnerabilidad del sistema, aumenta considerablemente la escala de riesgos a que está
Una amenaza en su más simple definición es todo aquel elemento o acción que es capaz de atentar contra la seguridad de la información.
3 Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza depende de la existencia de una vulnerabilidad, que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información.
¿Qué es la administración del riesgo?
Tipos de amenazas:
¿Qué es el análisis de riesgos?
Las amenazas pueden clasificarse en dos tipos:
Es el medio por el cual los riesgos son identificados y evaluados para justificar las medidas de seguridad o controles.
Intencionales: Son aquellas que se producen deliberadamente con el intento de producir un daño, entre las cuales se tienen los robos de información bajo aplicación de técnicas de trashing, también se encuentran técnicas de propagación de código malicioso y las técnicas de ingeniería social. No intencionales: las cuales se producen por acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño a la misma, ejemplo de ello se tiene las relacionadas con fenómenos naturales. 4.
RIESGO
La ISO define al riesgo como “La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”. El riesgo es el resultado de las pérdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R = P * C). Tipos de Riesgo
Riesgo Crítico
Riesgos que tienen la mayor calificación dentro de un conjunto de riesgos que podrían presentarse en una operación o sistema. También se define como un riesgo de prioridad alta, de acuerdo con la evaluación de riesgos potenciales.
Riesgo Potencial
Es el riesgo inherente o asociado con la naturaleza de las operaciones. Este riesgo no tiene en cuenta los controles establecidos.
Riesgo Residual
Es el riesgo no cubierto por los controles establecidos.
Es el proceso mediante el cual se establecen medidas de control y de seguridad para reducir a niveles aceptables de riesgo residual los riesgos críticos y potenciales.
Algunos ejemplos de riesgos que se pueden presentar son los siguientes:
Daño o Destrucción de Activos Hurto o Fraude Desventaja Competitiva Sanciones Legales Perdida de Negocios y Credibilidad Pública Pérdida de dinero por exceso de desembolsos Decisiones erróneas Pérdida de Ingresos 5.
CONTROL INTERNO INFORMÁTICO
Para reducir los riesgos, vulnerabilidades y evitar o prevenir las amenazas, las empresas deben contar con mecanismos y controles a través de implementación de SGSI y con ello políticas de seguridad informática. Así mismo se debe contar en el área de tecnologías de la empresa con mecanismos y procedimientos claves que permitan mantener el control de todas esas incidencias, amenazas que comprometan la seguridad de la información y de la informática en general, es por ello que aparece el concepto de control interno informático, el cual está definido como una función del departamento o área de Tics o Sistemas de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.
Objetivos del control interno informático:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el Informática interna/externa
trabajo
de Auditoría
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos.
Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.
Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa.
Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la empresa.
4 oportunidades la comunicación de fuentes externas proporciona información importante acerca del funcionamiento del control interno. Medir la calidad de la información implica determinar si: el contenido es adecuado, la información es oportuna, la información es actual, la información es precisa, la información es accesible
Tipos de controles:
Ambiente de control: Proporciona un medio en el cual las personas realizan sus actividades y lleva a cabo sus responsabilidades de control. Este componente es el principal para la administración efectiva del riesgo; A través de este componente se provee la disciplina y estructura de todos los componentes involucrados, y se logra formar mediante entrenamientos al personal, códigos de conducta, etc.
Según el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales: Son aquellos ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.
Componentes del Control Interno
Monitoreo: Son Todas esas actividades de control y procesos operativos revisadas por un nivel jerárquico mayor para realizar un control de calidad sobre la marcha. Este proceso incluye la administración y supervisión regular de las actividades.
Controles Automáticos: Son los incorporados en el software, llos cuales pueden ser de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
Según su finalidad se clasifican en: Controles Preventivos: Son los que se usan para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Evaluación de riesgo: Dentro del ambiente de control. La gerencia realiza una evaluación de los riesgos para lograr los objetivos propuestos, y lo hace a nivel organizacional y a nivel de actividad. Es por ello que el prerrequisito para llevar a acbo dicha evaluación es el establecimiento de los objetivos. El proceso incluye: determinar que tan significativo es el riesgo, evaluar la probabilidad de que ocurra o la frecuencia con que se produce y evaluar las acciones que deben ser adoptadas.
Controles Detectivos: Son aquellos controles que permiten descubrir errores o fraudes posteriores o que no han sido posible evitarlos con controles preventivos. Controles Correctivos: Son los que buscan asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Funciones del control interno informático:
Actividades de control: Son las que están diseñadas para responder a los riesgos en toda la organización ejemplo de ellas son las aprobaciones, autorizaciones, revisiones y segregación de funciones. Estos procedimientos de control pueden ser: controles de monitoreo, gerenciales, independientes, de procesamiento de información y controles de salvaguarda de activos. Información y comunicación: los canales de comunicación involucran a los niveles internos y externos de la organización, en muchas
Las funciones del control interno informático son las siguientes:
Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.
Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicación.
Explotación de servidores principales
Software de Base
Redes de Computación
Seguridad Informática
Licencias de software
Relaciones contractuales con terceros
Permiten alcanzar la eficacia eficiencia, integridad de datos, cumplimiento con las leyes y metodologías como la del Ciclo aplicaciones.
Cultura de riesgo informático en la organización
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para la implantación de un sistema de controles internos informáticos es necesario definir los siguientes aspectos:
5
Controles de desarrollo y mantenimiento de sistemas de información del sistema, economía, protección de recursos y regulaciones a través de de Vida de Desarrollo de
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.
Controles en aplicaciones
Gestión de sistema de información: Son todas aquellas políticas, pautas y normas técnicas que sirven de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.
Administración de sistemas: Se refiere a los controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.
Seguridad: Este aspecto incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: Determina la separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.
Áreas de aplicación de los controles informáticos:
Controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación: Plan Estratégico de Información realizado por el Comité de Informática. Plan Informático, realizado por el Departamento de Informática.
Controles en sistemas de gestión de base de datos
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan. CUADRO DEL CONTROL INTERNO EN EL ÁREA DE INFORMÁTICA TIPO DE CONTROL Controles internos sobre la organización del área de informática
Plan General de Seguridad (física y lógica). Plan de Contingencia ante desastres.
Controles sobre el
internos análisis,
ASPECTOS INVOLUCRADOS Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos Estandarización de metodologías para el desarrollo de proyec-
6 desarrollo implementación sistemas
e de
Controles internos sobre operación del sistema
Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados.
Controles internos sobre la seguridad del área de sistemas
tos Asegurar que el beneficio de los sistemas sea óptimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implementación y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentación Prevenir y corregir los errores de operación Prevenir y evitar la manipulación fraudulenta de la información Implementar y mantener la seguridad en la operación Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos. Comprobar la oportunidad, confiabilidad y veracidad en la emisión de los resultados del procesamiento de información. Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematización. Controles sobre la seguridad física del área de sistemas Controles sobre la seguridad lógica de los sistemas. Controles sobre la seguridad de las bases de datos Controles sobre la operación de los sistemas computacionales Controles sobre seguridad del personal de informática Controles sobre la seguridad de la telecomunicación de datos
III.
Controles sobre la seguridad de redes y sistemas multiusuarios
CONCLUSIONES
La importancia de la seguridad informática en las organizaciones radica en proteger los activos informáticos de las mismas, para ello es necesario conocer y determinar claramente los mismos a través de un inventario e identificar las vulnerabilidades, amenazas y posibles controles ante un escenario de riesgos dispuestos en una matriz de riesgos. El control interno informático es un mecanismo y/o función de vital importancia que deben ejecutar las áreas o departamentos de Informática o TICs, con el fin de brindar controles adecuados para cada uno de los activos informáticos de las empresas dentro de un proceso de implementación de gestión de la seguridad informática. IV.
REFERENCIAS BIBLIOGRAFICAS
[1]Amenazas a la seguridad de la información. Recuperado de: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12. [2] Riesgos informáticos. Recuperado de: http://audisistemas2009.galeon.com/productos2229079.html [3]Evaluación de riesgos. Recuperado de: http://www.seguinfo.com.ar/politicas/riesgos.htm [4] Control interno informático. sus métodos y procesamientos. las herramientas de control. Recuperado de: https://noris14.wordpress.com/2011/06/10/control-internoinformatico/ [5] Evolución del control interno informático. Recuperado de: http://joseluis371990.blogspot.com/ V.
BIOGRAFIA
Jaider Contreras Puentes nació en Sincelejo Sucre, Colombia, el 25 de Septiembre de 1983. Se graduó en 2006 como Ingeniero de Sistemas en la Corporación Universitaria del Caribe. Sus experiencias profesionales incluyen la corporación autónoma regional de Sucre (CARSUCRE), el SENA, ParqueSoft, entre otras, actualmente se desempeña como ingeniero de sistemas dentro de la Oficina de Tecnologías de la Información de la Unidad de Restitución de Tierras.