Controles de las Tecnologas de Informacin Indice

1. Introduccin 2. Los siete controles primarios de tecnologia informatica 3. Controles de implementacion 4. Controles sobre el mantenimiento 5. Controles sobre la operacion del computador 6. Controles sobre la seguridad de programas 7. Controles sobre la seguridad de archivos de datos 8. Controles sobre el softvvare de sistemas 9. Controles sobre la conversion de archivos

1. Introduccin
Los controles de TI son los procedimientos dentro del departamento de Sistemas de Informacin, que aseguran que los programas operan apropiadamente y que se impidan cambios no autorizados. Incluyen controles sobre el diseo, Implementacin, Seguridad, y uso de Programas y Archivos del computador. Estos controles consisten en una combinacin de procedimientos manuales y programados. Los controles de TI son similares a los controles de Aplicacin, aunque debera notarse las siguientes diferencias: Los controles de TI son controles sobre el medio ambiente de PED en su totalidad. Los controles de Aplicacin son controles sobre aplicaciones especficas; los controles de TI cubren todas las aplicaciones. Los controles de Aplicacin estn compuestos de procedimientos manuales y procedimientos programados. Los controles de Ti regulan el medio ambiente de PED para asegurar que los procedimientos programados continen funcionando apropiadamente. Si existen debilidades en los controles de TI, no hay seguridad de que los procedimientos programados continen trabajando apropiadamente, an cuando no hayan sido cambiados. Un ambiente de PED controlado en forma inapropiada, puede ocasionar la interrupcin de las operaciones de la organizacin por la va de: Mltiples reejecuciones de las aplicaciones para corregir errores, causando retrasos. Afectar la informacin usada por la Administracin para operar el negocio. Permitir la ocurrencia de fraudes, tal como la alteracin no autorizada de los registros electrnicos. Permitir la divulgacin de secretos comerciales.

2. Los siete controles primarios de tecnologia informatica

Los controles de TI pueden ser divididos en las siguientes siete reas:

3. CONTROLES DE IMPLEMENTACION

Controles de lmplementacin, diseados para asegurar que los procedimientos programados son propiados y correctamente implantados en los programas computacionales. Controles sobre el mantenimiento, diseados para asegurar que los cambios a los procedimientos programados son diseados, probados, aprobados e implementados apropiadamente. Controles sobre operacin del computador, diseados para asegurar que los procedimientos programados son aplicados consistentemente durante todo el procesamiento de la informacin y que se utilizan las versiones correctas de los archivos. Controles sobre la seguridad de programas, diseados para asegurar que cambios no autorizados no pueden ser hechos a procedimientos programados. Controles sobre la seguridad de archivos, diseados para asegurar que cambios no autorizados no pueden ser efectuados a archivos de datos. Controles sobre el software de sistemas, diseados para asegurar que el software de sistemas es implantado correctamente y protegido contra cambios no autorizados. Controles sobre la conversin de archivos, diseados para asegurar que los datos, son convertidos en forma total y exacta desde un sistema antiguo a uno nuevo.

Los controles de implementacin ayudan a evitar los errores en aplicaciones nuevas.Incluyen controles sobre el diseo de nuevas aplicaciones computacionales, la prueba de los programas de aplicacin, y los procedimientos para traspasar los programas aprobados a produccin. Estos controles se aplican tanto a sistemas desarrollados internamente como a aquellos adquiridos a proveedores externos. El trabajo realizado por una organizacin, entre el momento en que completa el estudio de factibilidad para un sistema de aplicacin propuesto y el momento en que ese sistema se implanta exitosamente, es muy significativo. La traduccin de los requerimientos de los usuarios partiendo de ideas generales, para arribar a una serie de programas de produccin detallados e instrucciones especficas, tanto para el computador como para los departamentos usuarios, puede significar una cantidad de tiempo considerable. Los procedimientos relacionados con el desarrollo de nuevos sistemas son los siguientes: Administracin del desarrollo del sistema Diseo de sistema y preparacin de programas Prueba de programas y sistemas Catalogacin.

3.1 Administracin del desarrollo del sistema

Generalmente, los requerimientos para nuevas aplicaciones son submitidos el Departamento de PED por los dueos de las aplicaciones. Los informes de estudio de factibilidad, diseo general del sistema, plan de pruebas y resultados, son revisados y aprobados usualmente por los usuarios y por las funciones de PED que se vern afectadas por la nueva aplicacin (por ejemplo: los administradores de la Base de Datos y de la Red de Comunicaciones), por el grupo de soporte tcnico (en relacin a la compatibilidad con el Software de Sistemas existente), y .la jefatura, de programacin (para dar la conformidad de los programas respecto de las especificaciones, y de la compatibilidad con las otras aplicaciones). A menudo, las funciones de control de calidad y/o auditora interna estn involucradas en este proceso. Tambin es necesario controlar la planificacin de la implementacin de los nuevos sistemas a travs del uso de cartas de administracin de proyectos u otro mtodo que registre el estado de avance del proyecto. Normalmente, se efecta el control del avance del proyecto en relacin a grupos de programas o mdulos. 3.2 Diseo del Sistema y Preparacin de Programas Tpicamente, los requerimientos de nuevas aplicaciones son iniciados por los usuarios, basados en necesidades, cambios en la legislacin o por el deseo de incrementar la eficiencia del procesamiento. Los usuarios y personal de PED efectan el estudio de factibilidad, incluyendo anlisis de costobeneficio, anlisis tcnico para determinar los efectos sobre el hardware y software existente y anlisis operacional para medir el impacto de la aplicacin sobre las operaciones de la organizacin. Se documenta el diseo general, incluyendo los procedimientos manuales y programados. Se definen los puntos de control y las interfases con otros sistemas y con el software de sistemas. Los prototipos pueden ayudar a los usuarios a refinar sus especificaciones para la nueva aplicacin. La administracin de cada unidad nvolucrada en el flujo de datos revisa el plan para asegurar que entienden y estn de acuerdo con l antes de que contine el desarrollo. Se realiza la aprobacin del estudio de factibilidad, el diseo general del sistema y las especificaciones detalladas. Tpicamente, las especificaciones detalladas para las nuevas aplicaciones incluyen narrativas y/o flujogramas de actividades, diagramas de flujo de la recopilacin de datos, procesos de ingreso y emisin de informes para conciliacin y fechas esperadas de trmino e implementacin. 3.3 Prueba de Programas y Sistemas Normalmente, las polticas de PED requieren el desarrollo de planes de prueba para todas las aplicaciones nuevas. Esas polticas especifican el nivel de detalle de la documentacin del plan, partes a ser involucrados en el proceso de desarrollo del plan, y las aprobaciones que deben obtenerse. La documentacin del plan incluye la descripcin de las pruebas, los datos a ser utilizados o la metodologa para generar estos datos, y los resultados esperados de las pruebas. Generalmente, el plan de pruebas es un esfuerzo conjunto entre los usuarios y la administracin de PED. La prueba de programas y sistemas se hace normalmente en tres etapas diferentes:

(1) prueba de programa, (2) prueba de sistema, y (3) prueba paralela.

1.

La prueba de programa consiste en verificar la lgica de programas individuales. Los mtodos principales utilizados son la prueba de escritorio y datos de prueba. La prueba de escritorio consiste en analizar la lgica de un programa y confirmar que el cdigo del programa rene las especificaciones de dicho programa. Cuando fuera posible, la prueba de escritorio debera ser realizada por un programador diferente el que diseo y escribi el programa. Es probable que el programador original piense que su lgica es correcta y trate de probar que lo es, entes que realmente verificar que as sea. La prueba de escritorio se realiza normalmente en conjuncin con la utilizacin de datos de prueba. Los datos de prueba son datos ficticios, preparados de acuerdo con las especificaciones del sistema para ser procesados por el mismo y deben ser diseados para cubrir todas las alternativos de proceso o condiciones de error. Se deben establecer procedimientos formales para identificar y corregir cualquier error descubierto durante la prueba. Todos los resultados obtenidos con los datos de prueba debern ser documentados y retenidos como evidencia de que dichas pruebas fueron realizadas. Los mismos datos pueden tambin ser utilizados para probar cambios futuros al sistema. La prueba de sistema consiste en verificar que la lgica de varios programas individuales es consistente y que pueden encadenarse para formar un sistema completo que rena los requerimientos de las especificaciones detalladas del sistema. la tcnica principal utilizada es la de datos de prueba. Los resultados de la prueba deben ser cuidadosamente revisados. Los datos de prueba deben ser reprocesados y rediseados, si fuera necesario, hasta que todos los errores de lgica sean detectados. En adicin a situaciones comunes que el sistema est diseado para manejar, las pruebas deberan tambin tratar el efecto de circunstancias inusuales en el sistema. Cuando fuera posible, la prueba del sistema debera ser realizada o verificada por personal diferente de aqul que fue responsable de hacer la programacin detallada. La prueba paralela significa operar el nuevo sistema al mismo tiempo, o en paralelo con, el sistema existente. Los resultados obtenidos de este proceso dual, pueden ser verificados para identificar e investigar cualquier diferencia. Corridas en paralelo o piloto es una manera de probar la operacin de un sistema completo, incluyendo todos los procedimientos de los usuarios. A diferencia de la prueba de sistema, el propsito de la prueba en paralelo o piloto es probar la habilidad del sistema para manejar datos reales, no de prueba, y procesar grandes volmenes de informacin, en vez de transacciones individuales. El nuevo sistema no debera ser aceptado en su totalidad por el departamento usuario correspondiente, ni tampoco debera ser abandonado hasta que, en la medida que sea prctico, el ciclo completo de proceso, haya sido exitosamente ejecutado en el nuevo sistema. En adicin a ello, los procedimientos de recuperacin la habilidad del sistema para recuperarse de una terminacin anormal - deberan ser probados y documentados. Los resultados deberan ser revisados, si esto fuera posible, por personal diferente al responsable de la programacin detallada,.

2.

3.

3.4 Catalogacin

La catalogacin es el conjunto de procedimientos necesarios para transferir a produccin aquellos programas ya probados. Los procedimientos ms importantes son aquellos que aseguran que la prueba y la documentacin ha sido satisfactoriamente completados antes que los programas entren en produccin, y que los procedimientos manuales para el sistema nuevo, o el sistema que est siendo cambiado, estn funcionando, tanto en el departamento usuario como en el departamento de PED. Esto incluye la preparacin de instrucciones escritas de operacin y de usuarios, revisadas y aprobadas por personal responsable de los departamentos involucrados. Debera haber un procedimiento para transferir a produccin programas nuevos o cambiados, segn sea el caso, incluyendo instrucciones al personal sobre los nuevos procedimientos. Cuando estos programas estn en lnea, la transferencia de programas aprobados que residen en bibliotecas de prueba a bibliotecas de produccin u operacionales, es un procedimiento del sistema operativo. Los procedimientos de catalogacin debern incluir puntos de control para asegurar que todos los cambios requeridos, y solamente ellos, han sido hechos a los programas. Naturalmente, la versin ejecutable de un programa es la probada y utilizada para produccin. La versin fuente tambin debe ser guardada, puesto que cualquier cambio autorizado subsecuente se hace sobre esta versin. Con todas estas versiones disponibles, es importante verificar que el programa fuente retenido coincide con la versin ejecutable residente en la biblioteca de produccin. Existen paquetes de manejo de bibliotecas que pueden ayudar a controlar las versiones y los cambios realizados. Otra buena prctica es recompilar programas antes de la prueba final de aceptacin. Esto es esencial si se desea confiar en la comparacin de versiones fuente descripta anteriormente; existen programas disponibles para verificar que un programa recompilado es idntico a la versin ejecutable del mismo programa.

4. CONTROLES SOBRE EL MANTENIMIENTO

Los controles sobre el mantenimiento, estn diseados para asegurar que las modificaciones a los procedimientos programados estn diseadas e implementadas en forma efectiva. Cubren las mismas reas que los controles de implementacin, pero se relacionan con los cambios de programas ms que con nuevas aplicaciones. Estos controles deberan asegurar que los cambios son diseados, probados, aprobados, incorporados y actualizados apropiadamente, y que los requerimientos de cambio son manejados apropiadamente. Los procedimientos relacionados con la mantencin de sistemas son: Administracin de los cambios a sistemas Prueba de programas Catalogacin.

4.1 Administracin de los cambios a sistemas Los usuarios y la administracin de PED siguen procedimientos especficos para requerir cambios. Por ejemplo, un individuo en cada departamento puede preparar requerimientos o reunirse con los propietarios de la aplicacin y con personal de PED para discutir la necesidad de los cambios y los mtodos mediante los cuales deberan ser efectuados. Un control de cambios manual o automatizado,

asegura que todos los requerimientos son atendidos y que se lleva un registro del estado de avance de ellos. Los cambios a los programas deberan ser documentados tan acabadamente como los sistemas nuevos. La documentacin del sistema, de los programas, de operacin y de los usuarios debera ser actualizada para reflejar todos los cambios. Una documentacin inadecuada puede resultar en errores de sistema, tiempo excesivo de mantencin y una dependencia desmedida en personal tcnico. Para asegurar que la documentacin ha sido actualizada satisfactoriamente, esta es revisada y aprobada por la funcin de control de calidad o por los usuarios responsables de la aplicacin y por la administracin de PED. 4.2 Prueba de programas Una organizacin bien controlada, tiene polticas que requieren el desarrollo de un plan de pruebas para cada programa sometido a cambios, y que especifica el nivel de detalle, la aprobacin necesaria del plan, y quienes deberan efectuar dichas pruebas. La documentacin del plan de pruebas debera incluir las pruebas a ser ejecutadas, los resultados esperados, y cmo desarrollar los datos de prueba. Normalmente, el plan de pruebas es revisado y aprobado por los usuarios y por la administracin de PED. Dependiendo de la complejidad de los cambios y su impacto sobre el sistema de aplicacin, el usuario en conjunto con la administracin de PED deberan determinar la tcnica de prueba apropiada: (1 ) prueba de programa; (2) prueba de sistema: y/o (3) prueba paralela. la mayora de los cambios requieren de la prueba de programas y la prueba de sistemas. 4.3 Catalogacin Generalmente, la transferencia de programas probados es la misma para la implementacin de sistemas nuevos como para las subsecuentes mantenciones. 5. CONTROLES SOBRE LA OPERACION DEL COMPUTADOR Los controles sobre la operacin del computador estn diseados para asegurar que los sistemas continan funcionando consistentemente, de acuerdo con lo planeado. Incluyen controles sobre el uso de los datos apropiados, programas y otros recursos, y la ejecucin apropiada de esta funcin por parte de los operadores, particularmente cuando ocurre un problema. Usualmente, el departamento de operaciones del computador controla el funcionamiento del hardware y software en el da-a-da. En muchas organizaciones, esto es asistido por un departamento de control de la produccin. Operaciones del computador es responsable por la ejecucin fsica de las aplicaciones (montar cintas, imprimir los informes y tomar decisiones acerca del hardware, tales como discontinuar el uso de un dispositivo cuando presenta una falla). Control de 18 produccin es responsable por la preparacin de trabajos y la planificacin de la carga. Los controles sobre la operacin del computador estn descritos en las siguientes secciones:

Planificacin de la carga Preparacin y ejecucin de Trabajos Uso correcto de los archivos de datos Monitoreo de actividades Procedimientos de Respaldo y Recuperacin.

5.1 Planificacin La planificacin vincula los trabajos a ser ejecutados con los archivos de datos a ser utilizados. En muchas instalaciones, se utiliza software de planificacin para submitir los procesos sobre una base predeterminada (por ejemplo: todos los das a las tres de la tarde, o los das 15 y ltimo de cada mes). Otras instalaciones usan un esquema de planificacin manual. En cualquiera de estos casos, la planificacin de los procesos es aprobada por los usuarios y por la jefatura de operaciones, cuando se implementa un sistema. Normalmente, control de la produccin o la jefatura de operaciones requiere de aprobaciones escritas de los usuarios para ejecutar trabajos en una secuencia distinta a la planificada. Los usuarios deben entregar requerimientos escritos para la planificacin de trabajos que no estn considerados en la planificacin normal, tales como actualizaciones peridicas a ciertos archivos, o procedimientos de fin de ao. La administracin de PED utiliza bitcoras (manuales o automticas) para monitorear la adherencia de los operadores a la planificacin aprobada. Esas bitcoras informan los trabajos ejecutados, los tiempos de inicio y fin del trabajo y cualquier condicin anormal ocurrida durante la ejecucin del trabajo. Cuando ocurre una condicin anormal, el operador prepara un formulario de descripcin de problemas para la. posterior investigacin y la autorizacin de la reejecucin. Si las aplicaciones en operacin son en lnea, la planificacin slo es relevante para aquellos proceso de tipo batch, tales como los procesos de fin de da, de respaldo y de inicio de actividades del da. Las consideraciones de control se asocian a que si los trabajos se ejecuten en el punto, tiempo y secuencia apropiada. 5.2 Preparacin de Trabajos Preparacin de trabajos es el nombre normalmente dado a la preparacin de una aplicacin para su proceso. Se deben definir y cargar los programas y archivos de datos del sistema, se debe especificar la secuencia de eventos, y los dispositivos deben ser asignados. la preparacin de trabajos es importante para los controles sobre operacin del computador, debido a que ayuda a asegurar que el lenguaje de control de trabajos y sus parmetros estn apropiadamente preparados y que los archivos correctos sean utilizados. La manera ms comn de asegurar que el lenguaje de control de trabajos y los parmetros que estn siendo utilizados son los apropiados, es mantener instrucciones escritas previamente aprobadas. Existe tambin la necesidad de verificar que los comandos y los parmetros utilizados se corresponden con dichas instrucciones. Esto debera ser revisado y aprobado por personal responsable. Las instrucciones de preparacin de trabajos deberan cubrir todas las aplicaciones y el

sistema operativo. Ellos deberan incluir, donde fuera apropiado, el flujo del proceso, informacin relacionada con la preparacin de equipos perifricos y archivos, lenguaje de control de trabajos (JCL) y parmetros de ejecucin. En muchos casos, los controles de actualizacin y mantenimiento, descritos como controles de aplicacin, aseguran que los archivos correctos estn siendo utilizados. Sin embargo, controles especficos sobre la utilizacin de los archivos correctos an son necesarios. Esto es particularmente verdadero, para aquellos archivos que contienen tablas que son utilizadas durante un proceso (por ejemplo, la lista de nmeros cuando se utiliza chequeos de secuencia). Puede haber controles manuales sobre los archivos de datos, desde el momento en que son retirados de la biblioteca fsica hasta la preparacin del trabajo. El sistema operativo puede tambin asegurar que los archivos correctos estn siendo utilizados. Cuando el sistema operativo, est utilizado como una tcnica de control, cada archivo asignado a un dispositivo incluye un registro, cabecera conteniendo informacin tal como el nombre del archivo y el nmero de la versin del mismo. Cuando el archivo es preparado para el proceso, los detalles de dicho registro son verificados. Cualquier intervencin por parte del operador sobre estos controles debera ser revisada y aprobada. 5.3 Uso correcto de los archivos de datos En muchos casos, los controles sobre la actualizacin y sobre el mantenimiento, descritos como controles de aplicacin, aseguran que se utiliza los archivos de datos correctos. Sin embargo, an son necesarios controles especficos sobre el uso de datos correctos. Esto es particularmente cierto en archivos que contienen tablas que son requeridas en el procesamiento (por ejemplo: la lista de nmeros cuando se utiliza chequeo de la secuencia numrica). Tpicamente, los controles sobre los archivos de datos requieren que stos tengan un label. interno nico, que es ledo por el software de sistemas y chequeado por el computador contra la informacin contenida en el JCL o en un sistema de control de cintas. Los correspondientes label externos son puestos a los dispositivos de almacenamiento removibles, para que sean ledos por los cincotecarios y operadores en el momento de asignar dichos archivos al procesamiento. Cuando un archivo es de tipo multi-volumen, el software de sistemas cheques el label interno de cada uno de los volmenes, para asegurar la correcta secuencia de ellos. Cuando un archivo requerido por un trabajo est errneo, normalmente el sistema operativo o el operador debern cancelar el trabajo. Control de la produccin determina la causa del problema y toma las acciones correctivas necesarias. Estas acciones son revisadas y aprobadas por control de la produccin y por los usuarios, cuando es necesario. 5.4 Monitoreo de actividades El funcionamiento del computador y sus operaciones, est normalmente controlado por procedimientos manuales y programados. En sistemas ms avanzados, dichos procedimientos son mayormente llevados a cabo por programas especiales. Las funciones manuales estn normalmente restringidas a las acciones requeridas o solicitadas por dichos programas especiales. La consideracin principal de control en este caso es que el sistema operativo utilizado es confiable y que los

procedimientos manuales no lo son, puesto que por error o por otras razones, se puede interferir con o afectar el proceso normal del computador. 5.5 Procedimientos de Recuperacin y Respaldo Deberan existir procedimientos de respaldo. En el evento de una falla del computador, el proceso de recuperacin de programas de produccin, sistema operativo o archivos, no debera introducir ningn cambio errneo dentro del sistema. Algunas de las principales tcnicas que pueden ser utilizadas son: La facilidad para recomenzar en un estado intermedio del proceso. Esto es aplicable a los programas cancelados antes de su trmino normal y evita la necesidad de reprocesar todo el trabajo. Un sistema para copiar y almacenar independientemente archivos maestros y las transacciones respectivas. Esto hace posible recuperar cualquier archivo perdido o daado durante la interrupcin del trabajo. Procedimientos similares al anterior, para asegurar que las copias de las instrucciones de operacin, ejecucin, y otros documentos claves estn disponibles en caso que los originales se pierdan. Instrucciones formales escritas para la recuperacin del proceso o su transferencia a otra instalacin. 6. CONTROLES SOBRE LA SEGURIDAD DE PROGRAMAS Los controles sobre seguridad de programas estn diseados para asegurar que cambios no autorizados no pueden ser hechos a programas de produccin. Dichos controles aseguran que los nicos cambios son aquellos hechos a travs de los procedimientos normales de cambios de programas. La seguridad de programas es preocupacin especial para el auditor cuando un cambio no autorizado en un programa particular podra beneficiar a la persona que realiza el cambio (por ejemplo, un cambio hecho en un sistema que procesa salarios y pagos en efectivo podra resultar en que se realicen pagos no autorizados). Los procedimientos relacionados con la seguridad sobre los programas son: Software de control de acceso Controles sobre el acceso fsico Segregacin defunciones.

6.1 Software de control de acceso Una organizacin puede usar software de sistemas (por ejemplo: opciones del sistema operativo, paquetes de seguridad, paquetes de administracin de bibliotecas de programas, software de comunicaciones) para restringir el acceso a las bibliotecas de programas o a programas especficos en bibliotecas de produccin. Generalmente, las tcnicas de control usadas incluyen: - Cdigos de identificacin de usuarios y passwords

- Opciones de men restringidos - Niveles de acceso restringido a los usuarios (acceso slo de lectura) - Capacidades de los medios de input/output restringidas. En los sistemas computacionales de hoy en da, los programas pueden ser accedidos y alterados en una gran variedad de formas. La mayora de las organizaciones usan software de control de acceso para restringir tanto el acceso a procesos en lnea como a los procesos en batch. El acceso no slo es 'restringido a programas especficos o 8 bibliotecas, sino tambin a: Bibliotecas de procedimientos (JCL) Archivos del software de control de acceso Bibliotecas del software de sistemas Archivos de bitcoras. Una seguridad de acceso Completa, requiere que todos los usuarios estn registrados por el sistema y que sean monitoreados por la funcin de administracin de la Seguridad, de modo independiente. Los problemas (por ejemplo: desactivacin de usuarios o denegar el acceso) son identificados y se efecta un seguimiento oportuno. Las acciones privilegiadas (por ejemplo: definicin de nuevos usuarios, cambios a los privilegios de los usuarios, cambios en la definicin de los recursos y a las reglas de acceso y sobrepasar la seguridad) tambin son registradas e investigadas en forma oportuna por el administrador de la seguridad. Es preferible las revisiones diarias o semanales de los registros, pero las revisiones mensuales pueden ser adecuadas para un volumen bajo de actividades. Tpicamente, las funciones del administrador de la seguridad son: Mantener control es apropiados sobre el diseo y mantencin de las identificaciones de los usuarios (user ID) y sus passwords, y asegurar que las user ID's y passwords no pueden ser obtenidas por personal no autorizado Mantener y definir las reglas de acceso de los usuarios autorizados Controlar, distribuir y corregir las tablas de password Revocar inmediatamente las user ID's y passwords de los usuarios que dejan de pertenecer a la organizacin o que han sido trasladados. Todos los controles de acceso necesitan usuarios con privilegios especiales para la administracin y otras tareas importantes, tales como: Establecer y cambiar las user ID's Resetear las passwords u otros cdigos secretos Sobrepasar los controles de acceso (atributos de acceso irrestricto) Cambiar el estado del sistema de seguridad y las opciones del software de control de acceso.

6.2 Controles sobre el acceso fsico El control fsico, junto con el software de control de acceso, proveen control extenso sobre los programas. Los procedimientos de control de inters incluyen:

 Restriccin de acceso fsico a los terminales o el acceso privilegiado a terminales y usuarios especficos. Por ejemplo, en una bodega, restringiendo al acceso al terminal para registrar el stock fsico y reforzar la limitacin de tiempo para el uso de la terminal Restriccin de acceso a la sala del computador (va tarjetas magnticas o claves de nmeros en la puerta) Restriccin al acceso de los listados de los programas Control y restriccin al acceso de los respaldos de los programas y su documentacin. 6.3 Segregacin de funciones Con la suficiente capacidad tcnica y el conocimiento detallado de su contenido, los usuarios podran sobrepasar la seguridad y hacer cambios a programas en produccin. La proteccin contra esta posibilidad, normalmente se incremento con una apropiada segregacin de funciones. Cuando las funciones son separadas, los usuarios no pueden obtener un conocimiento detallado de los programas; por otro lado, aquellos responsables del desarrollo y mantenimiento de los programas, no pueden tener acceso irrestricto a los programas de produccin. Es importante mantener esta segregacin de funciones en todo momento, an fuera de las horas normales de trabajo. 7. CONTROLES SOBRE LA SEGURIDAD DE ARCHIVOS DE DATOS Los controles sobre la seguridad de archivos aseguran que no se pueden efectuar cambios no autorizados sobre los archivos de datos. La necesidad de controles de seguridad sobre archivos de datos es normalmente mayor para archivos maestros que para archivos de transacciones. Esto es as, porque no todos los campos de datos crticos de los archivos maestros estn sujetos a los procedimientos regulares de verificacin y reconciliacin. Cualquier verificacin cclica de archivos de datos podra no ser hecha lo suficientemente a menudo para proveer la oportuna identificacin de cambios no autorizados. Los controles sobre archivos de datos son tambin importante desde un punto de vista operativo. Consideraciones operativas incluyen proteger los datos de ser borrados o destruidos, ya sea accidental o intencionalmente, y contra robos y uso no autorizado. 7.1 Software de Controles de Acceso Una amenaza particular para los datos es el acceso irrestricto, que permite que los datos sean cambiados sin autorizacin previa. En sistemas en lote, donde los archivos de datos han sido cargados para la ejecucin de un programa especfico, el problema est limitado a controlar la accin de los operadores durante esa ejecucin en particular. Los sistemas en lnea y tiempo real requieren una: combinacin de tcnicas de control, incluyendo la restriccin a los caminos de acceso de u sistema y al rango de actividades permitidas a los usuarios. Los sistemas de conexin telefnica requieren altos niveles de seguridad debido a los peligros de acceso por personal no autorizado. El nivel apropiado de los controles de acceso est determinado por la sensibilidad de los datos, la divisin de funciones de los usuarios, y los recursos disponibles.

Acceso por los usuarios. Los procedimientos da control diseados para proteger archivos de datos contra accesos no autorizados por parte de usuarios dec sistema, son similares a aquellos ya descritos para programas. Estos procedimientos, que normalmente pueden ser llevados a cabo al mismo tiempo que aquellos para los programas, incluyen funciones del Sistema operativo tales como paquetes de control de bibliotecas, programas de seguridad del sistema operativo, palabras claves, programas de comunicaciones y sistemas de manejo de base de datos. 7.2 Acceso a Datos en lnea En situaciones donde los datos son capturados a travs de un terminal, como es el caso de sistemas en lnea y tiempo real, es esencial proteger contra la captura de informacin no autorizada, que se utilizar posteriormente en el proceso de actualizacin. La captura de datos invlidos puede ser hecha para archivos de transacciones o archivos maestros. Normalmente transacciones con datos invlidos son introducidas al sistema para alterar el efecto de una transaccin que ya se encuentra en el archivo. Por ejemplo, una nota de crdito ficticia que est apareada a una factura dentro del archivo, alterara el estado de dicha factura. Datos invlidos dentro de un archivo maestro pueden consistir de un registro completo, tal como la cuenta de un proveedor ficticio, o un campo de datos, tal como la tasa de pago o la tasa de inters. Cuando los archivos de datos estn en lnea, debera haber una combinacin apropiada de opciones del sistema operativo, que permita restringir termnales a ciertos programas, transacciones, o archivos. Solamente personal autorizado debera tener acceso a archivos, ya sea para obtener informacin o introducir cambios. 7.3 Acceso por los programas en produccin En adicin a los controles de acceso de usuarios y de termnales, deberan establecerse procedimientos para restringir el acceso a los datos por diversos programas. El acceso a los datos puede ser restringido por medio de paquetes de seguridad, a travs de los cuales se puede definir qu datos pueden ser procesados y con qu opciones, ya sea de lectura o actualizacin. Es posible producir informes, generado por dicho paquete, de todos los accesos permitidos a los diferentes programas. Dichos informes deberan ser revisados e investigados si fuera necesario. 7.4 Archivos Fuera de Lnea Los archivos residentes fuera de lnea estn protegidos contra cambios mientras no estn cargados en el computador, pero pueden ser removidos, posiblemente con propsitos no autorizados. Esto puede ocurrir cuando los archivos no estn fsicamente protegidos y/o su manejo no est apropiadamente controlado. Las caractersticas de control deberan proteger contra el traslado no autorizado o destruccin de archivos, incluyendo aquellos almacenados en sitios remotos para utilizacin en caso de desastre. 7.5 Seguridad Fsica

Para proteger archivos fuera de lnea contra accesos no autorizados, debera existir un rea de almacenamiento bajo llave. Debera estar alejada de donde reside el computador y, preferiblemente, supervisado por un bibliotecario responsable de la entrega, recepcin y seguridad de todos los archivos. Los accesos de dicha biblioteca deberan ser restringidos solamente a personal autorizado para retirar o devolver archivos. Es necesario que existan procedimientos para asegurar que los archivos sean utilizados solamente para procesos autorizados. Esto significa que se deberan preparar calendarios de proceso que especifiquen en detalle los archivos que son requeridos para el proceso. Dichos calendarios deberan prepararse para todas las aplicaciones y ser aprobados por personal responsable. Debera requerirse autorizacin especfica para remover archivos a sitios remotos o a otro computador. 8. CONTROLES SOBRE EL SOFTVVARE DE SISTEMAS Los controles sobre el software de sistemas asegura que el software de sistemas es implementado, mantenido y protegido de cambios no autorizados en forma apropiada. los programas del sistema operativo son importantes para el auditor puesto que ayudan a controlar tanto los programas que procesan informacin como los archivos de datos. Muchos de los controles de TI, tales como la seguridad de archivos de datos y programas, dependen del software de sistemas. El software de sistemas que puede ser relevante para controlar incluye programas relacionados con: Catalogacin Informe de trabajos procesados Manejo de archivos Comunicaciones de datos Informe de operaciones Preparacin de archivos Seguridad de acceso Registro de bibliotecas Base de datos Los controles sobre el software de sistemas son discutidos en las siguientes secciones. 8.1 Implementacin Los controles requeridos para la implantacin exitosa del software de sistemas son esencialmente similares a aquellos requeridos para la implantacin de programas de aplicacin, excepto que este trabajo es efectuado por personal de soporte tcnico y con por los programadores de aplicacin.

Todo software de sistemas provisto por un proveedor debera estar sujeto a la revisin y aprobacin por una persona con el conocimiento suficiente para determinar el impacto de dichos programas en los sistemas existentes y los procedimientos en operacin. Dicha persona debera ser capaz de determinar si dichos programas satisfacen las necesidades y objetivos de la compaa. Esta revisin debera abarcar tanto el sistema operativo bsico, como las diferentes opciones disponibles. Cuando el nuevo software de sistemas tiene una interfase directa con programas de aplicacin es imperativo que los nuevos programas sean probados con programas de aplicacin ya estables. As, si ocurren anomalas, ellas pueden ser identificadas como resultantes del nuevo software de sistemas. Las instrucciones y otra documentacin del software de sistemas y las distintas opciones provistas deberan ser revisadas por personal tcnicamente competente. Dicho personal debera asegurarse que la documentacin describe apropiadamente los procedimientos necesarios para utilizar y operar correctamente el software de sistemas. El uso de programas del software de sistemas debera ser restringido a usuarios autorizados. Por ejemplo, el grupo de soporte tcnico puede necesitar algunos programas de servicio que no deberan estar disponibles a operadores o a usuarios. 8.2 Mantenimiento El software de sistemas es modificado peridicamente por el vendedor quien introduce nuevos programas o mejoras a los programas existentes. Estas mejoras o nuevos programas deben ser probados para asegurar que ste opera de acuerdo con el ambiente de la organizacin. En muchas organizaciones, no hay experiencia tcnica ni herramientas para efectuar correcciones al software de sistemas. En esas circunstancias, el riesgo de modificaciones no autorizadas es mnimo. En el caso de que exista experiencia tcnica y herramientas, la organizacin debera establecer controles similares a aquellos sobre los programas de aplicacin. Normalmente, las organizaciones aplican segregacin de funciones, para prevenir que personal de soporte tcnico obtenga un entendimiento detallado de las aplicaciones procesadas y de los controles sobre los archivos claves y sobre las transacciones de aquellas aplicaciones. Finalmente, el trabajo del personal de soporte tcnico debera ser supervisado en forma muy cercana por la jefatura de soporte tcnico. 9. CONTROLES SOBRE LA CONVERSION DE ARCHIVOS Los controles sobre la conversin de archivos apuntan a la conversin de los archivos existentes a los nuevos archivos de datos de una aplicacin nueva. Ellos estn diseados para asegurar que el proceso de conversin no causo errores en los archivos de datos.