Controles de las Tecnologías de Información
Indice1. Introducción2. Los siete controles primarios de tecnologia informatica3. Controles de implementacion4. Controles sobre el mantenimiento5. Controles sobre la operacion del computador6. Controles sobre la seguridad de programas7. Controles sobre la seguridad de archivos de datos8. Controles sobre el softvvare de sistemas9. Controles sobre la conversion de archivos
1. Introducción
Los controles de TI son los procedimientos dentro del departamento de Sistemas de Información, que aseguran que los programas operan apropiadamente y que se impidan cambios no autorizados. Incluyen controles sobre el diseño, Implementación, Seguridad, y uso de Programas y Archivos del computador. Estos controles consisten en una combinación de procedimientos manuales y programados.
Los controles de TI son similares a los controles de Aplicación, aunque debería notarse las siguientes diferencias:
λ Los controles de TI son controles sobre el medio ambiente de PED en su totalidad.λ Los controles de Aplicación son controles sobre aplicaciones específicas; los controles de TI
cubren todas las aplicaciones.λ Los controles de Aplicación están compuestos de procedimientos manuales y procedimientos
programados.λ Los controles de Ti regulan el medio ambiente de PED para asegurar que los procedimientos
programados continúen funcionando apropiadamente.λ Si existen debilidades en los controles de TI, no hay seguridad de que los procedimientos
programados continúen trabajando apropiadamente, aún cuando no hayan sido cambiados.λ
Un ambiente de PED controlado en forma inapropiada, puede ocasionar la interrupción de las operaciones de la organización por la vía de:
λ Múltiples reejecuciones de las aplicaciones para corregir errores, causando retrasos.λ Afectar la información usada por la Administración para operar el negocio.λ Permitir la ocurrencia de fraudes, tal como la alteración no autorizada de los registros
electrónicos.λ Permitir la divulgación de secretos comerciales.
2. Los siete controles primarios de tecnologia informatica
Los controles de TI pueden ser divididos en las siguientes siete áreas:
• Controles de lmplementación, diseñados para asegurar que los procedimientos programados son propiados y correctamente implantados en los programas computacionales.
• Controles sobre el mantenimiento, diseñados para asegurar que los cambios a los procedimientos programados son diseñados, probados, aprobados e implementados apropiadamente.
• Controles sobre operación del computador, diseñados para asegurar que los procedimientos programados son aplicados consistentemente durante todo el procesamiento de la información y que se utilizan las versiones correctas de los archivos.
• Controles sobre la seguridad de programas, diseñados para asegurar que cambios no autorizados no pueden ser hechos a procedimientos programados.
• Controles sobre la seguridad de archivos, diseñados para asegurar que cambios no autorizados no pueden ser efectuados a archivos de datos.
• Controles sobre el software de sistemas, diseñados para asegurar que el software de sistemas es implantado correctamente y protegido contra cambios no autorizados.
• Controles sobre la conversión de archivos, diseñados para asegurar que los datos, son convertidos en forma total y exacta desde un sistema antiguo a uno nuevo.
•3. CONTROLES DE IMPLEMENTACION
Los controles de implementación ayudan a evitar los errores en aplicaciones nuevas.Incluyen controles sobre el diseño de nuevas aplicaciones computacionales, la prueba de los programas de aplicación, y los procedimientos para traspasar los programas aprobados a producción. Estos controles se aplican tanto a sistemas desarrollados internamente como a aquellos adquiridos a proveedores externos.
El trabajo realizado por una organización, entre el momento en que completa el estudio de factibilidad para un sistema de aplicación propuesto y el momento en que ese sistema se implanta exitosamente, es muy significativo. La traducción de los requerimientos de los usuarios partiendo de ideas generales, para arribar a una serie de programas de producción detallados e instrucciones específicas, tanto para el computador como para los departamentos usuarios, puede significar una cantidad de tiempo considerable.
Los procedimientos relacionados con el desarrollo de nuevos sistemas son los siguientes:
λ Administración del desarrollo del sistemaλ Diseño de sistema y preparación de programasλ Prueba de programas y sistemasλ Catalogación.
3.1 Administración del desarrollo del sistema
Generalmente, los requerimientos para nuevas aplicaciones son submitidos el Departamento de PED por los dueños de las aplicaciones. Los informes de estudio de factibilidad, diseño general del sistema, plan de pruebas y resultados, son revisados y aprobados usualmente por los usuarios y por las funciones de PED que se verán afectadas por la nueva aplicación (por ejemplo: los administradores de la Base de Datos y de la Red de Comunicaciones), por el grupo de soporte técnico (en relación a la compatibilidad con el Software de Sistemas existente), y .la jefatura, de programación (para dar la conformidad de los programas respecto de las especificaciones, y de la compatibilidad con las otras aplicaciones). A menudo, las funciones de control de calidad y/o auditoría interna están involucradas en este proceso.
También es necesario controlar la planificación de la implementación de los nuevos sistemas a través del uso de cartas de administración de proyectos u otro método que registre el estado de avance del proyecto. Normalmente, se efectúa el control del avance del proyecto en relación a grupos de programas o módulos.
3.2 Diseño del Sistema y Preparación de Programas
Típicamente, los requerimientos de nuevas aplicaciones son iniciados por los usuarios, basados en necesidades, cambios en la legislación o por el deseo de incrementar la eficiencia del procesamiento.
Los usuarios y personal de PED efectúan el estudio de factibilidad, incluyendo análisis de costobeneficio, análisis técnico para determinar los efectos sobre el hardware y software existente y análisis operacional para medir el impacto de la aplicación sobre las operaciones de la organización.
Se documenta el diseño general, incluyendo los procedimientos manuales y programados. Se definen los puntos de control y las interfases con otros sistemas y con el software de sistemas. Los prototipos pueden ayudar a los usuarios a refinar sus especificaciones para la nueva aplicación. La administración de cada unidad ínvolucrada en el flujo de datos revisa el plan para asegurar que entienden y están de acuerdo con él antes de que continúe el desarrollo.Se realiza la aprobación del estudio de factibilidad, el diseño general del sistema y las especificaciones detalladas. Típicamente, las especificaciones detalladas para las nuevas aplicaciones incluyen narrativas y/o flujogramas de actividades, diagramas de flujo de la recopilación de datos, procesos de ingreso y emisión de informes para conciliación y fechas esperadas de término e implementación.
3.3 Prueba de Programas y Sistemas
Normalmente, las políticas de PED requieren el desarrollo de planes de prueba para todas las aplicaciones nuevas. Esas políticas especifican el nivel de detalle de la documentación del plan, partes a ser involucrados en el proceso de desarrollo del plan, y las aprobaciones que deben obtenerse.
La documentación del plan incluye la descripción de las pruebas, los datos a ser utilizados o la metodología para generar estos datos, y los resultados esperados de las pruebas. Generalmente, el plan de pruebas es un esfuerzo conjunto entre los usuarios y la administración de PED.La prueba de programas y sistemas se hace normalmente en tres etapas diferentes:
(1) prueba de programa,(2) prueba de sistema, y (3) prueba paralela.
1. La prueba de programa consiste en verificar la lógica de programas individuales. Los métodos principales utilizados son la prueba de escritorio y datos de prueba. La prueba de escritorio consiste en analizar la lógica de un programa y confirmar que el código del programa reúne las especificaciones de dicho programa. Cuando fuera posible, la prueba de escritorio debería ser realizada por un programador diferente el que diseño y escribió el programa. Es probable que el programador original piense que su lógica es correcta y trate de probar que lo es, entes que realmente verificar que así sea. La prueba de escritorio se realiza normalmente en conjunción con la utilización de datos de prueba. Los datos de prueba son datos ficticios, preparados de acuerdo con las especificaciones del sistema para ser procesados por el mismo y deben ser diseñados para cubrir todas las alternativos de proceso o condiciones de error. Se deben establecer procedimientos formales para identificar y corregir cualquier error descubierto durante la prueba. Todos los resultados obtenidos con los datos de prueba deberán ser documentados y retenidos como evidencia de que dichas pruebas fueron realizadas. Los mismos datos pueden también ser utilizados para probar cambios futuros al sistema.
2. La prueba de sistema consiste en verificar que la lógica de varios programas individuales es consistente y que pueden encadenarse para formar un sistema completo que reúna los requerimientos de las especificaciones detalladas del sistema. la técnica principal utilizada es la de datos de prueba. Los resultados de la prueba deben ser cuidadosamente revisados. Los datos de prueba deben ser reprocesados y rediseñados, si fuera necesario, hasta que todos los errores de lógica sean detectados. En adición a situaciones comunes que el sistema está diseñado para manejar, las pruebas deberían también tratar el efecto de circunstancias inusuales en el sistema. Cuando fuera posible, la prueba del sistema debería ser realizada o verificada por personal diferente de aquél que fue responsable de hacer la programación detallada.
3. La prueba paralela significa operar el nuevo sistema al mismo tiempo, o en paralelo con, el sistema existente. Los resultados obtenidos de este proceso dual, pueden ser verificados para identificar e investigar cualquier diferencia. Corridas en paralelo o piloto es una manera de probar la operación de un sistema completo, incluyendo todos los procedimientos de los usuarios. A diferencia de la prueba de sistema, el propósito de la prueba en paralelo o piloto es probar la habilidad del sistema para manejar datos reales, no de prueba, y procesar grandes volúmenes de información, en vez de transacciones individuales. El nuevo sistema no debería ser aceptado en su totalidad por el departamento usuario correspondiente, ni tampoco debería ser abandonado hasta que, en la medida que sea práctico, el ciclo completo de proceso, haya sido exitosamente ejecutado en el nuevo sistema. En adición a ello, los procedimientos de recuperación la habilidad del sistema para recuperarse de una terminación anormal deberían ser probados y documentados. Los resultados deberían ser revisados, si esto fuera posible, por personal diferente al responsable de la programación detallada,.
3.4 Catalogación
La catalogación es el conjunto de procedimientos necesarios para transferir a producción aquellos programas ya probados. Los procedimientos más importantes son aquellos que aseguran que la prueba y la documentación ha sido satisfactoriamente completados antes que los programas entren en producción, y que los procedimientos manuales para el sistema nuevo, o el sistema que está siendo cambiado, estén funcionando, tanto en el departamento usuario como en el departamento de PED. Esto incluye la preparación de instrucciones escritas de operación y de usuarios, revisadas y aprobadas por personal responsable de los departamentos involucrados. Debería haber un procedimiento para transferir a producción programas nuevos o cambiados, según sea el caso, incluyendo instrucciones al personal sobre los nuevos procedimientos. Cuando estos programas están en línea, la transferencia de programas aprobados que residen en bibliotecas de prueba a bibliotecas de producción u operacionales, es un procedimiento del sistema operativo.
Los procedimientos de catalogación deberán incluir puntos de control para asegurar que todos los cambios requeridos, y solamente ellos, han sido hechos a los programas. Naturalmente, la versión ejecutable de un programa es la probada y utilizada para producción. La versión fuente también debe ser guardada, puesto que cualquier cambio autorizado subsecuente se hace sobre esta versión. Con todas estas versiones disponibles, es importante verificar que el programa fuente retenido coincide con la versión ejecutable residente en la biblioteca de producción. Existen paquetes de manejo de bibliotecas que pueden ayudar a controlar las versiones y los cambios realizados.
Otra buena práctica es recompilar programas antes de la prueba final de aceptación. Esto es esencial si se desea confiar en la comparación de versiones fuente descripta anteriormente; existen programas disponibles para verificar que un programa recompilado es idéntico a la versión ejecutable del mismo programa.
4. CONTROLES SOBRE EL MANTENIMIENTO
Los controles sobre el mantenimiento, están diseñados para asegurar que las modificaciones a los procedimientos programados están diseñadas e implementadas en forma efectiva. Cubren las mismas áreas que los controles de implementación, pero se relacionan con los cambios de programas más que con nuevas aplicaciones. Estos controles deberían asegurar que los cambios son diseñados, probados, aprobados, incorporados y actualizados apropiadamente, y que los requerimientos de cambio son manejados apropiadamente. Los procedimientos relacionados con la mantención de sistemas son:
Administración de los cambios a sistemas Prueba de programas Catalogación.
4.1 Administración de los cambios a sistemas
Los usuarios y la administración de PED siguen procedimientos específicos para requerir cambios. Por ejemplo, un individuo en cada departamento puede preparar requerimientos o reunirse con los propietarios de la aplicación y con personal de PED para discutir la necesidad de los cambios y los métodos mediante los cuales deberían ser efectuados. Un control de cambios manual o automatizado,
asegura que todos los requerimientos son atendidos y que se lleva un registro del estado de avance de ellos.
Los cambios a los programas deberían ser documentados tan acabadamente como los sistemas nuevos. La documentación del sistema, de los programas, de operación y de los usuarios debería ser actualizada para reflejar todos los cambios. Una documentación inadecuada puede resultar en errores de sistema, tiempo excesivo de mantención y una dependencia desmedida en personal técnico. Para asegurar que la documentación ha sido actualizada satisfactoriamente, esta es revisada y aprobada por la función de control de calidad o por los usuarios responsables de la aplicación y por la administración de PED.
4.2 Prueba de programas
Una organización bien controlada, tiene políticas que requieren el desarrollo de un plan de pruebas para cada programa sometido a cambios, y que especifica el nivel de detalle, la aprobación necesaria del plan, y quienes deberían efectuar dichas pruebas. La documentación del plan de pruebas debería incluir las pruebas a ser ejecutadas, los resultados esperados, y cómo desarrollar los datos de prueba. Normalmente, el plan de pruebas es revisado y aprobado por los usuarios y por la administración de PED.
Dependiendo de la complejidad de los cambios y su impacto sobre el sistema de aplicación, el usuario en conjunto con la administración de PED deberían determinar la técnica de prueba apropiada: (1 ) prueba de programa; (2) prueba de sistema: y/o (3) prueba paralela. la mayoría de los cambios requieren de la prueba de programas y la prueba de sistemas.
4.3 Catalogación
Generalmente, la transferencia de programas probados es la misma para la implementación de sistemas nuevos como para las subsecuentes mantenciones.
5. CONTROLES SOBRE LA OPERACION DEL COMPUTADOR
Los controles sobre la operación del computador están diseñados para asegurar que los sistemas continúan funcionando consistentemente, de acuerdo con lo planeado. Incluyen controles sobre el uso de los datos apropiados, programas y otros recursos, y la ejecución apropiada de esta función por parte de los operadores, particularmente cuando ocurre un problema.
Usualmente, el departamento de operaciones del computador controla el funcionamiento del hardware y software en el díaadía. En muchas organizaciones, esto es asistido por un departamento de control de la producción. Operaciones del computador es responsable por la ejecución física de las aplicaciones (montar cintas, imprimir los informes y tomar decisiones acerca del hardware, tales como discontinuar el uso de un dispositivo cuando presenta una falla). Control de 18 producción es responsable por la preparación de trabajos y la planificación de la carga.Los controles sobre la operación del computador están descritos en las siguientes secciones:
Planificación de la carga Preparación y ejecución de Trabajos Uso correcto de los archivos de datos Monitoreo de actividades Procedimientos de Respaldo y Recuperación.
5.1 Planificación
La planificación vincula los trabajos a ser ejecutados con los archivos de datos a ser utilizados. En muchas instalaciones, se utiliza software de planificación para submitir los procesos sobre una base predeterminada (por ejemplo: todos los días a las tres de la tarde, o los días 15 y último de cada mes). Otras instalaciones usan un esquema de planificación manual. En cualquiera de estos casos, la planificación de los procesos es aprobada por los usuarios y por la jefatura de operaciones, cuando se implementa un sistema.
Normalmente, control de la producción o la jefatura de operaciones requiere de aprobaciones escritas de los usuarios para ejecutar trabajos en una secuencia distinta a la planificada. Los usuarios deben entregar requerimientos escritos para la planificación de trabajos que no están considerados en la planificación normal, tales como actualizaciones periódicas a ciertos archivos, o procedimientos de fin de año.
La administración de PED utiliza bitácoras (manuales o automáticas) para monitorear la adherencia de los operadores a la planificación aprobada. Esas bitácoras informan los trabajos ejecutados, los tiempos de inicio y fin del trabajo y cualquier condición anormal ocurrida durante la ejecución del trabajo. Cuando ocurre una condición anormal, el operador prepara un formulario de descripción de problemas para la. posterior investigación y la autorización de la reejecución.
Si las aplicaciones en operación son en línea, la planificación sólo es relevante para aquellos proceso de tipo batch, tales como los procesos de fin de día, de respaldo y de inicio de actividades del día. Las consideraciones de control se asocian a que si los trabajos se ejecuten en el punto, tiempo y secuencia apropiada.
5.2 Preparación de Trabajos
Preparación de trabajos es el nombre normalmente dado a la preparación de una aplicación para su proceso. Se deben definir y cargar los programas y archivos de datos del sistema, se debe especificar la secuencia de eventos, y los dispositivos deben ser asignados. la preparación de trabajos es importante para los controles sobre operación del computador, debido a que ayuda a asegurar que el lenguaje de control de trabajos y sus parámetros están apropiadamente preparados y que los archivos correctos sean utilizados.
La manera más común de asegurar que el lenguaje de control de trabajos y los parámetros que están siendo utilizados son los apropiados, es mantener instrucciones escritas previamente aprobadas. Existe también la necesidad de verificar que los comandos y los parámetros utilizados se corresponden con dichas instrucciones. Esto debería ser revisado y aprobado por personal responsable. Las instrucciones de preparación de trabajos deberían cubrir todas las aplicaciones y el
sistema operativo. Ellos deberían incluir, donde fuera apropiado, el flujo del proceso, información relacionada con la preparación de equipos periféricos y archivos, lenguaje de control de trabajos (JCL) y parámetros de ejecución.
En muchos casos, los controles de actualización y mantenimiento, descritos como controles de aplicación, aseguran que los archivos correctos están siendo utilizados. Sin embargo, controles específicos sobre la utilización de los archivos correctos aún son necesarios. Esto es particularmente verdadero, para aquellos archivos que contienen tablas que son utilizadas durante un proceso (por ejemplo, la lista de números cuando se utiliza chequeos de secuencia).
Puede haber controles manuales sobre los archivos de datos, desde el momento en que son retirados de la biblioteca física hasta la preparación del trabajo. El sistema operativo puede también asegurar que los archivos correctos están siendo utilizados. Cuando el sistema operativo, está utilizado como una técnica de control, cada archivo asignado a un dispositivo incluye un registro, cabecera conteniendo información tal como el nombre del archivo y el número de la versión del mismo. Cuando el archivo es preparado para el proceso, los detalles de dicho registro son verificados.Cualquier intervención por parte del operador sobre estos controles debería ser revisada y aprobada.
5.3 Uso correcto de los archivos de datos
En muchos casos, los controles sobre la actualización y sobre el mantenimiento, descritos como controles de aplicación, aseguran que se utiliza los archivos de datos correctos. Sin embargo, aún son necesarios controles específicos sobre el uso de datos correctos. Esto es particularmente cierto en archivos que contienen tablas que son requeridas en el procesamiento (por ejemplo: la lista de números cuando se utiliza chequeo de la secuencia numérica).
Típicamente, los controles sobre los archivos de datos requieren que éstos tengan un label. interno único, que es leído por el software de sistemas y chequeado por el computador contra la información contenida en el JCL o en un sistema de control de cintas. Los correspondientes label externos son puestos a los dispositivos de almacenamiento removibles, para que sean leídos por los cincotecarios y operadores en el momento de asignar dichos archivos al procesamiento. Cuando un archivo es de tipo multivolumen, el software de sistemas cheques el label interno de cada uno de los volúmenes, para asegurar la correcta secuencia de ellos.
Cuando un archivo requerido por un trabajo está erróneo, normalmente el sistema operativo o el operador deberán cancelar el trabajo. Control de la producción determina la causa del problema y toma las acciones correctivas necesarias. Estas acciones son revisadas y aprobadas por control de la producción y por los usuarios, cuando es necesario.
5.4 Monitoreo de actividades
El funcionamiento del computador y sus operaciones, está normalmente controlado por procedimientos manuales y programados. En sistemas más avanzados, dichos procedimientos son mayormente llevados a cabo por programas especiales. Las funciones manuales están normalmente restringidas a las acciones requeridas o solicitadas por dichos programas especiales. La consideración principal de control en este caso es que el sistema operativo utilizado es confiable y que los
procedimientos manuales no lo son, puesto que por error o por otras razones, se puede interferir con o afectar el proceso normal del computador.
5.5 Procedimientos de Recuperación y Respaldo
Deberían existir procedimientos de respaldo. En el evento de una falla del computador, el proceso de recuperación de programas de producción, sistema operativo o archivos, no debería introducir ningún cambio erróneo dentro del sistema. Algunas de las principales técnicas que pueden ser utilizadas son:
• La facilidad para recomenzar en un estado intermedio del proceso. Esto es aplicable a los programas cancelados antes de su término normal y evita la necesidad de reprocesar todo el trabajo.
• Un sistema para copiar y almacenar independientemente archivos maestros y las transacciones respectivas. Esto hace posible recuperar cualquier archivo perdido o dañado durante la interrupción del trabajo.
• Procedimientos similares al anterior, para asegurar que las copias de las instrucciones de operación, ejecución, y otros documentos claves están disponibles en caso que los originales se pierdan.
• Instrucciones formales escritas para la recuperación del proceso o su transferencia a otra instalación.
6. CONTROLES SOBRE LA SEGURIDAD DE PROGRAMAS
Los controles sobre seguridad de programas están diseñados para asegurar que cambios no autorizados no pueden ser hechos a programas de producción. Dichos controles aseguran que los únicos cambios son aquellos hechos a través de los procedimientos normales de cambios de programas. La seguridad de programas es preocupación especial para el auditor cuando un cambio no autorizado en un programa particular podría beneficiar a la persona que realiza el cambio (por ejemplo, un cambio hecho en un sistema que procesa salarios y pagos en efectivo podría resultar en que se realicen pagos no autorizados).
Los procedimientos relacionados con la seguridad sobre los programas son:
Software de control de acceso Controles sobre el acceso físico Segregación defunciones.
6.1 Software de control de acceso
Una organización puede usar software de sistemas (por ejemplo: opciones del sistema operativo, paquetes de seguridad, paquetes de administración de bibliotecas de programas, software de comunicaciones) para restringir el acceso a las bibliotecas de programas o a programas específicos en bibliotecas de producción. Generalmente, las técnicas de control usadas incluyen:
Códigos de identificación de usuarios y passwords
Opciones de menú restringidos Niveles de acceso restringido a los usuarios (acceso sólo de lectura) Capacidades de los medios de input/output restringidas.
En los sistemas computacionales de hoy en día, los programas pueden ser accedidos y alterados en una gran variedad de formas. La mayoría de las organizaciones usan software de control de acceso para restringir tanto el acceso a procesos en línea como a los procesos en batch. El acceso no sólo es 'restringido a programas específicos o 8 bibliotecas, sino también a:
Bibliotecas de procedimientos (JCL) Archivos del software de control de acceso Bibliotecas del software de sistemas Archivos de bitácoras.
Una seguridad de acceso Completa, requiere que todos los usuarios estén registrados por el sistema y que sean monitoreados por la función de administración de la Seguridad, de modo independiente. Los problemas (por ejemplo: desactivación de usuarios o denegar el acceso) son identificados y se
efectúa un seguimiento oportuno. Las acciones privilegiadas (por ejemplo: definición de nuevos usuarios, cambios a los privilegios de los usuarios, cambios en la definición de los recursos y a las reglas de acceso y sobrepasar la seguridad) también son registradas e investigadas en forma oportuna por el administrador de la seguridad. Es preferible las revisiones diarias o semanales de los registros, pero las revisiones mensuales pueden ser adecuadas para un volumen bajo de actividades.
Típicamente, las funciones del administrador de la seguridad son:
λ Mantener control es apropiados sobre el diseño y mantención de las identificaciones de los usuarios (user ID) y sus passwords, y asegurar que las user ID's y passwords no pueden ser obtenidas por personal no autorizado
λ Mantener y definir las reglas de acceso de los usuarios autorizadosλ Controlar, distribuir y corregir las tablas de passwordλ Revocar inmediatamente las user ID's y passwords de los usuarios que dejan de pertenecer a la
organización o que han sido trasladados.
Todos los controles de acceso necesitan usuarios con privilegios especiales para la administración y otras tareas importantes, tales como:
λ Establecer y cambiar las user ID'sλ Resetear las passwords u otros códigos secretosλ Sobrepasar los controles de acceso (atributos de acceso irrestricto)λ Cambiar el estado del sistema de seguridad y las opciones del software de control de acceso.
6.2 Controles sobre el acceso físico
El control físico, junto con el software de control de acceso, proveen control extenso sobre los programas. Los procedimientos de control de interés incluyen:
λ Restricción de acceso físico a los terminales o el acceso privilegiado a terminales y usuarios específicos. Por ejemplo, en una bodega, restringiendo al acceso al terminal para registrar el stock físico y reforzar la limitación de tiempo para el uso de la terminal
λ Restricción de acceso a la sala del computador (vía tarjetas magnéticas o claves de números en la puerta)
λ Restricción al acceso de los listados de los programasλ Control y restricción al acceso de los respaldos de los programas y su documentación.
6.3 Segregación de funciones
Con la suficiente capacidad técnica y el conocimiento detallado de su contenido, los usuarios podrían sobrepasar la seguridad y hacer cambios a programas en producción. La protección contra esta posibilidad, normalmente se incremento con una apropiada segregación de funciones. Cuando las funciones son separadas, los usuarios no pueden obtener un conocimiento detallado de los programas; por otro lado, aquellos responsables del desarrollo y mantenimiento de los programas, no pueden tener acceso irrestricto a los programas de producción. Es importante mantener esta segregación de funciones en todo momento, aún fuera de las horas normales de trabajo.
7. CONTROLES SOBRE LA SEGURIDAD DE ARCHIVOS DE DATOS
Los controles sobre la seguridad de archivos aseguran que no se pueden efectuar cambios no autorizados sobre los archivos de datos. La necesidad de controles de seguridad sobre archivos de datos es normalmente mayor para archivos maestros que para archivos de transacciones. Esto es así, porque no todos los campos de datos críticos de los archivos maestros están sujetos a los procedimientos regulares de verificación y reconciliación. Cualquier verificación cíclica de archivos de datos podría no ser hecha lo suficientemente a menudo para proveer la oportuna identificación de cambios no autorizados.
Los controles sobre archivos de datos son también importante desde un punto de vista operativo. Consideraciones operativas incluyen proteger los datos de ser borrados o destruidos, ya sea accidental o intencionalmente, y contra robos y uso no autorizado.
7.1 Software de Controles de Acceso
Una amenaza particular para los datos es el acceso irrestricto, que permite que los datos sean cambiados sin autorización previa. En sistemas en lote, donde los archivos de datos han sido cargados para la ejecución de un programa específico, el problema está limitado a controlar la acción de los operadores durante esa ejecución en particular. Los sistemas en línea y tiempo real requieren una: combinación de técnicas de control, incluyendo la restricción a los caminos de acceso de u sistema y al rango de actividades permitidas a los usuarios. Los sistemas de conexión telefónica requieren altos niveles de seguridad debido a los peligros de acceso por personal no autorizado. El nivel apropiado de los controles de acceso está determinado por la sensibilidad de los datos, la división de funciones de los usuarios, y los recursos disponibles.
Acceso por los usuarios. Los procedimientos da control diseñados para proteger archivos de datos contra accesos no autorizados por parte de usuarios dec sistema, son similares a aquellos ya descritos para programas. Estos procedimientos, que normalmente pueden ser llevados a cabo al mismo tiempo que aquellos para los programas, incluyen funciones del Sistema operativo tales como paquetes de control de bibliotecas, programas de seguridad del sistema operativo, palabras claves, programas de comunicaciones y sistemas de manejo de base de datos.
7.2 Acceso a Datos en línea
En situaciones donde los datos son capturados a través de un terminal, como es el caso de sistemas en línea y tiempo real, es esencial proteger contra la captura de información no autorizada, que se utilizará posteriormente en el proceso de actualización.
La captura de datos inválidos puede ser hecha para archivos de transacciones o archivos maestros. Normalmente transacciones con datos inválidos son introducidas al sistema para alterar el efecto de una transacción que ya se encuentra en el archivo. Por ejemplo, una nota de crédito ficticia que está apareada a una factura dentro del archivo, alteraría el estado de dicha factura. Datos inválidos dentro de un archivo maestro pueden consistir de un registro completo, tal como la cuenta de un proveedor ficticio, o un campo de datos, tal como la tasa de pago o la tasa de interés.
Cuando los archivos de datos están en línea, debería haber una combinación apropiada de opciones del sistema operativo, que permita restringir termínales a ciertos programas, transacciones, o archivos. Solamente personal autorizado debería tener acceso a archivos, ya sea para obtener información o introducir cambios.
7.3 Acceso por los programas en producción
En adición a los controles de acceso de usuarios y de termínales, deberían establecerse procedimientos para restringir el acceso a los datos por diversos programas. El acceso a los datos puede ser restringido por medio de paquetes de seguridad, a través de los cuales se puede definir qué datos pueden ser procesados y con qué opciones, ya sea de lectura o actualización. Es posible producir informes, generado por dicho paquete, de todos los accesos permitidos a los diferentes programas. Dichos informes deberían ser revisados e investigados si fuera necesario.
7.4 Archivos Fuera de Línea
Los archivos residentes fuera de línea están protegidos contra cambios mientras no estén cargados en el computador, pero pueden ser removidos, posiblemente con propósitos no autorizados. Esto puede ocurrir cuando los archivos no están físicamente protegidos y/o su manejo no está apropiadamente controlado. Las características de control deberían proteger contra el traslado no autorizado o destrucción de archivos, incluyendo aquellos almacenados en sitios remotos para utilización en caso de desastre.
7.5 Seguridad Física
Para proteger archivos fuera de línea contra accesos no autorizados, debería existir un área de almacenamiento bajo llave. Debería estar alejada de donde reside el computador y, preferiblemente, supervisado por un bibliotecario responsable de la entrega, recepción y seguridad de todos los archivos. Los accesos de dicha biblioteca deberían ser restringidos solamente a personal autorizado para retirar o devolver archivos.
Es necesario que existan procedimientos para asegurar que los archivos sean utilizados solamente para procesos autorizados. Esto significa que se deberían preparar calendarios de proceso que especifiquen en detalle los archivos que son requeridos para el proceso. Dichos calendarios deberían prepararse para todas las aplicaciones y ser aprobados por personal responsable. Debería requerirse autorización específica para remover archivos a sitios remotos o a otro computador.
8. CONTROLES SOBRE EL SOFTVVARE DE SISTEMAS
Los controles sobre el software de sistemas asegura que el software de sistemas es implementado, mantenido y protegido de cambios no autorizados en forma apropiada. los programas del sistema operativo son importantes para el auditor puesto que ayudan a controlar tanto los programas que procesan información como los archivos de datos. Muchos de los controles de TI, tales como la seguridad de archivos de datos y programas, dependen del software de sistemas.
El software de sistemas que puede ser relevante para controlar incluye programas relacionados con:
• Catalogación
• Informe de trabajos procesados
• Manejo de archivos
• Comunicaciones de datos
• Informe de operaciones
• Preparación de archivos
• Seguridad de acceso
• Registro de bibliotecas
• Base de datos
Los controles sobre el software de sistemas son discutidos en las siguientes secciones.
8.1 Implementación
Los controles requeridos para la implantación exitosa del software de sistemas son esencialmente similares a aquellos requeridos para la implantación de programas de aplicación, excepto que este trabajo es efectuado por personal de soporte técnico y con por los programadores de aplicación.
Todo software de sistemas provisto por un proveedor debería estar sujeto a la revisión y aprobación por una persona con el conocimiento suficiente para determinar el impacto de dichos programas en los sistemas existentes y los procedimientos en operación. Dicha persona debería ser capaz de determinar si dichos programas satisfacen las necesidades y objetivos de la compañía. Esta revisión debería abarcar tanto el sistema operativo básico, como las diferentes opciones disponibles.
Cuando el nuevo software de sistemas tiene una interfase directa con programas de aplicación es imperativo que los nuevos programas sean probados con programas de aplicación ya estables. Así, si ocurren anomalías, ellas pueden ser identificadas como resultantes del nuevo software de sistemas.
Las instrucciones y otra documentación del software de sistemas y las distintas opciones provistas deberían ser revisadas por personal técnicamente competente. Dicho personal debería asegurarse que la documentación describe apropiadamente los procedimientos necesarios para utilizar y operar correctamente el software de sistemas.El uso de programas del software de sistemas debería ser restringido a usuarios autorizados. Por ejemplo, el grupo de soporte técnico puede necesitar algunos programas de servicio que no deberían estar disponibles a operadores o a usuarios.
8.2 Mantenimiento
El software de sistemas es modificado periódicamente por el vendedor quien introduce nuevos programas o mejoras a los programas existentes. Estas mejoras o nuevos programas deben ser probados para asegurar que éste opera de acuerdo con el ambiente de la organización.
En muchas organizaciones, no hay experiencia técnica ni herramientas para efectuar correcciones al software de sistemas. En esas circunstancias, el riesgo de modificaciones no autorizadas es mínimo. En el caso de que exista experiencia técnica y herramientas, la organización debería establecer controles similares a aquellos sobre los programas de aplicación. Normalmente, las organizaciones aplican segregación de funciones, para prevenir que personal de soporte técnico obtenga un entendimiento detallado de las aplicaciones procesadas y de los controles sobre los archivos claves y sobre las transacciones de aquellas aplicaciones. Finalmente, el trabajo del personal de soporte técnico debería ser supervisado en forma muy cercana por la jefatura de soporte técnico.
9. CONTROLES SOBRE LA CONVERSION DE ARCHIVOS
Los controles sobre la conversión de archivos apuntan a la conversión de los archivos existentes a los nuevos archivos de datos de una aplicación nueva. Ellos están diseñados para asegurar que el proceso de conversión no causo errores en los archivos de datos.