CONTROLES GENERALES

Sub proceso Ambiente de control Ambiente de control Ambiente de control Informacin y comunicacin Monitoreo

ACCESO A PROGRAMAS Y DATOS Sub proceso Actividades generales de administracin de la seguridad Administracin de la seguridad Administracin de la seguridad Administracin de la seguridad Administracin de la seguridad Seguridad de la red Seguridad de la red Seguridad de la red Seguridad fsica

Acceso al sistema operativo Acceso a la red Acceso remoto a la red Acceso directo a los datos Acceso a la base de datos Cambios en la configuracin de base de datos Acceso a archivos en red

Desarrollo y/o modificacion de programas y aplicaciones

operaciones computadorizadas
Sub proceso Administracin general de las actividades de operaciones computadorizadas Administracin general de las actividades de operaciones computadorizadas Organizacin y procesamiento en lotes Organizacin y procesamiento en lotes Procesamiento en tiempo real

Respaldo y recuperacin Respaldo y recuperacin Recuperacin en caso de desastre

Descripcin del control La Sociedad ha desarrollado, documentado y aprobado los descriptores de cargo del personal de IT. Las tareas dentro de la funcin IT estn debidamente segregadas. Para cada empleado de IT que ocupa cargos sensitivos, una adecuado proceso de contratacin es seguido para asegurar los objetivos de control interno y de confidencialidad La administracin se asegura que el personal es competente en el tiempo y asiste a las capacitaciones tcnicas necesarias para cumplir objetivos de negocio, de seguridad y de control interno La administracin de IT ha desarrollado y documentado las polticas y procedimientos clave que norman la ejecucin de tareas clave para procesos y componentes dentro de IT. Mediante reuniones o presentaciones formales, la gerencia de IT monitorea mtricas de desempeo del rea y de los controles generales relevantes

Descripcin del control La gerencia defini y documento formalmente los roles y responsabilidades para administrar la seguridad de activos de informacin. La funcin del administrador de seguridad est adecuadamente segregada. La gerencia de IT y del negocio han definido y establecido los procedimientos para normar los derechos de acceso a aplicativos relevantes Las gerencias del negocio han diseado y definido los derechos de usuario y los niveles de autorizaciones para su respectiva implementacin en los sistemas A los usuarios se les ha otorgado, quitado o modificado derecho de acceso a sistemas relevantes previa aprobacin de la jefatura apropiada. Las cuentas de usuario privilegiadas (de tipo administrador) han sido asignadas al personal competente y autorizado, salvaguardando objetivos de segregacin de funciones El diseo de la red de datos est segmentada y protegida de accesos no autorizados (p. ej. mediante Firewalls) Existen mtodos para monitorear la actividad de la red (interna y/o externa) y detectar incidentes de seguridad Un anti-virus corporativo o similar est implementado para proteger a la red interna y estaciones de trabajo para proteger frente a cdigos maliciosos (virus, spyware, malware) Tanto los centros principales de cmputo como los componentes en las instalaciones de la sociedad estn protegidos de riesgos ambientales y fsicos (p. ej. humo, agua, acceso no autorizado, intervenciones). Las instalaciones de trabajo de la sociedad poseen controles de acceso fsico adecuados. Los usuarios creados, eliminados o modificados en el sistema operativo son debidamente aprobados La creacin,eliminacion o modificacion de usuarios de red (p.ej. dominio de red) son debidamente aprobados La creacin,eliminacion o modificacion de usuarios de redes virtuales (VPN) o ambientes (Cytrix) para el acceso remoto son debidamente aprobados La administracin defini los roles y responsabilidades del personal sensitivo que tiene acceso directo a los datos productivos para preservar objetivos de control y segregacin de funciones Los usuarios creados, eliminados o modificados en el sistema operativo son debidamente aprobados La configuracin de seguridad del motor de base de datos es modificada siguiendo un proceso controlado y aprobado por las autoridades relevantes de IT y del negocio Los usuarios creados, eliminados o modificados en los directorios de red son debidamente aprobados

Debido a que todo desarrollo o cambio a los programas y aplicaciones son externos solicitaremos el contrato vigente con las entidades externas para asegurar el correcto funcionamiento de todo desarrollo o cambio a los programas

Descripcin del control La gerencia de IT defini, document y comunic las polticas y procedimientos para las operaciones computadorizadas La gerencia de IT defini, document y comunic los roles de operaciones computadorizadas para asegurar el cumplimiento de objetivos de control interno y la segregacin de funciones La administracin del negocio y/o de IT definieron el programa y/o calendarios de procesamientos en lote relevantes para el negocio Las altas, bajas y cambios en la programacin de procesos en lote son autorizadas y completadas de forma correcta Las fallas o incidentes en el procesamiento en tiempo real son detectados y corregidos de forma oportuna

La gerencia desarroll e implement las polticas de respaldo y retencin de datos crticos, definiendo alcance y frecuencia en conformidad con los requerimientos del negocio. Los respaldos de datos crticos son realizados con una frecuencia apropiada segn las polticas de la sociedad y con un alcance suficiente segn las necesidades del negocio. La gerencia del negocio y de IT han definido los planes de recuperacin ante desastres y las pruebas peridicas de los mismos para comprobar su eficacia