CONTROL INTERNO INFORMTICO

Definiciones
El Control Interno Informtico puede definirse como el sistema
integrado al proceso administrativo, en la planeacin, organizacin,
direccin y control de las operaciones con el objeto de asegurar la
proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos
automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los
procedimientos, las prcticas y las estructuras organizativas diseadas
para proporcionar seguridad razonable de que los objetivos de la
empresa se alcanzarn y que los eventos no deseados se prevern, se
detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o
accin realizada manual y/o automticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G.
Plattini)

OBJETIVOS PRINCIPALES:

Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse
del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas

Colaborar y apoyar
interna/externa

Definir, implantar y ejecutar mecanismos y controles para

comprobar el grado ce cumplimiento de los servicios informticos.

el

trabajo

de

Auditora

Informtica

Realizar en los diferentes sistemas y entornos informticos el

control de las diferentes actividades que se realizan.

Tipos
En el ambiente informtico, el control interno
fundamentalmente en controles de dos tipos:

se

materializa

Controles manuales; aquellos que son ejecutados por el

personal del rea usuaria o de informtica sin la utilizacin de
herramientas computacionales.
Controles Automticos; son generalmente los incorporados en
el software, llmense estos de operacin, de comunicacin, de
gestin de base de datos, programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos, para tratar de evitar la produccin de
errores o hechos fraudulentos, como por ejemplo el software de
seguridad que evita el acceso a personal no autorizado.
Controles Detectivos; tratan de descubrir a posteiori errores o
fraudes que no haya sido posible evitarlos con controles
preventivos.
Controles Correctivos; tratan de asegurar que se subsanen
todos los errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMTICO (FUNCIN)

El Control Interno Informtico es una funcin del departamento de
Informtica de una organizacin, cuyo objetivo es el de controlar que
todas las actividades relacionadas a los sistemas de informacin
automatizados se realicen cumpliendo las normas, estndares,
procedimientos y disposiciones legales establecidas interna y
externamente.
Entre sus funciones especficas estn:

 Difundir y controlar el cumplimiento de las normas, estndares y

procedimientos al personal de programadores, tcnicos y
operadores.
Disear la estructura del Sistema de Control Interno de la
Direccin de Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
CONTROL INTERNO INFORMTICO (SISTEMA)
Un Sistema de Control Interno Informtico debe asegurar la integridad,
disponibilidad y eficacia de los sistemas informticos a travs de
mecanismos o actividades de control.
Estos controles cuando se diseen, desarrollen e implanten, deben ser
sencillos, completos, confiables, revisables y econmicos.
Para
implantar estos controles debe conocerse previamente la
configuracin de todo el sistema a fin de identificar los elementos,
productos y herramientas que existen y determinar de esta forma
donde se pueden implantar, as como para identificar los posibles
riesgos.
Para conocer la configuracin del sistema se deber documentar:
Entorno de Red: esquema, configuracin del hardware y software
de comunicaciones y esquema de seguridad de la red.

 Configuracin de los computadores principales desde el punto de

vista fsico, sistema
operativo, biblioteca de programas y
conjunto de datos.
Configuracin de aplicaciones: proceso de transacciones, sistema
de gestin de base de datos y entorno de procesos distribuidos
Productos y herramientas: software de programacin diseo y
documentacin, software de gestin de biblioteca.
Seguridad del computador principal: sistema de registro y acceso
de usuarios, identificar y verificar usuarios, integridad del sistema
Una vez que se posee esta documentacin se tendr que definir:
Polticas, normas y tcnicas para el diseo e implantacin de los
sistemas de informacin y sus respectivos controles.
Polticas, normas y tcnicas para la administracin del centro de
cmputo y redes de computadores y sus respectivos controles.
Polticas y normas que aseguren la integridad, confidencialidad y
disponibilidad de los datos y sus respectivos controles.
Polticas y normas que rijan los procedimientos de cambios,
pruebas actualizacin de programas y sus respectivos controles.
Polticas y normas de instalacin, actualizacin y uso de licencias
del software de base, de red y de usuario y sus respectivos
controles.
Polticas y normas que permitan implantar en la organizacin una
cultura de riesgo informtico, la misma que comprender los
siguientes entornos:
Direccin General, a travs de polticas generales sobre los
sistemas de informacin respecto al tipo de negocio de la misma.
Direccin de informtica, a travs de la creacin y difusin de
procedimientos, estndares, metodologas y normas aplicables a
todas las reas de informtica as como de usuarios.
Control Interno Informtico, definir los controles peridicos a
realizar en cada una de las funciones informticas, de acuerdo al

nivel de riesgo de cada una de ellas y sern de carcter

preventivo, detectivo y correctivo.
Auditora Informtica Interna; revisar peridicamente la
estructura de control interno tanto en su diseo como en su
cumplimiento por parte de cada una de las reas definidas en l y
de acuerdo al nivel de riesgo.
CONTROL INTERNO INFORMTICO (REAS DE APLICACIN)
CONTROLES GENERALES ORGANIZATIVOS
Son la base para la planificacin, control y evaluacin por la
Direccin General de las actividades del Departamento de
Informtica, y debe contener la siguiente planificacin:
Plan Estratgico de Informacin realizado por el Comit de
Informtica.
Plan Informtico, realizado por el Departamento de Informtica.
Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.
CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS
DE INFORMACION
Permiten alcanzar la eficacia del sistema, economa, eficiencia,
integridad de datos, proteccin de recursos y cumplimiento con las
leyes y regulaciones a travs de metodologas como la del Ciclo de
Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION

Tienen que ver con la gestin de los recursos tanto a nivel de
planificacin, adquisicin y uso del hardware as como los
procedimientos de, instalacin y ejecucin del software.

CONTROLES EN APLICACIONES
Toda aplicacin debe llevar controles incorporados para garantizar la
entrada, actualizacin, salida, validez y mantenimiento completos y
exactos de los datos.
CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS
Tienen que ver con la administracin de los datos para asegurar su
integridad, disponibilidad y seguridad.
CONTROLES INFORMATICOS SOBRE REDES
Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad
y funcionamiento de las redes instaladas en una organizacin sean
estas centrales y/o distribuidas.
CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL
Se relacionan a las polticas de adquisicin, instalacin y soporte
tcnico, tanto del hardware como del software de usuario, as como la
seguridad de los datos que en ellos se procesan.
CONCEPTOS FUNDAMENTALES
AMENAZA - CAUSA DE RIESGO
Se refiere a factores o circunstancias que al materializarse u ocurrir, generan riesgos o
prdidas a la organizacin. Ejemplo: el incendio puede generar prdida de activos,
sanciones legales, desventaja ante la competencia.
RIESGO

Valor de las prdidas a las que se expone una organizacin por efecto de la ocurrencia de
un evento adverso denominado amenaza o causa del riesgo. El riesgo es el resultado de
las prdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R
= P * C).
RIESGO CRTICO
Riesgos que tienen la mayor calificacin dentro de un conjunto de riesgos que podran
presentarse en una operacin o sistema. Riesgo de prioridad alta, de acuerdo con la
evaluacin de riesgos potenciales. Riesgo ubicado en los estratos Alto y Medio Alto
dentro del principio de Pareto.
RIESGO POTENCIAL
Es el riesgo inherente o asociado con la naturaleza de las operaciones. Este riesgo no
tiene en cuenta los controles establecidos. Por ejemplo: el hecho de tener computador
porttil lo expone a que sea robado, independientemente de los controles que se
establezcan para evitar que sea robado.

RIESGO RESIDUAL
Es el riesgo no cubierto por los controles establecidos.
ADMINISTRACIN DE RIESGO
Es el proceso mediante el cual partiendo de los riesgos potenciales crticos, se establecen
medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual.
Es el proceso de establecer y mantener la seguridad en un rea o sistema.

ANLISIS DE RIESGO
Es el medio por el cual los riesgos son identificados y evaluados para justificar las
medidas de seguridad o controles.
RIESGOS FUNDAMENTALES
- Dao o Destruccin de Activos
- Hurto o Fraude
- Desventaja Competitiva
- Sanciones Legales
- Perdida de Negocios y Credibilidad Pblica
- Prdida de dinero por exceso de desembolsos
- Decisiones errneas
- Prdida de Ingresos
EL RIESGO EN LA ENTIDAD SEGN PRICE WATERHOUSE:
Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos
estratgicos, operativos, de cumplimiento y/o financieros de Municipalidad. Y los
clasifica de la siguiente forma:
RIESGOS ESTRATGICOS: Asociados a la forma como se administra la entidad
RIESGOS OPERACIONALES: Asociados con las condiciones operacionales de los
procesos, controles, sistemas e informaciones.
RIESGOS DE CUMPLIMIENTO: Asociados con la capacidad de la entidad de cumplir
normas, regulaciones y leyes as como seguir las polticas del sector pblico

RIESGOS FINANCIEROS: Asociados a la exposicin financiera de la Municipalidad

PERCEPCIONES DEL RIESGO:
AMENAZA

: Objetivo: minimizar

INCERTIDUMBRE

: Objetivo: administrar

OPORTUNIDAD : Objetivo: maximizar

SEGN COSO EL CONTROL INTERNO ES:
Un proceso efectuado por el directorio de una entidad, la gerencia y otros miembros del
personal; diseado para proporcionar una seguridad razonable acerca del logro de
objetivos.
Cuando indica seguridad razonable implica que el costo de una estructura de control no
excede sus beneficios.
El Control Interno disminuye la posibilidad
organizacin.

de daos a la reputacin de una

El control interno contribuye a la minimizacin de los riesgos potenciales de una

organizacin
COMPONENTES DEL CONTROL INTERO
- Ambiente de control : proporciona el clima en el cual la gente realiza sus
actividades y lleva a cabo sus responsabilidades de control. Es decir que es el
componente principal para la administracin efectiva del riesgo en la
administracin; provee la disciplina y estructura de todos los componentes
involucrados, y se inculca mediante entrenamientos al personal, cdigos de

conducta, etc.
- Evaluacin de riesgo : dentro del ambiente de control. La gerencia evala los
riesgos para lograr los objetivos propuestos, y lo hace a nivel organizacional y a
nivel de actividad. Un prerrequisito para evaluar un riesgo es el establecimiento de
los objetivos. El proceso de anlisis incluye: determinar la significatividad del
riesgo, evaluar la probabilidad de que ocurra o la frecuencia con que se produce y
evaluar las acciones que deben ser adoptadas.
- Actividades de control : son las que estn diseadas para responder a los riesgos
en toda la organizacin como por ejemplo: aprobaciones, autorizaciones,
revisiones y segregacin de funciones. Estos procedimientos de control pueden ser:
controles de monitoreo, gerenciales, independientes, de procesamiento de
informacin y controles de salvaguarda de activos.
- Informacin y comunicacin : los canales de comunicacin involucran a los
niveles internos y externos de la organizacin, en muchas oportunidades la
comunicacin de fuentes externas proporciona informacin importante acerca del
funcionamiento del control interno. Medir la calidad de la informacin implica
determinar si: el contenido es adecuado, la informacin es oportuna, la informacin
es actual, la informacin es precisa, la informacin es accesible
- Monitoreo : Todas las actividades de control y procesos operativos deben ser
moni toreados; es decir, revisados por un nivel jerrquico mayor para realizar un
control de calidad sobre la marcha. Este proceso incluye la administracin y
supervisin regular de las actividades

AUDITORIA
Es un proceso sistemtico de obtencin y evaluacin objetiva de evidencias respecto a
afirmaciones o aseveraciones sobre hechos o eventos econmicos, para determinar el
grado de correspondencia entre tales aseveraciones y criterios establecidos, y comunicar
los resultados a los usuarios interesados (Definicin de la American Accounting
Association).
AUDITORIA DE SISTEMAS

Toda auditora que comprenda la revisin y evaluacin de todos los aspectos de los
sistemas automatizados de procesamiento de informacin (o cualquier porcin),
incluyendo los procesos no automatizados relacionados y las interfases entre ellos.
COBIT
Acrnimo de Control OBjectives for Information and related T
echnology. Es un estndar de Control Interno y Auditora de Sistemas de Informacin
producido por ISACA (Information Systems Audit and Control Association, 2001).
COMPONENTES DEL RIESGO
El riesgo tiene dos componentes: Probabilidad de ocurrencia y el costo de las prdidas
que genera cada ocurrencia (R = P * C).
CONTROL
Es la accin que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad
de ocurrencia o el impacto que pueda generar su ocurrencia.
CATEGORAS DEL CONTROL
- EXCESIVO : existen controles excesivos, mas all de su relacin costo-beneficio.
- BUENO : el riesgo se encuentra reducido a un nivel aceptable optimizando la
relacin costo-beneficio de los controles existentes
- RIESGO RESIDUAL ACEPTABLE: el riesgo se encuentra reducido a un nivel
aceptable por los controles vigentes.
- MEDIO : el riesgo esta parcialmente cubierto por los controles vigentes -sin llegar
a un nivel aceptable- pero hay planes de accin para llevarlo a un nivel aceptable
- POBRE: el riesgo no se encuentra reducido a un nivel aceptable por lo que la

posibilidad de que se materialice una amenaza es alta.

BAJO EL ESQUEMA DE TRABAJO ORCA PARA LA ADMINISTRACIN DEL
RIESGO, EL IMPACTO EN LA ORGANIZACIN POR LA MATERILIZACION DE
UN RIESGO PUEDE SER:
- Insignificante : sin impacto sobre imagen, insignificante impacto financiero
- Menor: bajo impacto negativo en la imagen, bajo impacto financiero
- Moderado : moderado impacto negativo en la imagen y moderado impacto
financiero.
- Importante: deterioro serio de la imagen, importante perdida financiera
- Catastrfico: deterioro catastrfico de la imagen, significativa perdida financiera
BAJO EL ESQUEMA DE TRABAJO ORCA PARA LA ADMINISTRACIN DEL
RIESGO, LA PROBABILIDAD DE OCURRENCIA DE UN RIESGO ES:
- Rara: el riesgo puede ocurrir en circunstancias excepcionales
- Baja: el riesgo poco probable de que ocurra
- Moderada: el riesgo es probable que ocurra
- Alta: el riesgo tiene una probabilidad importante de ocurrencia
- Significativa: el riesgo es mas probable que ocurra a que no ocurra
CONTROL INTERNO
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para
proporcionar razonable confianza en que los objetivos del negocio sern alcanzados y que
los eventos indeseados sern prevenidos detectados y corregidos (definicin segn el
estndar COBIT, 2001).
EVALUACIN DE RIESGO ( RISK ASSESSMENT)

Es el proceso que se sigue para establecer los riesgos crticos potenciales sobre los cuales
se deben enfatizar los esfuerzos de control y auditora.
EVALUAR EL CONTROL INTERNO
Proceso de auditora para determinar si los controles establecidos protegen a la
organizacin contra los riesgos potenciales crticos.
MAPA DE RIESGO
Localizacin de los riesgos crticos en los procesos y dependencias que intervienen en el
manejo de una operacin o sistema de informacin computarizado (SIC).
METODO DE CUESTIONARIO DE RIESGO
Un mtodo para categorizar la importancia de cada uno de los riesgos potenciales que
podran presentarse en una operacin automatizada o sistema de informacin
automatizado, de acuerdo con los puntajes obtenidos por los cuestionarios de riesgo y la
ubicacin de esos puntajes en los estratos del principio de Pareto.
OBJETIVOS DE CONTROL
Una declaracin del resultado deseado o propsito a ser alcanzado implementando
procedimientos de control en una actividad particular de tecnologa de informacin o en
cualquier otro proceso de la empresa ISACA (Information Systems Audit and Control
Association, 2001).
PRINCIPIO DE PARETO
Vilfredo Pareto formul el principio que lleva su nombre para expresar que el 20% de las

causas genera el 80% de los efectos. Tambin se conoce como Regla 80 - 20. Concepto
que se aplica en todas las etapas de la metodologa para identificar los riesgos crticos
como aquellos que estn situados en el 20% correspondiente al estrato de mayor puntaje .
PROCESO O ESCENARIO DE RIESGO DE LAS OPERACIONES
Grupo de actividades interrelacionadas dentro del flujo de la informacin que se procesa
en el computador, desde la generacin de los datos en las fuentes hasta que la
informacin de un ciclo producida por el sistema cumpla su objetivo y sea reemplazada
por la del ciclo siguiente.
PRUEBAS DE AUDITORIA
Proceso que realiza la auditora para obtener evidencia de la operacin de los controles y
la exactitud de la informacin.
PRUEBAS DE CUMPLIMIENTO
En auditora informtica se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de la implantacin y operacin continua de los controles claves
en el procesamiento de los datos efectuados por el computador.
PRUEBAS SUSTANTIVAS
En auditora informtica se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de las cifras calculadas o asumidas por el computador

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA

INFORMATICA

Segn el diccionario de la Lengua Real Espaola, METODO es el modo de decir o

hacer con orden una cosa. Asimismo define el diccionario la palabra METODOLOGA
como conjunto de mtodos que se siguen en una investigacin cientfica o en una
exposicin doctrinal. Esto significa que cualquier proceso cientfico debe estar sujeto a
una disciplina de proceso definida con anterioridad que llamaremos METODOLOGA.
La informtica ha sido tradicionalmente una materia compleja en todos sus aspectos, por
lo que se hace necesaria la utilizacin de metodologas en cada doctrina que la
componen, desde su diseo de ingeniera hasta el desarrollo de software, y como no, la
auditora de los sistemas de informacin.
Las metodologas usadas por un profesional dicen mucho de su forma de entender su
trabajo, y estn directamente relacionadas con su experiencia profesional acumulada
como parte del comportamiento humano de acierto y error.
Asimismo una metodologa es necesaria para que un equipo de profesionales alcance un
resultado homogneo tal como lo hiciera uno solo, es decir conseguir resultados
homogneos en equipos de trabajo heterogneos.
La proliferacin de metodologas en el mundo de la auditora y el control informtico se
pueden observar en los primero aos de la dcada de los ochenta, paralelamente al
nacimiento y comercializacin de determinadas herramientas metodolgicas como el
software de anlisis de riesgo.
La informtica crea unos riesgo informticos de los que hay que proteger y preservar a la
entidad con un entramado de controles, y la calidad y eficacia de los mismos es el
objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. Esta es una
de las funciones de los auditores informticos. Por lo tanto debemos profundizar mas en
ese entramado de controles para ver qu papel tienen las metodologas y los auditores en
el mismo. Para explicar este aspecto diremos que cualquier control nace de la
composicin de varios factores que se expresan a continuacin:
LA NORMATIVA: debe definir de forma clara y precisa todo lo que debe existir y ser
cumplido, tanto desde el punto de vista conceptual como prctico, desde lo general a lo
particular. Debe inspirarse en estndares, polticas, marco jurdico, polticas y normas de

empresa, experiencia y prctica profesional.

LA ORGANIZACIN: la integran personas con funciones especficas y con actuaciones
concretas, procedimientos definidos metodolgicamente y aprobados por la direccin de
la empresa. Este es el aspecto mas importante, dado que sin el, nada es posible. Se
pueden establecer controles sin alguno de los dems aspectos, pero nunca sin personas,
ya que son estas las que realizan los procedimientos y desarrollan los planes.
LAS METODOLOGAS: son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos.
Este concepto es el mas importante despus de LA ORGANIZACIN, y solamente de un
planteamiento correcto de los mismos saldrn unos procedimientos de control eficaces y
realistas.
LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las
distintas reas de la empresa, obtenidos con una metodologa apropiada, para la
consecucin de uno o varios objetivos de control y, por tanto deben estar documentados y
aprobados por la direccin. La tendencia habitual de los informticos es la de dar ms
peso a la herramienta que al control, pero no debemos olvidar que UNA
HERRAMIENTA NUNCA ES LA SOLUCION SINO UNA AUYDA PARA
CONSEGUIR UN CONTROL MEJOR. Sin la existencia de estos procedimientos, las
herramientas de control son solamente una ancdota.
Dentro de la TECNOLOGA DE SEGURIDAD estn todos los elementos ya sean de
hardware o de software, que ayudan a controlar un riesgo informtico. Dentro de este
concepto estn los cifradores, autentificadores, equipos tolerantes a fallos, las
herramientas de control etc.
LAS HERRAMIENTAS DE CONTROL: son los elementos que permiten definir uno o
varios procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores estn relacionados entre si, as como la calidad de cada uno con la de
los dems. Cuando se evala el nivel de Seguridad de Sistemas en una institucin, se

estn evaluando todos estos factores y se plantea un Plan de Seguridad nuevo que mejore
todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan,
no irn mejorando todos por igual. Al finalizar el plan se habr conseguido una situacin
nueva en la que el nivel de control sea superior al anterior.
Para introducirnos en el campo de las metodologas debemos definir adecuadamente los
siguientes conceptos:
AMENAZA: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o
catstrofe. Ejemplo: inundacin, incendio, robo de datos, sabotaje, falta de
procedimientos de emergencia, divulgacin de datos, implicaciones con la ley,
aplicaciones mal diseadas, gastos incontrolados, etc.
VULNERABILIDAD: la situacin creada por la falta de uno o varios controles, con la
que la amenaza pudiera acaecer y as afectar al entorno informtico. Ejemplos: falta de
controles de acceso lgico, falta de control de versiones, inexistencia de un control de
soportes magnticos, falta se separacin de entornos en el sistema, falta de cifrado en las
comunicaciones, etc.
RIESGO: la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
EXPOSICIN AL IMPACTO: la evaluacin del efecto del riesgo. Ejemplo: es frecuente
evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas
humanas, imagen de la empresa (... lo que usted deca Alicia), honor, defensa nacional,
etc.
Por definicin, todos los riesgos que se presentan podemos:
EVITARLOS, por ejemplo: no construir un centro de computo donde hay peligro
constante de inundaciones.
TRANSFERIRLOS: por ejemplo el uso de centros de computo contratado.

REDUCIRLO: por ejemplo, sistemas de deteccin y extincin de incendios.

ASUMIRLOS: que es lo que se hace si no se controla el riesgo en absoluto.
Para los tres primeros, se acta si se establecen controles. Todas las metodologas
existentes en seguridad de sistemas van encaminadas en establecer y mejorar un
entramado de controles que garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo mas baja posible o al menos quede
reducida a una forma razonable en costo-beneficio.
TIPOS DE METOLOGIAS
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control
informticos, se pueden agrupar en dos grandes familias:
1 Cuantitativas: basadas en un modelo matemtico numrico que ayuda a la realizacin del
trabajo
2 Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base a experiencia acumulada.
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
METODOLOGAS CUANTITATIVAS
Diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad
por tener asignados unos valores numricos. Estos valores en el caso de metodologas de
anlisis de riesgos o de planes de contingencia son datos de probabilidad de ocurrencia
(riesgo) de un evento que se debe extraer de un registro de incidencias donde el nmero
de incidencias tienda al infinito o sea suficientemente grande. Esto no pasa en la
prctica, y se aproxima ese valor de forma subjetiva restando as rigor cientfico al
clculo. Pero dado que el clculo se hace para ayudar a elegir el mtodo entre varios
controles podramos aceptarlo.

Hay varios coeficientes que conviene definir:

2 A.L.E. (Annualized Loss Expentacy): multiplicar la prdida mxima posible de cada
bien/recurso por la amenaza con probabilidad mas alta.
3 Reduccin A.L.E.: Es el cociente entre el coste anualizado de la instalacin y el
mantenimiento de la medida contra el valor total del bien/recurso que se esta protegiendo
, en tanto por ciento.
4 Retorno de la Inversin (R.O.I): A.L.E. original menos A.L.E. reducido, dividido por el
costo anualizado de la medida.
Todos estos coeficientes y otros diseados por los autores de las metodologas son
usados para el juego de simulacin que permite elegir entre varios controles en el anlisis
de riesgo.
Por tanto vemos con claridad dos grandes inconvenientes que presentan estas
metodologas : por una parte la debilidad de los datos de la probabilidad de ocurrencia
por los pocos registros y la poca significacin de los mismos a nivel mundial, y por otro
la imposibilidad o dificultad de evacuar econmicamente todos los impactos que pueden
acaecer.
METODOLOGAS CUALITATIVAS/SUBJETIVAS
Basada en modelos estadsticos y lgica borrosa (humana, no matemtica ). Precisan el
involucramiento de un profesional experimentado. Pero requieren menos recursos
humanos/tiempo que las metodologas cuantitativas.
Una de estas metodologas es la denominada PRIMA (Prevencin del Riesgo Informtico
con Metodologa Abierta), la cual es un compendio de metodologas espaolas
desarrolladas entre los aos 1990 y la actualidad con un enfoque subjetivo. Sus
caractersticas esenciales son:

Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de seguridad.

Fcilmente adaptable a cualquier tipo de herramienta.

Posee cuestionarios de preguntas para la identificacin de debilidades o falta de

controles.

Posee listas de ayudas para los usuarios menos experimentados en debilidades,

riesgos y controles.

Permite fcilmente la generacin de informes finales.

Las listas de ayuda y los cuestionarios son abiertos, y por tanto es posible
introducir informacin nueva o cambiar la existente. De ah la expresin Abierta
de su nombre.

Tiene un Que pasa si....? cualitativo, y capacidad de aprendizaje al poseer una

base de conocimiento o registro de incidentes que va variando las esperanzas
matemticas de partida y adaptndose a los entornos de trabajo.

Con la misma filosofa abierta existen metodologas para:

Anlisis de Riesgo

Plan de contingencia Informtica y de recuperacin del negocio

Plan de estructuracin interno informtico

Clasificacin de la Informacin

Definicin y desarrollo de procedimientos de control informticos

Plan de Cifrado

Auditora Informtica

Definicin y desarrollo de control de acceso lgico. Entornos distribuidos y single

sig-on

Para obtener el entramado de controles compuesto por los factores descritos

anteriormente (..y que imagino no se han olvidado.!!) debemos ir abordando proyectos
usando distintas metodologas que irn conformando y mejorando el nmero de
controles, tal como se observa a continuacin:

Este plan de proyectos lo llamaremos Plan de Seguridad Informtica. Dos de estos

proyectos de vital importancia son la Clasificacin de la informacin y los objetivos de
control (B y C). La metodologa PRIMA tiene dos mdulos que desarrollan estos dos
aspectos.
Con respecto al anlisis de riesgo el autor (Plattini) considera que no es suficiente este
para obtener un plan de controles eficiente. Su criterio es que dado que todas las
entidades de informacin a proteger no tienen el mismo grado de importancia, y el
anlisis de riesgo metodolgicamente no permite aplicar diferenciacin de controles
segn el activo o recurso que protege, sino por la probabilidad del riesgo analizado. Por
lo tanto tiene que ser otro concepto como el de la Clasificacin de la Informacin . Esto
es , Si identificamos distintos niveles de controles para distintas entidades de
informacin con distinto nivel de criticidad, estaremos optimizando la eficiencia de las
controles y reduciendo los costos de las mismas.
Por ejemplo, si en vez de cifrar la red de comunicaciones por igual somos capaces de
diferenciar por que lneas va la informacin que clasificamos como restringida a los
propietarios de la misma, podremos cifrar solamente estas lneas para protegerla sin
necesidad de hacerlo para todas, y de esa manera disminuiremos el costo del control
cifrado.

Tradicionalmente el concepto de informacin clasificada se aplico a los documentos de

papel y cuyo clasificacin fue secreto o no. Con la tecnologa de la informacin , el
concepto a cambiado e incluso se ha perdido el control en entornos sensibles. Nace el
concepto de ENTIDAD DE INFORMACIN como el objetivo a proteger en el entorno
informtico, y que la clasificacin de la informacin nos ayudara a proteger
especializando los controles segn el nivel de confidencialidad o importancia que tengan.
Esta metodologa es del tipo cualitativo/cuantitativo, y como el resto de la metodologa
PRIMA tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede
aadir en la herramienta niveles o jerarquas, estndares y objetivos a cumplir por nivel, y
ayudas de controles.
Ejemplos de entidades de informacin son: una pantalla, un listado, un archivo de datos,
una microficha de saldos, los sueldos de los directivos, una transaccin, un editor, etc.
Los factores a considerar son los requerimientos legislativos, la sensibilidad a la
divulgacin (confidencialidad), a la modificacin (integridad), y a la destruccin.
Las jerarquas suelen ser cuatro, y segn se trate de ptica de preservacin o de
proteccin, los cuatro grupos serian: VITA, CRITICA, VALUADA, NOS SENSIBLE o
bien altamente confidencial, confidencial, restringida y no sensible.
PRIMA, aunque permite definirla a voluntad, bsicamente define:

Estratgica (informacin muy restringida, muy confidencial, vital para la subsistencia

de la empresa)

Restringida: ( a los propietarios de la informacin)

De uso interno: (a todos los empleados)

De uso general ( sin restriccin)

Los pasos de la metodologa (clasificacin de la informacin) son los siguientes;

IDENTIFICACIN DE LA INFORMACIN

INVENTARIO DE ENTIDADES DE INFORMACIN RESIDENTES Y

OPERATIVAS ( inventario de programas, archivos de datos, estructuras de datos,
soportes de informacin, etc.).

IDENTIFICACIN DE PROPIETARIOS DE LA INFORMACIN

DEFININICION DE JERARQUIAS DE INFORMACIN
DEFINICIN DE MATRIZ DE CLASIFICACIN esto consiste en definir las polticas,
estndares, objetivos de control y controles pro tipos de jerarquas de informacin.

CONFECCION DE LA MATRIZ DE CLASIFICACIN

REALIZACIN DEL PLAN DE ACCIONESIMPLANTACIN Y MANTENIMIENTO

La segunda metodologa (Obtencin de los procedimientos de control) para la obtencin
de los controles se basa en las siguientes fases:
Fase 1: Definicin de los objetivos de Control:
Tarea 1: Anlisis de la empresa. Se estudian los procesos, organigramas y funciones.
Tarea 2: Recopilacin de estndares. Se estudian todas las fuentes de informacin necesarias
para conseguir definir en la siguiente fase los objetivos de control a cumplir (por ejemplo,
ISO, ITSEC, COBIT, etc.).
Tarea 3: Definicin de los objetivos de control
Fase 2: Definicin de controles.
Tarea 1: Definicin de los Controles: con los objetivos de control definidos, analizamos los
proceso y vamos definiendo los distintos controles que se necesitan
Tarea 2: Definicin de necesidades tecnolgicas (hardware y herramientas de control)
Tarea 3: Definicin de procedimientos de control. Se desarrollan los distintos
procedimientos que se generan en las reas usuarias, informtica, control informtico y
control no informtico.
Tarea 4: Definicin de las necesidades de recursos humanos.
Fase 3: Implantacin de los controles
Una vez definidos los controles, las herramientas de control y los recursos humanos
necesarios, no resta ms que implantarlos en forma de acciones especficas.
Terminado el proceso de implantacin de acciones habr que documentar los procedimientos
nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern:

Procedimientos propios de control de la actividad informtica (control interno informtico).

Procedimientos de distintas reas usuarias de la informtica, mejorados.
Procedimientos de reas informticas, mejorados.
Procedimientos de control dual entre control interno informtica y el rea informtica, los
usuarios informticos, y el rea de control no informtico.
HERRAMIENTAS DE CONTROL
Las herramientas de control (software) ms comunes son:
Seguridad lgica del sistema
Seguridad lgica complementaria al sistema (desarrollado a la medida)
Seguridad lgica para entornos distribuidos
Control de acceso fsico. Control de presencia.
Control de copias
Gestin de soportes magnticos
Gestin y control de impresin y envo de listados por red.
Control de proyectos
Control de versiones
Control y gestin de incidencias
Control de cambios
Etc.
Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de
control y que regularn la actuacin de las distintas reas involucradas. Por ejemplo, si el
objetivo de control es separacin de entornos entre desarrollo y produccin , habr un
procedimiento en desarrollo de paso de aplicaciones a produccin y otro en produccin
de paso a produccin de aplicaciones en desarrollo. Soportado todo por una
herramienta de control de acceso lgico que en un proceso de clasificacin ha definido
distinto perfiles de desarrollo y produccin, y tras implantarlo en la herramienta, impide
acceder a uno y a otros al entorno que no es el suyo. Por tanto, para pasar una aplicacin

de uno al otro ambiente cuando esta terminada, se necesita un procedimiento en el que

intervenga las dos reas y un control informtico que acta como llave.