CONTROL INTERNO INFORMÁTICO

Definiciones
El Control Interno Informático puede definirse como el sistema
integrado al proceso administrativo, en la planeación, organización,
dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos
automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los
procedimientos, las prácticas y las estructuras organizativas diseñadas
para proporcionar seguridad razonable de que los objetivos de la
empresa se alcanzarán y que los eventos no deseados se preverán, se
detectarán y se corregirán.
También se puede definir el Control Interno como cualquier actividad o
acción realizada manual y/o automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G.
Plattini)

OBJETIVOS PRINCIPALES:

• Controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse
del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Auditoría Informática

interna/externa

• Definir, implantar y ejecutar mecanismos y controles para

comprobar el grado ce cumplimiento de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos informáticos el
control de las diferentes actividades que se realizan.

Tipos
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
• Controles manuales; aquellos que son ejecutados por el
personal del área usuaria o de informática sin la utilización de
herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en
el software, llámense estos de operación, de comunicación, de
gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

• Controles Preventivos, para tratar de evitar la producción de
errores o hechos fraudulentos, como por ejemplo el software de
seguridad que evita el acceso a personal no autorizado.
• Controles Detectivos; tratan de descubrir a posteiori errores o
fraudes que no haya sido posible evitarlos con controles
preventivos.
• Controles Correctivos; tratan de asegurar que se subsanen
todos los errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMÁTICO (FUNCIÓN)

El Control Interno Informático es una función del departamento de
Informática de una organización, cuyo objetivo es el de controlar que
todas las actividades relacionadas a los sistemas de información
automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y
externamente.

Entre sus funciones específicas están:

 • Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de programadores, técnicos y
operadores.

• Diseñar la estructura del Sistema de Control Interno de la

Dirección de Informática en los siguientes aspectos:
• Desarrollo y mantenimiento del software de aplicación.
• Explotación de servidores principales
• Software de Base
• Redes de Computación
• Seguridad Informática
• Licencias de software
• Relaciones contractuales con terceros
• Cultura de riesgo informático en la organización

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad,
disponibilidad y eficacia de los sistemas informáticos a través de
mecanismos o actividades de control.
Estos controles cuando se diseñen, desarrollen e implanten, deben ser
sencillos, completos, confiables, revisables y económicos.
Para implantar estos controles debe conocerse previamente la
configuración de todo el sistema a fin de identificar los elementos,
productos y herramientas que existen y determinar de esta forma
donde se pueden implantar, así como para identificar los posibles
riesgos.
Para conocer la configuración del sistema se deberá documentar:
• Entorno de Red: esquema, configuración del hardware y software
de comunicaciones y esquema de seguridad de la red.
• Configuración de los computadores principales desde el punto de
 vista físico, sistema operativo, biblioteca de programas y
conjunto de datos.
• Configuración de aplicaciones: proceso de transacciones, sistema
de gestión de base de datos y entorno de procesos distribuidos
• Productos y herramientas: software de programación diseño y
documentación, software de gestión de biblioteca.
• Seguridad del computador principal: sistema de registro y acceso
de usuarios, identificar y verificar usuarios, integridad del sistema

Una vez que se posee esta documentación se tendrá que definir:

• Políticas, normas y técnicas para el diseño e implantación de los
sistemas de información y sus respectivos controles.
• Políticas, normas y técnicas para la administración del centro de
cómputo y redes de computadores y sus respectivos controles.
• Políticas y normas que aseguren la integridad, confidencialidad y
disponibilidad de los datos y sus respectivos controles.
• Políticas y normas que rijan los procedimientos de cambios,
pruebas actualización de programas y sus respectivos controles.
• Políticas y normas de instalación, actualización y uso de licencias
del software de base, de red y de usuario y sus respectivos
controles.
• Políticas y normas que permitan implantar en la organización una
cultura de riesgo informático, la misma que comprenderá los
siguientes entornos:
• Dirección General, a través de políticas generales sobre los
sistemas de información respecto al tipo de negocio de la misma.
• Dirección de informática, a través de la creación y difusión de
procedimientos, estándares, metodologías y normas aplicables a
todas las áreas de informática así como de usuarios.
• Control Interno Informático, definirá los controles periódicos a
realizar en cada una de las funciones informáticas, de acuerdo al
nivel de riesgo de cada una de ellas y serán de carácter
preventivo, detectivo y correctivo.
 • Auditoría Informática Interna; revisará periódicamente la
estructura de control interno tanto en su diseño como en su
cumplimiento por parte de cada una de las áreas definidas en él y
de acuerdo al nivel de riesgo.

CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)

CONTROLES GENERALES ORGANIZATIVOS
Son la base para la planificación, control y evaluación por la
Dirección General de las actividades del Departamento de
Informática, y debe contener la siguiente planificación:

• Plan Estratégico de Información realizado por el Comité de

Informática.
• Plan Informático, realizado por el Departamento de Informática.
• Plan General de Seguridad (física y lógica).
• Plan de Contingencia ante desastres.
CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS
DE INFORMACION

Permiten alcanzar la eficacia del sistema, economía, eficiencia,

integridad de datos, protección de recursos y cumplimiento con las
leyes y regulaciones a través de metodologías como la del Ciclo de
Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION

Tienen que ver con la gestión de los recursos tanto a nivel de
planificación, adquisición y uso del hardware así como los
procedimientos de, instalación y ejecución del software.

CONTROLES EN APLICACIONES

Toda aplicación debe llevar controles incorporados para garantizar la

entrada, actualización, salida, validez y mantenimiento completos y
exactos de los datos.

CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS

Tienen que ver con la administración de los datos para asegurar su

integridad, disponibilidad y seguridad.

CONTROLES INFORMATICOS SOBRE REDES

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad
y funcionamiento de las redes instaladas en una organización sean
estas centrales y/o distribuidas.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL

Se relacionan a las políticas de adquisición, instalación y soporte

técnico, tanto del hardware como del software de usuario, así como la
seguridad de los datos que en ellos se procesan.

CONCEPTOS FUNDAMENTALES

AMENAZA - CAUSA DE RIESGO

Se refiere a factores o circunstancias que al materializarse u ocurrir, generan riesgos o
pérdidas a la organización. Ejemplo: el incendio puede generar pérdida de activos,
sanciones legales, desventaja ante la competencia.

RIESGO

Valor de las pérdidas a las que se expone una organización por efecto de la ocurrencia de
un evento adverso denominado amenaza o causa del riesgo. El riesgo es el resultado de
las pérdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R
= P * C).

RIESGO CRÍTICO

Riesgos que tienen la mayor calificación dentro de un conjunto de riesgos que podrían
presentarse en una operación o sistema. Riesgo de prioridad alta, de acuerdo con la
evaluación de riesgos potenciales. Riesgo ubicado en los estratos Alto y Medio Alto
dentro del principio de Pareto.

RIESGO POTENCIAL

Es el riesgo inherente o asociado con la naturaleza de las operaciones. Este riesgo no

tiene en cuenta los controles establecidos. Por ejemplo: el hecho de tener computador
portátil lo expone a que sea robado, independientemente de los controles que se
establezcan para evitar que sea robado.

RIESGO RESIDUAL

Es el riesgo no cubierto por los controles establecidos.

ADMINISTRACIÓN DE RIESGO
Es el proceso mediante el cual partiendo de los riesgos potenciales críticos, se establecen
medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual.
Es el proceso de establecer y mantener la seguridad en un área o sistema.

ANÁLISIS DE RIESGO

Es el medio por el cual los riesgos son identificados y evaluados para justificar las
medidas de seguridad o controles.

RIESGOS FUNDAMENTALES

- Daño o Destrucción de Activos

- Hurto o Fraude
- Desventaja Competitiva
- Sanciones Legales
- Perdida de Negocios y Credibilidad Pública
- Pérdida de dinero por exceso de desembolsos
- Decisiones erróneas
- Pérdida de Ingresos

EL RIESGO EN LA ENTIDAD SEGÚN PRICE WATERHOUSE:

Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos
estratégicos, operativos, de cumplimiento y/o financieros de Municipalidad. Y los
clasifica de la siguiente forma:

RIESGOS ESTRATÉGICOS: Asociados a la forma como se administra la entidad

RIESGOS OPERACIONALES: Asociados con las condiciones operacionales de los

procesos, controles, sistemas e informaciones.
RIESGOS DE CUMPLIMIENTO: Asociados con la capacidad de la entidad de cumplir
normas, regulaciones y leyes así como seguir las políticas del sector público

RIESGOS FINANCIEROS: Asociados a la exposición financiera de la Municipalidad

PERCEPCIONES DEL RIESGO:

AMENAZA : Objetivo: minimizar

INCERTIDUMBRE : Objetivo: administrar
OPORTUNIDAD : Objetivo: maximizar

SEGÚN COSO EL CONTROL INTERNO ES:

Un proceso efectuado por el directorio de una entidad, la gerencia y otros miembros del
personal; diseñado para proporcionar una seguridad razonable acerca del logro de
objetivos.

Cuando indica seguridad razonable implica que el costo de una estructura de control no
excede sus beneficios.

El Control Interno disminuye la posibilidad de daños a la reputación de una

organización.

El control interno contribuye a la minimización de los riesgos potenciales de una

organización

COMPONENTES DEL CONTROL INTERO

- Ambiente de control : proporciona el clima en el cual la gente realiza sus

 actividades y lleva a cabo sus responsabilidades de control. Es decir que es el
componente principal para la administración efectiva del riesgo en la
administración; provee la disciplina y estructura de todos los componentes
involucrados, y se inculca mediante entrenamientos al personal, códigos de
conducta, etc.
- Evaluación de riesgo : dentro del ambiente de control. La gerencia “evalúa” los
riesgos para lograr los objetivos propuestos, y lo hace a nivel organizacional y a
nivel de actividad. Un prerrequisito para evaluar un riesgo es el establecimiento de
los objetivos. El proceso de análisis incluye: determinar la significatividad del
riesgo, evaluar la probabilidad de que ocurra o la frecuencia con que se produce y
evaluar las acciones que deben ser adoptadas.
- Actividades de control : son las que están diseñadas para responder a los riesgos
en toda la organización como por ejemplo: aprobaciones, autorizaciones,
revisiones y segregación de funciones. Estos procedimientos de control pueden ser:
controles de monitoreo, gerenciales, independientes, de procesamiento de
información y controles de salvaguarda de activos.
- Información y comunicación : los canales de comunicación involucran a los
niveles internos y externos de la organización, en muchas oportunidades la
comunicación de fuentes externas proporciona información importante acerca del
funcionamiento del control interno. Medir la calidad de la información implica
determinar si: el contenido es adecuado, la información es oportuna, la información
es actual, la información es precisa, la información es accesible
- Monitoreo : Todas las actividades de control y procesos operativos deben ser
moni toreados; es decir, revisados por un nivel jerárquico mayor para realizar un
control de calidad sobre la marcha. Este proceso incluye la administración y
supervisión regular de las actividades

AUDITORIA

Es un proceso sistemático de obtención y evaluación objetiva de evidencias respecto a

afirmaciones o aseveraciones sobre hechos o eventos económicos, para determinar el
grado de correspondencia entre tales aseveraciones y criterios establecidos, y comunicar
los resultados a los usuarios interesados (Definición de la American Accounting
Association).
AUDITORIA DE SISTEMAS

Toda auditoría que comprenda la revisión y evaluación de todos los aspectos de los
sistemas automatizados de procesamiento de información (o cualquier porción),
incluyendo los procesos no automatizados relacionados y las interfases entre ellos.

COBIT

Acrónimo de Control OBjectives for Information and related T

echnology. Es un estándar de Control Interno y Auditoría de Sistemas de Información
producido por ISACA (Information Systems Audit and Control Association, 2001).

COMPONENTES DEL RIESGO

El riesgo tiene dos componentes: Probabilidad de ocurrencia y el costo de las pérdidas

que genera cada ocurrencia (R = P * C).

CONTROL

Es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad
de ocurrencia o el impacto que pueda generar su ocurrencia.

CATEGORÍAS DEL CONTROL

- EXCESIVO : existen controles excesivos, mas allá de su relación costo-beneficio.

- BUENO : el riesgo se encuentra reducido a un nivel aceptable optimizando la
relación costo-beneficio de los controles existentes
- RIESGO RESIDUAL ACEPTABLE: el riesgo se encuentra reducido a un nivel
aceptable por los controles vigentes.
 - MEDIO : el riesgo esta parcialmente cubierto por los controles vigentes -sin llegar
a un nivel aceptable- pero hay planes de acción para llevarlo a un nivel aceptable
- POBRE: el riesgo no se encuentra reducido a un nivel aceptable por lo que la
posibilidad de que se materialice una amenaza es alta.

BAJO EL ESQUEMA DE TRABAJO “ORCA” PARA LA ADMINISTRACIÓN DEL

RIESGO, EL IMPACTO EN LA ORGANIZACIÓN POR LA MATERILIZACION DE
UN RIESGO PUEDE SER:

- Insignificante : sin impacto sobre imagen, insignificante impacto financiero

- Menor: bajo impacto negativo en la imagen, bajo impacto financiero
- Moderado : moderado impacto negativo en la imagen y moderado impacto
financiero.
- Importante: deterioro serio de la imagen, importante perdida financiera
- Catastrófico: deterioro catastrófico de la imagen, significativa perdida financiera

BAJO EL ESQUEMA DE TRABAJO “ORCA” PARA LA ADMINISTRACIÓN DEL

RIESGO, LA PROBABILIDAD DE OCURRENCIA DE UN RIESGO ES:

- Rara: el riesgo puede ocurrir en circunstancias excepcionales

- Baja: el riesgo poco probable de que ocurra
- Moderada: el riesgo es probable que ocurra
- Alta: el riesgo tiene una probabilidad importante de ocurrencia
- Significativa: el riesgo es mas probable que ocurra a que no ocurra

CONTROL INTERNO

Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para

proporcionar razonable confianza en que los objetivos del negocio serán alcanzados y que
los eventos indeseados serán prevenidos ó detectados y corregidos (definición según el
estándar COBIT, 2001).
EVALUACIÓN DE RIESGO ( RISK ASSESSMENT)

Es el proceso que se sigue para establecer los riesgos críticos potenciales sobre los cuales
se deben enfatizar los esfuerzos de control y auditoría.

EVALUAR EL CONTROL INTERNO

Proceso de auditoría para determinar si los controles establecidos protegen a la

organización contra los riesgos potenciales críticos.

MAPA DE RIESGO

Localización de los riesgos críticos en los procesos y dependencias que intervienen en el

manejo de una operación o sistema de información computarizado (SIC).

METODO DE CUESTIONARIO DE RIESGO

Un método para categorizar la importancia de cada uno de los riesgos potenciales que
podrían presentarse en una operación automatizada o sistema de información
automatizado, de acuerdo con los puntajes obtenidos por los cuestionarios de riesgo y la
ubicación de esos puntajes en los estratos del principio de Pareto.

OBJETIVOS DE CONTROL

Una declaración del resultado deseado o propósito a ser alcanzado implementando

procedimientos de control en una actividad particular de tecnología de información o en
cualquier otro proceso de la empresa ISACA (Information Systems Audit and Control
Association, 2001).

PRINCIPIO DE PARETO
Vilfredo Pareto formuló el principio que lleva su nombre para expresar que el 20% de las
causas genera el 80% de los efectos. También se conoce como “Regla 80 - 20”. Concepto
que se aplica en todas las etapas de la metodología para identificar los riesgos críticos
como aquellos que están situados en el 20% correspondiente al estrato de mayor puntaje .

PROCESO O ESCENARIO DE RIESGO DE LAS OPERACIONES

Grupo de actividades interrelacionadas dentro del flujo de la información que se procesa

en el computador, desde la generación de los datos en las fuentes hasta que la
información de un ciclo producida por el sistema cumpla su objetivo y sea reemplazada
por la del ciclo siguiente.

PRUEBAS DE AUDITORIA

Proceso que realiza la auditoría para obtener evidencia de la operación de los controles y
la exactitud de la información.

PRUEBAS DE CUMPLIMIENTO

En auditoría informática se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de la implantación y operación continua de los controles claves
en el procesamiento de los datos efectuados por el computador.

PRUEBAS SUSTANTIVAS

En auditoría informática se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de las cifras calculadas o asumidas por el computador

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA

INFORMATICA
Según el diccionario de la Lengua Real Española, METODO es “el modo de decir o
hacer con orden una cosa”. Asimismo define el diccionario la palabra METODOLOGÍA
como “conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal”. Esto significa que cualquier proceso científico debe estar sujeto a
una disciplina de proceso definida con anterioridad que llamaremos METODOLOGÍA.

La informática ha sido tradicionalmente una materia compleja en todos sus aspectos, por
lo que se hace necesaria la utilización de metodologías en cada doctrina que la
componen, desde su diseño de ingeniería hasta el desarrollo de software, y como no, la
auditoría de los sistemas de información.

Las metodologías usadas por un profesional dicen mucho de su forma de entender su

trabajo, y están directamente relacionadas con su experiencia profesional acumulada
como parte del comportamiento humano de acierto y error.

Asimismo una metodología es necesaria para que un equipo de profesionales alcance un

resultado homogéneo tal como lo hiciera uno solo, es decir conseguir resultados
homogéneos en equipos de trabajo heterogéneos.

La proliferación de metodologías en el mundo de la auditoría y el control informático se

pueden observar en los primero años de la década de los ochenta, paralelamente al
nacimiento y comercialización de determinadas herramientas metodológicas como el
software de análisis de riesgo.

La informática crea unos riesgo informáticos de los que hay que proteger y preservar a la
entidad con un entramado de controles, y la calidad y eficacia de los mismos es el
objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos. Esta es una
de las funciones de los auditores informáticos. Por lo tanto debemos profundizar mas en
ese entramado de controles para ver qué papel tienen las metodologías y los auditores en
el mismo. Para explicar este aspecto diremos que cualquier control nace de la
composición de varios factores que se expresan a continuación:

LA NORMATIVA: debe definir de forma clara y precisa todo lo que debe existir y ser
cumplido, tanto desde el punto de vista conceptual como práctico, desde lo general a lo
particular. Debe inspirarse en estándares, políticas, marco jurídico, políticas y normas de
empresa, experiencia y práctica profesional.

LA ORGANIZACIÓN: la integran personas con funciones específicas y con actuaciones

concretas, procedimientos definidos metodológicamente y aprobados por la dirección de
la empresa. Este es el aspecto mas importante, dado que sin el, nada es posible. Se
pueden establecer controles sin alguno de los demás aspectos, pero nunca sin personas,
ya que son estas las que realizan los procedimientos y desarrollan los planes.

LAS METODOLOGÍAS: son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos.
Este concepto es el mas importante después de LA ORGANIZACIÓN, y solamente de un
planteamiento correcto de los mismos saldrán unos procedimientos de control eficaces y
realistas.

LOS PROCEDIMIENTOS DE CONTROL: son los procedimientos operativos de las

distintas áreas de la empresa, obtenidos con una metodología apropiada, para la
consecución de uno o varios objetivos de control y, por tanto deben estar documentados y
aprobados por la dirección. La tendencia habitual de los informáticos es la de dar más
peso a la herramienta que al control, pero no debemos olvidar que UNA
HERRAMIENTA NUNCA ES LA SOLUCION SINO UNA AUYDA PARA
CONSEGUIR UN CONTROL MEJOR. Sin la existencia de estos procedimientos, las
herramientas de control son solamente una anécdota.

Dentro de la TECNOLOGÍA DE SEGURIDAD están todos los elementos ya sean de

hardware o de software, que ayudan a controlar un riesgo informático. Dentro de este
concepto están los cifradores, autentificadores, equipos tolerantes a fallos, las
herramientas de control etc.

LAS HERRAMIENTAS DE CONTROL: son los elementos que permiten definir uno o
varios procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores están relacionados entre si, así como la calidad de cada uno con la
de los demás. Cuando se evalúa el nivel de Seguridad de Sistemas en una institución, se
están evaluando todos estos factores y se plantea un Plan de Seguridad nuevo que mejore
todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan,
no irán mejorando todos por igual. Al finalizar el plan se habrá conseguido una situación
nueva en la que el nivel de control sea superior al anterior.

Para introducirnos en el campo de las metodologías debemos definir adecuadamente los

siguientes conceptos:

AMENAZA: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o

catástrofe. Ejemplo: inundación, incendio, robo de datos, sabotaje, falta de
procedimientos de emergencia, divulgación de datos, implicaciones con la ley,
aplicaciones mal diseñadas, gastos incontrolados, etc.

VULNERABILIDAD: la situación creada por la falta de uno o varios controles, con la

que la amenaza pudiera acaecer y así afectar al entorno informático. Ejemplos: falta de
controles de acceso lógico, falta de control de versiones, inexistencia de un control de
soportes magnéticos, falta se separación de entornos en el sistema, falta de cifrado en las
comunicaciones, etc.

RIESGO: la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.

EXPOSICIÓN AL IMPACTO: la evaluación del efecto del riesgo. Ejemplo: es frecuente

evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas
humanas, imagen de la empresa (... lo que usted decía Alicia), honor, defensa nacional,
etc.

Por definición, todos los riesgos que se presentan podemos:

EVITARLOS, por ejemplo: no construir un centro de computo donde hay peligro

constante de inundaciones.
TRANSFERIRLOS: por ejemplo el uso de centros de computo contratado.

REDUCIRLO: por ejemplo, sistemas de detección y extinción de incendios.

ASUMIRLOS: que es lo que se hace si no se controla el riesgo en absoluto.

Para los tres primeros, se actúa si se establecen controles. Todas las metodologías
existentes en seguridad de sistemas van encaminadas en establecer y mejorar un
entramado de controles que garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo mas baja posible o al menos quede
reducida a una forma razonable en costo-beneficio.

TIPOS DE METOLOGIAS

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control

informáticos, se pueden agrupar en dos grandes familias:

1 Cuantitativas: basadas en un modelo matemático numérico que ayuda a la realización

del trabajo
2 Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso
de trabajo, para seleccionar en base a experiencia acumulada.

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA

INFORMATICA

METODOLOGÍAS CUANTITATIVAS

Diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad
por tener asignados unos valores numéricos. Estos valores en el caso de metodologías de
análisis de riesgos o de planes de contingencia son datos de probabilidad de ocurrencia
(riesgo) de un evento que se debe extraer de un registro de incidencias donde el número
de incidencias tienda al infinito o sea suficientemente grande. Esto no pasa en la
práctica, y se aproxima ese valor de forma subjetiva restando así rigor científico al
cálculo. Pero dado que el cálculo se hace para ayudar a elegir el método entre varios
controles podríamos aceptarlo.

Hay varios coeficientes que conviene definir:

2 A.L.E. (Annualized Loss Expentacy): multiplicar la pérdida máxima posible de cada

bien/recurso por la amenaza con probabilidad mas alta.
3 Reducción A.L.E.: Es el cociente entre el coste anualizado de la instalación y el
mantenimiento de la medida contra el valor total del bien/recurso que se esta
protegiendo , en tanto por ciento.
4 Retorno de la Inversión (R.O.I): A.L.E. original menos A.L.E. reducido, dividido por
el costo anualizado de la medida.

Todos estos coeficientes y otros diseñados por los autores de las metodologías son
usados para el juego de simulación que permite elegir entre varios controles en el análisis
de riesgo.

Por tanto vemos con claridad dos grandes inconvenientes que presentan estas
metodologías : por una parte la debilidad de los datos de la probabilidad de ocurrencia
por los pocos registros y la poca significación de los mismos a nivel mundial, y por otro
la imposibilidad o dificultad de evacuar económicamente todos los impactos que pueden
acaecer.

METODOLOGÍAS CUALITATIVAS/SUBJETIVAS

Basada en modelos estadísticos y lógica borrosa (humana, no matemática ). Precisan el

involucramiento de un profesional experimentado. Pero requieren menos recursos
humanos/tiempo que las metodologías cuantitativas.

Una de estas metodologías es la denominada PRIMA (Prevención del Riesgo Informático

con Metodología Abierta), la cual es un compendio de metodologías españolas
desarrolladas entre los años 1990 y la actualidad con un enfoque subjetivo. Sus
características esenciales son:
• Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de seguridad.
•Fácilmente adaptable a cualquier tipo de herramienta.
•Posee cuestionarios de preguntas para la identificación de debilidades o falta de
controles.
•Posee listas de ayudas para los usuarios menos experimentados en debilidades, riesgos y
controles.
•Permite fácilmente la generación de informes finales.
•Las listas de ayuda y los cuestionarios son abiertos, y por tanto es posible introducir
información nueva o cambiar la existente. De ahí la expresión Abierta de su nombre.
•Tiene un ¿ Que pasa si....? cualitativo, y capacidad de aprendizaje al poseer una base de
conocimiento o registro de incidentes que va variando las esperanzas matemáticas de
partida y adaptándose a los entornos de trabajo.

Con la misma filosofía abierta existen metodologías para:

• Análisis de Riesgo
•Plan de contingencia Informática y de recuperación del negocio
•Plan de estructuración interno informático
•Clasificación de la Información
•Definición y desarrollo de procedimientos de control informáticos
•Plan de Cifrado
•Auditoría Informática
•Definición y desarrollo de control de acceso lógico. Entornos distribuidos y single sig-on

Para obtener el entramado de controles compuesto por los factores descritos

anteriormente (..y que imagino no se han olvidado.!!) debemos ir abordando proyectos
usando distintas metodologías que irán conformando y mejorando el número de
controles, tal como se observa a continuación:
Este plan de proyectos lo llamaremos “Plan de Seguridad Informática”. Dos de estos
proyectos de vital importancia son la “Clasificación de la información y los objetivos de
control (B y C). La metodología PRIMA tiene dos módulos que desarrollan estos dos
aspectos.

Con respecto al análisis de riesgo el autor (Plattini) considera que no es suficiente este
para obtener un plan de controles eficiente. Su criterio es que dado que todas las
entidades de información a proteger no tienen el mismo grado de importancia, y el
análisis de riesgo metodológicamente no permite aplicar diferenciación de controles
según el activo o recurso que protege, sino por la probabilidad del riesgo analizado. Por
lo tanto tiene que ser otro concepto como el de la “Clasificación de la Información “. Esto
es , “Si identificamos distintos niveles de controles para distintas entidades de
información con distinto nivel de criticidad, estaremos optimizando la eficiencia de las
controles y reduciendo los costos de las mismas”.

Por ejemplo, si en vez de cifrar la red de comunicaciones por igual somos capaces de
diferenciar por que líneas va la información que clasificamos como restringida a los
propietarios de la misma, podremos cifrar solamente estas líneas para protegerla sin
necesidad de hacerlo para todas, y de esa manera disminuiremos el costo del control
“cifrado”.

Tradicionalmente el concepto de información clasificada se aplico a los documentos de

papel y cuyo clasificación fue secreto o no. Con la tecnología de la información , el
concepto a cambiado e incluso se ha perdido el control en entornos sensibles. Nace el
concepto de ENTIDAD DE INFORMACIÓN como el objetivo a proteger en el entorno
informático, y que la clasificación de la información nos ayudara a proteger
especializando los controles según el nivel de confidencialidad o importancia que tengan.

Esta metodología es del tipo cualitativo/cuantitativo, y como el resto de la metodología

PRIMA tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede
añadir en la herramienta niveles o jerarquías, estándares y objetivos a cumplir por nivel, y
ayudas de controles.

Ejemplos de entidades de información son: una pantalla, un listado, un archivo de datos,

una microficha de saldos, los sueldos de los directivos, una transacción, un editor, etc.
Los factores a considerar son los requerimientos legislativos, la sensibilidad a la
divulgación (confidencialidad), a la modificación (integridad), y a la destrucción.

Las jerarquías suelen ser cuatro, y según se trate de óptica de preservación o de

protección, los cuatro grupos serian: VITA, CRITICA, VALUADA, NOS SENSIBLE o
bien altamente confidencial, confidencial, restringida y no sensible.

PRIMA, aunque permite definirla a voluntad, básicamente define:

• Estratégica (información muy restringida, muy confidencial, vital para la subsistencia

de la empresa)
• Restringida: ( a los propietarios de la información)
• De uso interno: (a todos los empleados)
• De uso general ( sin restricción)

Los pasos de la metodología (clasificación de la información) son los siguientes;

• IDENTIFICACIÓN DE LA INFORMACIÓN
• INVENTARIO DE ENTIDADES DE INFORMACIÓN RESIDENTES Y
 OPERATIVAS ( inventario de programas, archivos de datos, estructuras de datos,
soportes de información, etc.).
• IDENTIFICACIÓN DE PROPIETARIOS DE LA INFORMACIÓN
• DEFININICION DE JERARQUIAS DE INFORMACIÓN
• DEFINICIÓN DE MATRIZ DE CLASIFICACIÓN esto consiste en definir las
políticas, estándares, objetivos de control y controles pro tipos de jerarquías de
información.
• CONFECCION DE LA MATRIZ DE CLASIFICACIÓN
• REALIZACIÓN DEL PLAN DE ACCIONESIMPLANTACIÓN Y
MANTENIMIENTO

La segunda metodología (Obtención de los procedimientos de control) para la obtención

de los controles se basa en las siguientes fases:

Fase 1: Definición de los objetivos de Control:

Tarea 1: Análisis de la empresa. Se estudian los procesos, organigramas y funciones.
Tarea 2: Recopilación de estándares. Se estudian todas las fuentes de información necesarias
para conseguir definir en la siguiente fase los objetivos de control a cumplir (por ejemplo,
ISO, ITSEC, COBIT, etc.).
Tarea 3: Definición de los objetivos de control
Fase 2: Definición de controles.
Tarea 1: Definición de los Controles: con los objetivos de control definidos, analizamos los
proceso y vamos definiendo los distintos controles que se necesitan
Tarea 2: Definición de necesidades tecnológicas (hardware y herramientas de control)
Tarea 3: Definición de procedimientos de control. Se desarrollan los distintos
procedimientos que se generan en las áreas usuarias, informática, control informático y
control no informático.
Tarea 4: Definición de las necesidades de recursos humanos.
Fase 3: Implantación de los controles
Una vez definidos los controles, las herramientas de control y los recursos humanos
necesarios, no resta más que implantarlos en forma de acciones específicas.
Terminado el proceso de implantación de acciones habrá que documentar los procedimientos
 nuevos y revisar los afectados de cambio. Los procedimientos resultantes serán:
Procedimientos propios de control de la actividad informática (control interno informático).
Procedimientos de distintas áreas usuarias de la informática, mejorados.
Procedimientos de áreas informáticas, mejorados.
Procedimientos de control dual entre control interno informática y el área informática, los
usuarios informáticos, y el área de control no informático.

HERRAMIENTAS DE CONTROL

Las herramientas de control (software) más comunes son:

Seguridad lógica del sistema

Seguridad lógica complementaria al sistema (desarrollado a la medida)
Seguridad lógica para entornos distribuidos
Control de acceso físico. Control de presencia.
Control de copias
Gestión de soportes magnéticos
Gestión y control de impresión y envío de listados por red.
Control de proyectos
Control de versiones
Control y gestión de incidencias
Control de cambios
Etc.

Todas estas herramientas están inmersas en controles nacidos de unos objetivos de

control y que regularán la actuación de las distintas áreas involucradas. Por ejemplo, si el
objetivo de control es “separación de entornos entre desarrollo y producción ”, habrá un
procedimiento en desarrollo de “paso de aplicaciones a producción” y otro en producción
de “paso a producción de aplicaciones en desarrollo”. Soportado todo por una
herramienta de control de acceso lógico que en un proceso de clasificación ha definido
distinto perfiles de desarrollo y producción, y tras implantarlo en la herramienta, impide
acceder a uno y a otros al entorno que no es el suyo. Por tanto, para pasar una aplicación
de uno al otro ambiente cuando esta terminada, se necesita un procedimiento en el que
intervenga las dos áreas y un control informático que actúa como llave.