Verificar la confiabilidad , veracidad y exactitud del procesamiento de datos

Para implementar este subelemento del control interno, es necesario entender que no basta con verificar la confiabilidad de la captura de los datos, sino que también se de- be evaluar la veracidad de los datos que se introducen al sistema. Además, es imperio- so comprobar la exactitud y suficiencia en el procesamiento de dichos datos, para lo cual es necesario establecer los procedimientos adecuados que ayuden a satisfacer los requerimientos de captura y procesamiento de información en el área de sistemas.

Sin embargo, para el buen funcionamiento de este subelemento, también se deben adoptar acciones concretas que ayuden a capturar y a procesar los datos de manera efi- ciente; para ello se tienen que establecer métodos, técnicas y procedimientos que sean aplicados de manera uniforme en todas las etapas que intervienen en el procesamien- to de información; con esto se pueden garantizar mejores resultados en la verificación de la uniformidad que requiere este subelemento del control interno informático.

Debemos señalar que lo que se busca con este subelemento del control interno es la implementación de los métodos, técnicas y procedimientos que ayuden a uniformar las actividades requeridas en el área de sistematización para la captura de datos, el procesamiento de información y la emisión de informes.

5.4.4

Comprobar la suficiencia de la emisión de información

Si partimos de que el objetivo básico de un centro de cómputo es proporcionar los ser- vicios de procesamiento de datos que requiere la empresa para satisfacer sus necesi- dades de información, entonces entenderemos que uno de los aspectos fundamentales de un centro de cómputo es proporcionar la información que requieren las demás

áreas de la empresa, con lo cual contribuye a satisfacer sus necesidades de procesa- miento de datos.

Sin embargo, esa información debe ser adecuada a los requerimientos de la em- presa para ofrecer sólo la información requerida, sin dar ni más ni menos datos que los necesarios. A esto se le llama proporcionar la información suficiente.

Precisamente esto es lo que se busca satisfacer con la suficiencia de información; para lograrlo, es necesario que el área de sistemas sepa cuáles son los requerimientos reales y específicos de información del usuario; esto se logra mediante un análisis ade- cuado de sus necesidades y con el diseño correcto de los sistemas que proporciona- rán esa información. Evidentemente, dicha suficiencia sólo se logrará mediante un buen análisis y diseño de sistemas.

De lo anterior es fácil comprender que el establecimiento de este subelemento del control interno informático es una necesidad básica en las áreas de sistematización, ya que con este control se verificará que la información proporcionada al usuario sea, ni más ni menos, la necesaria para satisfacer sus requerimientos fundamentales para la realización de sus actividades cotidianas.

5.5

Controles internos para la seguridad del área de sistemas

Dentro de los aspectos fundamentales que se deben contemplar en el diseño de cual- quier centro de informática, se encuentra la seguridad de sus recursos informáticos, del personal, de la información, de sus programas, etcétera. Esto se puede lograr a tra- vés de medidas preventivas o correctivas, o mediante el diseño de programas de pre- vención de contingencias para la disminución de riesgos.

Para el mejor entendimiento de la importancia de este elemento y de su aplicación correcta, a continuación se indican sus principales aspectos:

Seguridad física

Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, peri- féricos y equipos asociados, las instalaciones eléctricas, las instalaciones de comunicación y de datos, las construcciones, el mobiliario y equipo de oficina, así como la protección a los accesos al centro de sistematización. En sí, es to- do lo relacionado con la seguridad, la prevención de riegos y protección de los recursos físicos informáticos de la empresa.

Seguridad lógica

Es todo lo relacionado con la seguridad de los bienes intangibles de los centros informáticos, tales como software (aplicaciones, sistemas operativos y lengua- jes), así como lo relacionado con los métodos y procedimientos de operación, los niveles de acceso a los sistemas y programas institucionales, el uso de con-

traseñas , los privilegios y restricciones de los usuarios, la protección de los ar- chivos e información de la empresa y las medidas y programas para prevenir y erradicar cualquier virus informático. En sí, es todo lo relacionado con las me- didas de seguridad, protección y forma de acceso a los archivos e información del sistema.

Seguridad de las bases de datos

Es la protección específica de la información que se maneja en las áreas de sis- temas de la empresa, ya sea a través de las medidas de seguridad y control que limiten el acceso y uso de esa información, o mediante sus respaldos periódi- cos con el fin de mantener su confidencialidad y prevenir las alteraciones, des- cuidos, robos y otros actos delictivos que afecten su manejo.

Seguridad en la operación

Se refiere a la seguridad en la operación de los sistemas computacionales, en cuanto a su acceso y aprovechamiento por parte del personal informático y de los usuarios, al acceso a la información y bases de datos, a la forma de archi- var y utilizar la información y los programas institucionales, a la forma de pro- teger la operación de los equipos, los archivos y programas, así como las instalaciones, mobiliario, etcétera.

Seguridad del personal de informática

Se refiere a la seguridad y protección de los operadores, analistas, programa- dores y demás personal que está en contacto directo con el sistema, así como a la seguridad de los beneficiarios de la información.

Seguridad de las telecomunicaciones

Es todo lo relacionado con la seguridad y protección de los niveles de acceso, privilegios, recepción y envío de información por medio del sistema de cómpu- to, protocolos, software, equipos e instalaciones que permiten la comunicación y transmisión de la información en la empresa, etcétera.

Seguridad en las redes

Es todo lo relacionado con la seguridad y control de contingencias para la pro- tección adecuada de los sistemas de redes de cómputo, en cuanto a la salva- guarda de información y datos de las redes, la seguridad en el acceso a los sistemas computacionales, a la información y a los programas del sistema, así como la protección de accesos físicos, del mobiliario, del equipo y de los usua- rios de los sistemas. Incluyendo el respaldo de información y los privilegios de accesos a sistemas, información y programas.

Prevención de contingencias y riesgos

Son todas las acciones tendientes a prevenir y controlar los riesgos y posibles contingencias que se presenten en las áreas de sistematización, las cuales van desde prevenir accidentes en los equipos, en la información y en los programas, hasta la instalación de extintores, rutas de evacuación, resguardos y medidas pre- ventivas de riesgos internos y externos, así como la elaboración de programas preventivos y simulaciones para prevenir contingencias y riesgos informáticos.

Además de lo anterior, también se tiene que determinar todo lo relacionado con los riegos y amenazas que afectan a los sistemas de información, así como la preven- ción de contingencias y la recuperación de la información del sistema en caso de que ocurra alguna contingencia que afecte su funcionamiento. Esto es de suma importan- cia para el establecimiento de este elemento del control interno informático, ya que la información del área de sistemas es el activo más valioso de la empresa y todas las me- didas que se adopten para la prevención de contingencias serán en beneficio de la pro- tección de los activos de la institución.

Con el establecimiento de los siguientes subelementos del control interno informá- tico se busca determinar las bases fundamentales sobre las que se establecerán los re- querimientos para manejar la seguridad de los sistemas de información:

Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización

• Control de accesos físicos del personal al área de cómputo

• Control de accesos al sistema, a las bases de datos, a los programas y a la infor- mación

• Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios

• Monitoreo de accesos de usuarios, información y programas de uso

• Existencia de manuales e instructivos, así como difusión y vigilancia del cumpli- miento de los reglamentos del sistema

• Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias

• Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento

Controles para la seguridad física del área de sistemas

• Inventario del hardware, mobiliario y equipo

• Resguardo del equipo de cómputo

• Bitácoras de mantenimientos y correcciones

• Controles de acceso del personal al área de sistemas

• Control del mantenimiento a instalaciones y construcciones

• Seguros y fianzas para el personal, equipos y sistemas

• Contratos de actualización, asesoría y mantenimiento del hardware

Controles para la seguridad lógica de los sistemas

• Control para el acceso al sistema, a los programas y a la información

• Establecimiento de niveles de acceso

• Dígitos verificadores y cifras de control

• Palabras clave de accesos

• Controles para el seguimiento de las secuencias y rutinas lógicas del sistema

Controles para la seguridad de las bases de datos

• Programas de protección para impedir el uso inadecuado y la alteración de da- tos de uso exclusivo

• Respaldos periódicos de información

• Planes y programas para prevenir contingencias y recuperar información

• Control de accesos a las bases de datos

• Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos

Controles para la seguridad en la operación de los sistemas computacionales

• Controles para los procedimientos de operación

• Controles para el procesamiento de información

• Controles para la emisión de resultados

• Controles específicos para la operación de la computadora

• Controles para el almacenamiento de información

• Controles para el mantenimiento del sistema

Controles para la seguridad del personal de informática

• Controles administrativos de personal

• Seguros y fianzas para el personal de sistemas

• Planes y programas de capacitación

Controles para la seguridad en la telecomunicación de datos Controles para la seguridad en sistemas de redes y multiusuarios

A continuación, como lo hemos hecho a lo largo de este libro, analizaremos por se- parado cada uno de estos subelementos.

5.5.1

Controles para prevenir y evitar las amenazas, riesgos y contingencias