Seguridad de los sistemas

Seguridad de los sistemas

Porqué estudiarlo? Introducción y objetivo general del tema

Para qué hacerlo? Objetivos de los controles y medidas

Qué hacer? Descripción de medidas y controles a aplicar

Cómo hacerlo? Descripción de tareas a realizar (metodología)

Seguridad de los sistemas (tiempo real)

Diferencias relevantes con respecto a otros modos de operación

Controles específicos de este tipo de modalidad.

Introducción y objetivo general

Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la protección razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues hoy en día, el ámbito de sistemas constituye el punto donde se concentra la mayor parte de la información de la empresa.

Es evidente que la información utilizada por los entes en general ha variado en la últimas décadas. Del mismo modo lo han hecho las necesidades de generación de esa información y los medios de procesarlas. Aunque se observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el procesamiento electrónico de datos no afecta a los objetivos del control interno, la responsabilidad de la dirección y las limitaciones inherentes al sistema de control interno, pero sí afecta el enfoque para la evaluación del mismo y el tipo de evidencia de auditoría que se obtiene.

Los enfoques de auditoría que se utilizan en ambientes en los que una parte significativa de los procesos administrativos son procesados electrónicamente han evolucionado con el tiempo. Se pueden clasificar así:

• enfoque tradicional o externo

consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter estos datos al proceso lógico que se realiza en esa etapa específica de procesamiento. Con estos elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el sistema y se concluye si el procesamiento electrónico llega a resultados razonables (por muestreo).

• enfoque moderno

consiste en realizar los procedimientos de verificación del correcto funcionamiento de los procesos computarizados “utilizando la computadora”  se seleccionan técnicas de auditoría que controlan la forma en que la aplicación contable computarizada funciona. Las técnicas son variadas pero todas ellas tienen en común que no consideran el procedimiento como una “caja negra”. Consisten en revisar pasos de programas, la lógica del lenguaje utilizado, re-procesar una serie de operaciones a través del propio sistema computarizado, etc.

El auditor pondrá los objetivos del trabajo (evaluación de riesgos), identificará procedimientos de auditoría que se aplicarán y avaluará los resultados de la aplicación de los mismos.-

El Objetivo es, entonces, la seguridad de esa información, por lo que debemos implementar controles para disminuir o evitar los riesgos. Dichos controles, determinarán el grado de confiabilidad de la información suministrada.

Las organizaciones, sobre todo las pequeñas y medianas, carecen de documentación, estándares para la elaboración, como así también de controles internos.

No debería diferenciarse la estructura de controles internos a evaluar de acuerdo al tamaño de la empresa. La diferencia radica en la intensidad de algunos controles, en especial los de:

 Separación de funciones

 Archivos

 Seguridad física

Debe tenerse siempre presente el principio de economía de procesamiento (el costo de los controles debe ser inferior al beneficio del proceso, y los controles –su magnitud- debe estar relacionada con los riesgos a evaluar).

Por último, los avances en tecnología de comunicaciones han ocasionado una nueva fuente de control: las líneas de comunicación.

Todos estos aspectos confluyen en un único objetivo:

Evaluar el control interno de forma tal de asegurar que la información que se procesa sea toda la que se debe procesar, sea debidamente autorizada, que se atienda a la conservación y mantenimiento de los recursos de sistemas y que exista una perfecta definicion de la separación de responsabilidades por las operaciones ejecutadas

Conceptos de auditoría y control interno

Definición de Control Interno

Está incorporado a la estructura de la organización, esto asegura la continuidad del control (no es esporádico). Es preventivo. Que se controle antes de los procesos hace más probable que las cosas salgan mejor, que mejore notablemente la calidad de lo producido. Básicamente busca la prevención y no la detección posterior.

Si los Controles internos son buenos, no hará falta trabajar con toda la información, bastará con una muestra significativa.

Una definición acertada sería: “es el conjunto de normas procedimientos existentes en el ente auditado, implementados con el fin de alcanzar los objetivos para los cuales se creo el ente”.

Definición de Auditoria

La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u organización, ya sea con fin de lucro o sin él, posee ciertos controles o parámetros preestablecidos para permitir su habitual funcionamiento. La auditoria controla dichos parámetros, razón por la cual, en forma rudimentaria, se suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente auditado.

Pasos de la Auditoria

En cuanto a las etapas la Resolución Técnica Nº 7 aprobada por la Federación Argentina de Consejos Profesionales de Ciencias Económicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una auditoria. Básicamente son tres:

a. Planificación (Predetermina tareas)

b. Ejecución

...