DEPARTAMENTO DE CIENCIAS ECONMICAS, ADMINISTRATIVAS

Y DE COMERCIO

COSO II

TECNOLOGAS DE LA INFORMACIN Y LA COMUNICACIN

INTEGRANTES:
LEONES JESSICA
PAUKER JESSENIA
TOAPANTA JOSSELYN
USCA EDGAR

AGOSTO DICIEMBRE 2013

TECNOLOGIAS DE LA
INFORMACION Y LA
COMUNICACION
CONCEPTO DE LAS TICS
ANTECEDENTES DE LAS TICS
OBJETIVO DE LAS TICS
CONCEPTO DE LAS TICS EN EL CONTROL INTERNO
ANTECEDENTES DE LAS TICS EN EL CONTROL INTERNO
IMPORTANCIA DE LAS TICS EN LOS NEGOCIOS
OBJETIVOS DE LAS TECNOLOGAS DE INFORMACIN Y
COMUNICACIONES
TIPOS DE CONTROL EN AMBIENTES TICS
CLASIFICACIN SEGN SU FINALIDAD
NORMAS DE CONTROL INTERNO PARA LAS TICS Y EL
COBIT
GOBIERNO TI
EJEMPLOS DE CONTROL INTERNO PARA TICS
CONCLUCIONES

Tecnologas de
la
Comunicacin
(TC)
-Tecnologas
de la
informacin
(TI)
(informtica,
de las
comunicacion
es, telemtica

Los soportes
han
evolucionado
en el
transcurso del
tiempo
(telgrafo
ptico,
telfono fijo,
celulares,
televisin)
ahora

El uso de las
TIC representa
una variacin
notable en la
sociedad y a
la larga un
cambio en la
educacin, en
las relaciones
interpersonale
s y en la forma
de difundir y

ANTECEDENTES

REDUCCIN
DE COSTOS

VELOCIDAD

FACILIDAD

ANTECEDENTES
199
7

INCORPORACI
N

ANTECEDENTES
Variedad

Complejid
ad

Limitado la
interactividad

1958
Aritmtica

Necesidades de
comunicacin del
hombre.

Suprimiendo
barreras

1963
DIDAO
Matemti
cas

1965
ARPANET
Internet

OBJETIVO DE LAS TICS

El uso de TICs en la gestin de empresas tiene los
siguientes objetivos:
dar mayor
transparencia a las
informaciones
proporcionadas por
la empresa
implementar
prcticas
gerenciales ms
modernas y
eficientes

mejorar las
oportunidades de
xito del nuevo
emprendimiento

profesionalizar la
gestin de las
empresas

optimizar los
recursos
disponibles para
una gestin ms
eficiente

CONTROL INTERNO EN
AMBIENTES TICS
SISTEMA
INTEGRADO
AL PROCESO
ADMINISTRATI
VO

Planeacin
Organizacin
Direccin
Control

asegurar la proteccin de todos los

recursos informticos y mejorar los
ndices de economa, eficiencia y
efectividad de los procesos
operativos automatizados.

Operaciones

Objetivo

correctamente los
procesos de
auditoria

correcto
cumplimiento de los
controles y de la
evidencia que de
ellos se desprenda

abalados por
polticas,
procedimientos e
instructivos

construidos en base
a reas (procesos) y
objetivos de control

ajustada segn el
mbito de la
organizacin y los
alcances de sus
actividades en TIC.

Importancia de las tics en los negocios

Integrar en espacios virtuales, todas las actividades de da a

da de la empresa.
Mejorar la eficiencia de los diferentes procesos
empresariales.
Bsqueda y comunicacin con proveedores y clientes, y para
el continuo aprendizaje del empresario y del personal.

Importancia de las tics en los negocios

Reduciendo costos y mejorando la eficiencia de las
operaciones
Reemplazando
procesos
manuales
que
consumen tiempo y reduciendo la necesidad de
movilizarse para realizar trmites o buscar
informacin.
Generando ingresos adicionales
Usando su sitio Web para vender sus productos
y servicios.
Alcanzando nuevos mercados y
clientes.
Usando laInternetpara ampliar su clientela a
bajo costo

-Auditora tcnica
de sistemas para
conocer el estado
actual del hardware
de la empresa.
(estado,
antigedad, si es el
adecuado)

El objetivo de una
auditora es descubrir
las causas de
problemas en el
funcionamiento, la
verificacin de
presuntas causas o
simplemente mejorar
su funcionamiento.
Algunos ejemplos son:

-Auditora de las
redes de la
empresa y evaluar
su adecuacin,
seguridad, etc.

OBJETIVOS DE LA AUDITORIA DE GESTIN A LAS

TECNOLOGAS DE INFORMACIN Y COMUNICACIONES

La auditora es una
herramienta poco
conocida y muy
valiosa a la hora de
tomar decisiones en lo
que a TIC se refiere.
Una auditora nos
brinda la informacin
necesaria para tomar
decisiones sobre una
base slida y con
garantas de xito.

La informacin
obtenida de la
auditora debe servir a
la direccin de la
empresa para la toma
de decisiones, como
por ejemplo:
implementar un
software u otro segn
sus necesidades,
conocer los puntos
flacos de la
infraestructura de la
empresa.

TIPOS DE CONTROL EN AMBIENTES

TICS

CONTROLES
MANUALES

Son ejecutados por el

personal del rea
usuaria o de
informtica sin la
utilizacin de
herramientas
computacionales.

CONTROLES
AUTOMATICOS

Son generalmente
los incorporados en
el software, llmense
estos de operacin,
de comunicacin, de
gestin de base de
datos, programas de
aplicacin, etc.

CLASIFICACIN DEL CONTROL EN AMBIENTES

TICS
Para tratar de evitar la
produccin de errores
o hechos fraudulentos,
como por ejemplo el
software de seguridad
que evita el acceso a
personal no
autorizado.

Controles
Preventivos

Controles
Detectivos
tratan de asegurar
que se subsanen
todos los errores
identificados mediante
los controles
detectivos.

Controles
Correctivos

tratan de
descubrir
posteriormente
errores o fraudes
que no haya sido
posible evitarlos
con controles
preventivos.

objetivos
de
control

aplicables a la
auditora de los
procesos de
negocio y
sistemas de
informacin en
revisin.

controles
COBIT e
ISO/IEC
27002,

objetivos de
control bsicos
(ISACA)
revisin y
evaluacin de
los sistemas
de
informacin.

objetivos de control bsicos de revisin y

evaluacin de los sistemas de informacin.

1. Estrategia y
direccin

2. Organizacin
general

3. Acceso a los
recursos de
informacin

4. Metodologa
de desarrollo de
sistemas y
control de
cambios

5.
Procedimientos
de operaciones

6.
Programacin
de sistemas y
funciones de
soporte tcnico

7.
Procedimientos
de
aseguramiento
de calidad

8. Controles de
acceso fsico

11.
Administracin
de la base de
datos

12. Proteccin y
mecanismos de
deteccin
contra ataques
internos y
externos

9. Planificacin
de la
continuidad del
negocio y
recuperacin de
desastres

10. Redes y
comunicaciones

Planeamiento
de la
orientacin
tecnolgica

Modelo de
arquitectura
de
informacin
empresarial

Comit
directivo
de TI

Estndares
tecnolgic
os

gi
Estrate
ay
n
direcci

COBIT

Comit
estratgic
o de TI

Comunicaci
n de los
objetivos y
de la
direccin de
TI

n l
i
c
ica ciona I
b
U za
T
n
i

n
a
ci
org a fun
l
de

Responsabilidad
para el
aseguramiento
de la calidad TI

er
p
Su

n
i
s
vi

Estructura
organizacional
de TI

ORGANI
ZACIN
GENERA
L

Segregacin de
funciones

roles
r
e
c
e
l
Estab y
ilidad
b
a
s
n
respo

Responsabilidad
sobre el riesgo,
la seguridad y el
cumplimiento

de
n
ci
a
t
lan ticas y
p
Im pol
res os
a
d
nt
n
e
t
i
s
e
dim
e
c
pro

ACCESO A LOS RECURSOS DE

INFORMACIN

COBIT

ISO/IEC
27002

ESQUEMA DE CLASIFICACION
DE DATOS

POLITICAS DE CONTROL DE
ACCESO

RIESGO CORPORATIVO Y
MARCO DE REFERENCIA DEL
CONTROL INTERNO

REGISTRO DE USUARIOS Y
DERECHOS DE ACCESO

PREVENCION DETENCION Y
CORRECION DE SOFTWARE
MALICIOSO

USO DE CONTRASEAS

INTERCAMBIODE DATOS
SENSITIVOS

IDENTIFICACION DE EQUIPOS
EN REDES

METODOLOGIA DE DESARROLLO DE
SISTEMAS Y CONTROL DE CAMBIOS

COBIT

ISO/IEC
27002

DISEO A ALTO NIVEL

SEPARACION DE LOS ENTORNOS

DE DESARROLLOS

MANTENIMIENTO DE SOFTWARE
APLICATIVO

ACEPTACION DEL SISTEMA

PRUEBAS DE ACEPTACION FINAL

GESTION DE CAMBIOS

EVALUACION DE IMPACTO
PRIORIZACION Y AUTORIZACION

PROCEDIMIENTO DE CONTROL
DE CAMBOS

PROCEDIMIENTO DE
OPERACIONES

COBIT

ISO/ICE
27002

INSTALAR Y ACREDITAR
SOLUCIONES Y CMBIOS

PROCEDIMIENTOS
OPERATIVOS
DOCUMENTADOS

DEFINIR Y GESTIONAR
LOS NIVELES DE
SERVICIOS

MONITORO Y REVISION
DE LOS SERVICIOS DE
TERCEROS

GESTIONAR LOS
SERVICIOS DE TERCEROS

RESPALDO DE LA
INFORMACION

MONITOREAR Y EVALUAR
EL DESEMPEO DE TI

LOGS DE ERRORES

PROGRAMACION DE SISTEMAS Y
SOPORTE TECNICO
COBIT
ACUERDOS
DE NIVEL
DE
SERVICIOS
MESA DE
SERVICIOS
REGISTRO
DE
CONSULTA
DE
CLIENTES

ISO/ICE
27002
ENTREGA
DE
SERVICIOS

PROCEDIMIENTO DE
ASEGURAMIENTO DE CALIDAD
SISTEMA
DEADMNISTRACI
ON DE CALIDAD

RESPONSABILIDA
D PARA EL
ASEGURAMIENT
O DE LA
CALIDAD TI

ESTANDARES Y
PRACTICAS DE
CALIDAD

COBI
T

MEDICION
MONITOREO Y
REVISION DE LA
CALIDAD

CONTROLES DE ACCESO
FISICO
COBIT

ISO/ICE
27002

PLANIFICACIN DE LA CONTINUIDAD DEL

NEGOCIO Y
RECUPERACIN DE DESASTRES
COBIT
Marco de
trabajo de
continuidad
de TI

Mantenimient
o del plan de
continuidad
de TI
Almacenamie
nto externo de
respaldos
Revisin postreanudacin

ISO/IEC 27002
Relacin con
grupos de
inters
especial
Continuidad
del negocio y
evaluacin de
riesgos
Respaldo de la
informacin

REDES Y COMUNICACION
COBIT

ISO/ICE
27002

Identificacin y mantenimiento
de elementos
de la configuracin

identificacin de equipos en
redes

Garantizar la seguridad de los

sistemas

Polticas de uso de los servicios

de red

Control de conexiones en la red

Seguridad de los servicios de red

ADMINISTRACIN DE LA BASE
DE DATOS
COBIT
Modelo de
arquitectura de
informacin
empresarial
Diccionario de
datos
empresarial y
reglas de
sintaxis de
datos
Propiedad de
los datos y
sistemas

ISO/ICE
27002
Propiedad de
los activos de
informacin

- PROTECCIN Y MECANISMO DE DETECCIN CONTRA

ATAQUES
INTERNOS Y EXTERNOS

COBI
T

Garantizar la
seguridad de
los sistemas

Garantizar la
seguridad de
los sistemas
Control y
audibilidad de
las
aplicaciones

Cierre de
incidentes

ISO/I
CE
2700
2

Control de
vulnerabilidad
es tcnicas
Reporte de
debilidades de
seguridad de
informacin
Responsabilida
des y
procedimiento
s

 Verificando que los recursos de la empresa son

usados de manera responsable.
Estableciendo que los riesgos son administrados
apropiadamente .

Garantizando que los objetivos sean alcanzados

CMO PROVEER UNA CORRECTA

DIRECCIN A LA ORGANIZACIN?
GOBIERNO
CORPORATIVO

Gobierno de ti

 Medir el desempeo de TI
Crear relaciones constructivas y comunicacin
efectiva entre el negocio yTI adems de con los
socios externos.
Proporcionar estructuras organizacionales que
faciliten la implementacin de estrategias y metas.
Disminuir del apetito del riesgo.
Alinear las estrategias de TI con la estrategia de la
organizacin.

QU HAR?

Gobierno de ti

Gobierno de ti

IMPLEMENTACIN
Lograr una interaccin del gobierno de
Ti con la tica y cultura de la
organizacin.
Asignar actividades comprendiendo
los roles y responsabilidades.
Apegarse a leyes y regulaciones
vigentes .

Gobierno de ti

IMPLEMENTACIN

Gobierno de ti

ENFOQU
E

REAS
DE
ENFOQUE

EJEMPLOS DE CONTROL INTERNO PARA TICS

410-08 Adquisiciones de infraestructura tecnolgica
La unidad de tecnologa de informacin definir, justificar,
implantar y
actualizar la infraestructura tecnolgica de la
organizacin para lo cual se considerarn los siguientes aspectos:

Las adquisiciones tecnolgicas estarn

alineadas a los objetivos de la organizacin,
principios de calidad de servicio, portafolios
de proyectos y servicios, y constarn en el
plan anual de contrataciones aprobado de la
institucin, caso contrario sern autorizadas
por la mxima autoridad previa justificacin
tcnica documentada.

En la adquisicin de hardware, los contratos

respectivos, tendrn el detalle suficiente que
permita establecer las caractersticas tcnicas de
los principales componentes tales como: marca,
modelo, nmero de serie, entre otros, y las
garantas ofrecidas por el proveedor, a fin de
determinar la correspondencia entre los equipos
adquiridos y las especificaciones tcnicas y
requerimientos
establecidos
lo
que
ser
confirmado
en
las
respectivas
actas
de
entrega/recepcin.

410-09 Mantenimiento y control de la infraestructura

tecnolgica
La unidad de tecnologa de informacin de cada organizacin
definir y regular los procedimientos que garanticen el
mantenimiento y uso adecuado de la infraestructura
tecnolgica de las entidades. Los temas a considerar son:

Control
y
registro de las
versiones del
software que
ingresa
a
produccin

Se mantendr el
control de los
bienes
informticos
a
travs
de
un
inventario
actualizado con
el detalle de las
caractersticas y
responsables
a
cargo, conciliado

EJEMPLO
EMPRESA XYZ
CUESTIONARIO DE CONTROL INTERNO A LAS TICS
DEL 01 DE ENERO AL 31 DE DICIEMBRE DE 2012
ENTREVISTADO: PEPITO TRAVEZ
CARGO: LIDER DE DEPARTAMENTO INFORMATICO
FECHA: 11/09/2012

Pregunta

Existen sistemas de informacin que canalizan la

informacin que se genera a nivel institucional y la
administran adecuadamente para su posterior
1 utilizacin?
La informacin generada por los Sistemas de
Informacin cumple con los parmetros de calidad
2 requeridos?
Los Sistemas de Informacin son utilizados para
cumplir de manera eficiente sus responsabilidades en
3 relacin con la funcin de la Entidad?
Existe la responsabilidad por el manejo de los Medios
de Comunicacin para que satisfagan los fines
4 perseguidos por la Comunicacin Organizacional?
Las partes interesadas adquieren comprensin sobre
los propsitos de la Entidad a partir de los procesos
5 de comunicacin interna?

CT/1

Respuesta

Comentario

Si No N/A

CONCLUSIN

Tanto el sistema
informtico como el
sistema de control
interno son un
conjunto de procesos
interrelacionados

Los dos sistemas

persiguen un
objetivo y a este se
une las TICS ya
que sin ellas no se
nos facilitara los
caminos para lograr
alcanzar los dichos
objetivos.

El sistema informtico y de control

interno se centraliza en el control
de procesos y de esta manera
mejorar el sistema administrativo