Controles de entrada
Enviado por danielmr • 24 de Marzo de 2014 • Síntesis • 1.063 Palabras (5 Páginas) • 302 Visitas
9.1 Controles de entrada
La plantilla laboral de la empresa consciente o inconscientemente pone en riesgo la estabilidad del proceso de negocio, por medio del desconocimiento de políticas de seguridad o riesgos que conllevan cada una de las actividades realizadas en su módulo de trabajo.
Para garantizar la seguridad y la información en la organización se deben de contar con los siguientes aspectos claves:
Apoyo de la administración ejecutiva.
Políticas y procedimientos.
Organización.
Conocimiento y capacitación sobre la seguridad.
Monitoreo y cumplimiento.
Administración de los incidentes y respuestas.
Los principales aspectos de una organización, que habitualmente están relacionados con incidentes de seguridad de información son los siguientes:
Los permisos para el acceso a los sistemas son la prerrogativa para utilizar un recurso de la computadora, los cuales se refieren regularmente a privilegios técnicos, por ejemplo consultar, modificar o crear un archivo o datos, ejecutar un programa o abrir y usar una conexión externa.
Los controles para el acceso a la información de los sistemas de la organización son establecidos, administrados y controlados de una manera física y/o lógica.
Los controles físicos restringen la entrada o salida del personal a áreas determinadas dentro de la organización (edificios, oficinas, centros de datos, archivos de la organización, etc.).
Los controles lógicos restringen los recursos lógicos del sistema (transacciones, datos, programas, aplicaciones) y son aplicados cuando el recurso es necesario, basándose en la identificación y autentificación de los usuarios.
Los recursos de TI que están asegurados lógicamente y pueden ser agrupados en cuatro capas de seguridad son:
Redes.
Plataformas (sistemas operativos).
Bases de datos.
Aplicaciones.
Este concepto de capas de seguridad para el acceso a los sistemas provee mayor alcance y especificación de controles para los recursos de información.
Los accesos lógicos y físicos deben de ser revisados periódicamente por los administradores de los recursos de información, para que actualicen los permisos de acceso y se aseguren que haya segregación de derechos y actividades.
Como auditor debes de verificar que estos controles estén asignados correctamente, y que no haya discrepancia entre los permisos declarados y las acciones que los usuarios pueden utilizar.
9.2 Validación de procesamiento
Para asegurar que los datos que entren al sistema sean válidos, se establecerán procedimientos de validación de datos tan cerca del punto de origen como sea posible, esto se realiza con la intención de corregir los datos antes de que se procesen y con un costo menor; ya que un error provocado por no validar la información, es más costoso después de su proceso y envío que si se hubiera detectado al momento de capturar la información.
Una forma de validación es el uso de formatos preestablecidos para captura de información. Estos formatos aseguran que los datos sean introducidos en el campo correcto y con el formato deseado. En caso de existir procedimientos que autoricen al supervisor anular o editar datos, se deberá dejar evidencia de estos cambios en un log automático de la computadora; este log deberá ser revisado por otros supervisores.
La validación de datos tiene como objetivo identificar errores de datos, datos incompletos o faltantes e inconsistencias en datos que se relacionan.
Algunos mecanismos que se pueden utilizar son los siguientes:
Mecanismos de edición y
...