La Necesidad de un
Ambiente Eficaz de
Controles Generales de TI
Lucas R. Coronel
Licenciado en Sistemas de Información de la Organizaciones
Universidad de Buenos Aires
Objetivo
Comprender
la
necesidad
de
implementar
eficazmente
un
ambiente adecuado y razonable de
controles generales de tecnología
de
la
información
en
las
organizaciones.
Obtener información confiable para dar soporte a los
procesos de negocio.
2
Procesos de Negocio
¿Por qué Controles Generales?
Para asegurar que los procesos y la
información administrada por las
aplicaciones sean confiables, es
necesario tener como base un
ambiente
eficaz
de
controles
generales de TI.
PROCESOS DE NEGOCIO
A P LIC A C ION E S
B A S E D E D A TOS
S IS TE M A S OP E R A TIV OS
LAN
la información no pueda ser accedida o modificada de forma no
autorizada, por fuera del sistema aplicativo.
3
Controles Generales de TI
Procesos Principales de Control
Gcia. de
Sistemas
Desarrollo
Producción
Estructura
Organizativa
de TI
Tecnología
Admin. de
Cambios
A P L IC A C ION E S
ABM de
Usuarios
B A S E D E D A T OS
Seguridad
Lógica
S IS T E M A S OP E R A T IV OS
Seguridad
Física
Continuidad de
Procesamiento
4
Controles Generales de TI
Estructura Organizativa de TI
- Estructura: independencia.
- Metodología:
comunicación.
formalización
y
c
ru
Re Fu
sp nc
on ion
sa es
bi
lid y
ad
es
TI
TI
Metodología
- Plan de Sistemas: alineación a la
estrategia del negocio.
5
Seg
reg
Fu ación
n
de
c
ion
es
- Segregación de Funciones: tareas
acorde a su puesto.
t
Es
de
Plan as
em
Sist
- Funciones
y
Responsabilidades:
cumplimiento y supervisión.
ra
tu
Controles Generales de TI
Administración de Cambios
- Aprobación
del
Requerimiento:
autorización del jefe/gerente del usuario
solicitante y del departamento de TI
antes de iniciar los proyectos de
cambios a objetos/datos productivos.
- Pruebas: técnicas y funcionales, para
asegurar una correcta solución.
- Aprobación del Pasaje a Producción:
autorización del usuario solicitante y del
responsable del entorno productivo.
6
Controles Generales de TI
ABM de Usuarios
- Aprobación
del
Requerimiento:
autorización de las solicitudes de altas,
bajas y modificaciones de cuentas de
usuarios, por parte de un responsable
autorizado.
APLICACIONES
Solicitud
Aprobación
BASE DE DATOS
Ejecución
SISTEMAS OPERATIVOS
- Ejecución: a cargo de un operador
responsable de los sistemas.
Monitoreo
Se deben establecer validaciones periódicas de los accesos, con el objeto de
mantener un nivel de seguridad y acceso apropiado a los recursos de la
organización.
7
Controles Generales de TI
Seguridad Lógica
- Usuarios de Máximo
identificados y auditados.
Privilegios:
- Contraseñas: adecuada parametrización
y fortaleza.
- Auditoría: registro y revisión periódica.
- Permisos:
acceso
información crítica.
autorizado
Usuarios de Máximo Privilegios
- Administradores
- Emergencia
- Cantidad Caracteres
- Alfanuméricos
- Histórico
- Expiración
Políticas de Contraseña
Pistas de Auditoría
- Accesos y actividades
- Modificaciones
- Eventos del sistema
Permisos de Accesos
- Programas Fuentes
- Base de Datos
- Programas Ejecutables
a
Si bien cada tecnología tiene sus particularidades, los controles mencionados
son básicos y claves para realizar una adecuada parametrización en los
sistemas
8
Controles Generales de TI
Seguridad Física
- Acceso: personal autorizado.
- Aire
Acondicionado:
refrigeración.
- Detectores de
oportunamente.
Detectores
Extintores
adecuada
Humo/Calor:
APLICACIONES
actuar
Material
Inflamable
- Extintores de Fuego: evitar incendios.
- Piso Técnico: instalación y circulación de
cables.
- Material Combustible: no debe existir.
BASE DE DATOS
Generadores
SISTEMAS
OPERATIVOS
Piso
Tecnico
UPS
Aire
Acondicionado
Accesos
- UPS: continuar operatoria (tiempo breve).
- Suministro de Energía: continuar
operatoria (tiempo prolongado).
9
Controles Generales de TI
Continuidad del Procesamiento
- Resguardo y Recupero: procedimiento
de backups y pruebas de recupero de
información.
APLICACIONES
Resguardo y
Recupero
- Plan de Contingencia: plan formal,
actualizado, comunicado y probado
periódicamente.
Plan de
Contingencia
BASE DE DATOS
SISTEMAS
OPERATIVOS
Empresa en Marcha
10
Conclusión
La implementación de adecuados
controles generales de TI permite
iniciar el proceso y la cultura de
control correspondiente, para lograr
conformar un ambiente eficaz de
tecnología de la información, a través
del cual:
- se procese y obtenga información
confiable para la organización,
- y se logre un mejor y más seguro
funcionamiento de los procesos
del negocio.
11
Preguntas
12
11
MUCHAS GRACIAS
Contacto: [email protected]
11 13
Descargar

Slide 1