El
control interno es un proceso efectuado por el consejo de administración, la
dirección y el resto del personal en una entidad; diseñado con el objeto de
proporcionar un grado de seguridad razonable con respecto a:
- Eficacia y eficiencia de las operaciones
- Fiabilidad de la información
- Cumplimiento de las leyes y normas aplicables
Los usuarios tendrán
acceso únicamente a aquellos recursos que precisen para el desarrollo de sus
funciones.
Clasificación de
controles
- Controles directivos, que son los que establecen las bases, como las políticas, o la creación de comités relacionados o de funciones específicas: de administración de seguridad o de auditoría de sistemas de información interna.
- Controles preventivos, antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad lógica).
- Controles de detección, como determinadas revisiones de accesos producidos a recursos, o los detectores de incendios o los de presencia.
- Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo a partir de una copia.
- Controles de recuperación, que facilita la vuelta a la normalidad después de accidentes o contingencias, como puede ser un plan de continuidad adecuado.
Control de Tecnologías de Información
El objetivo del control de TI es establecer mecanismos de seguimiento y
evaluación, así como acciones de mejora a partir de los resultados de la
ejecución de la planeación estratégica de la operación de los procesos y de los
proyectos, del uso y el aprovechamiento de los activos, de los recursos y de la
entrega de los servicios. Por lo general incluye los siguientes tipos de controles:
- Ambiente de control. Estos controles son diseñados a la medida de la cultura corporativa.
- Cambio de procedimientos de gestión. Son controles diseñados para asegurar los cambios que cumplen con los requisitos autorizados del negocio.
- Código Fuente / Documento de procedimientos y control de versiones. Son controles diseñados para proteger la integridad del código del programa.
- Estándares del desarrollo del ciclo de vida de desarrollo de software. Son controles diseñados para asegurar que los proyectos son manejados con efectividad.
- Políticas de acceso lógico, estándares y procesos. Son controles diseñados para gestionar el acceso basado en la necesidad de negocios.
- Políticas de manejo de incidentes y procedimientos. Son controles diseñados para hacer frente a errores de procesamiento operacional.
- Políticas y procedimientos de gestión de problemas. Son controles diseñados para identificar y tratar la causa raíz de los incidentes.
- Políticas de soporte técnico y procedimientos. Son políticas diseñadas para ayudar a los usuarios y poder reportar problemas eficientemente.
- Recuperación de desastres/procedimientos de respaldo y recuperación. Son controles diseñados que permiten el uso continuo de los sistemas a pesar de condiciones adversas.
- Seguridad Física. Son controles para garantizar la seguridad física de las TI y de riesgos ambientales.
COBIT.
Los Objetivos de Control para la Información y la Tecnología relacionada,
brindan buenas prácticas a través de un marco de trabajo de dominios y
procesos, y presenta las actividades en una estructura manejable y lógica.
Están enfocadas fuertemente en el control y menos en la ejecución. Estas
prácticas ayudan a optimizar las inversiones habilitadas por TI, aseguran la
entrega del servicio y brindan una medida contra la cual juzgar cuando las
cosas no vayan bien.
Para
que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección
debe implementar un sistema de control interno o un marco de trabajo. El marco
de trabajo de control COBIT contribuye a estas necesidades de la siguiente
manera:
- Estableciendo un vínculo con los requerimientos del negocio
- Organizando las actividades de TI en un modelo de procesos generalmente aceptado
- Identificando los principales recursos de TI a ser utilizados
- Definiendo los objetivos de control gerenciales a ser considerados
La
orientación al negocio que enfoca COBIT consiste en alinear las metas de
negocio con las metas de TI, brindando métricas y modelos de madurez para medir
sus logros, e identificando las responsabilidades asociadas de los dueños de
los procesos de negocio y de TI.
El
enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual
subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de
planear, construir, ejecutar y monitorear, ofreciendo una visión de punta a
punta de la TI.
ITIL. La Biblioteca de estructuras de tecnologías de la información, documenta las mejores prácticas para la Administración de Servicios de TI. La filosofía ITIL está basada en la administración de servicios desde el punto de vista del negocio.
1. Estrategia de Servicio
Busca
conseguir el alineamiento entre el negocio y TI. Pretende entender y trasladar
las necesidades del negocio a las estrategias de TI y proporciona las
herramientas para el planeamiento de la Gestión de Servicios de TI.
2. Diseño del Servicio
Una
guía en la producción y mantenimiento del diseño de arquitecturas y políticas
de TI sobre el desarrollo de servicios incluyendo insourcing y outsourcing y
asegurando los requerimientos actuales y futuros de la empresa.
3. Transición del Servicio
Después
de definida la Estrategia de servicios y el Diseño, se deben poner en
producción, por lo que se centra en la gestión de cambios en servicios nuevos y
modificados.
4. Operación del Servicio
Enfatiza
en la mejora efectiva y eficiente para entregar y soportar los servicios en
orden y asegurar valor a los Clientes y Proveedores de Servicios.
5. Mejora Continua del Servicio
Se
enfoca en las entradas y salidas necesarias para el adecuado ciclo de mejora
continua sobre los servicios existentes para mantener o mejorar su valor.
http://www.itil.com.mx/
