Implementación de Controles Internos Informáticos para la Seguridad Integral de Sistemas

Fundamentos del Control Interno Informático

Con el establecimiento de los siguientes subelementos del control interno informático, se busca determinar las bases fundamentales sobre las que se establecerán los requerimientos para manejar la seguridad de los sistemas de información.

1. Controles para Prevenir Amenazas, Riesgos y Contingencias

Estos controles se enfocan en la prevención y mitigación de riesgos en las áreas de sistematización, incluyendo la gestión de accesos y la documentación operativa.

• Control de acceso al sistema, a las bases de datos, a los programas y a la información.
• Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios.
• Monitoreo de acceso de usuarios, información y programas de uso.
• Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema.

2. Controles para la Seguridad Física del Área de Sistemas

La protección del entorno físico es crucial para la integridad de los sistemas y equipos.

• Inventario del hardware, mobiliario y equipo.
• Resguardo del equipo de cómputo.
• Bitácoras de mantenimiento y correcciones.
• Controles de acceso del personal al área de sistemas.
• Control de mantenimiento a instalaciones y construcciones.
• Seguros y fianzas para el personal, equipos y sistemas.
• Contratos de actualizaciones, asesoría y mantenimiento del hardware.

3. Controles para la Seguridad Lógica de los Sistemas

Estos elementos aseguran que solo usuarios autorizados puedan interactuar con los recursos del sistema.

• Control para el acceso al sistema, a los programas y a la información.
• Establecimiento de niveles de acceso.
• Dígitos verificadores y cifras de control.
• Palabras clave de acceso.
• Controles para el seguimiento de las secuencias y rutinas lógicas del sistema.

4. Controles para la Seguridad de las Bases de Datos

La protección de los datos es fundamental para la continuidad del negocio y el cumplimiento normativo.

• Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo.
• Respaldos periódicos de información.
• Planes y programas para prevenir contingencias y recuperar información.
• Control de accesos a las bases de datos.
• Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos.

5. Controles para la Seguridad en la Operación de los Sistemas Computacionales

Aseguran la correcta ejecución de los procedimientos operativos y el procesamiento de la información.

• Controles para los procedimientos de operación.
• Controles para el procesamiento de información.
• Controles para la emisión de resultados.
• Controles específicos para la operación de las computadoras.
• Controles para el almacenamiento de información.
• Controles para el mantenimiento del sistema.

6. Controles de Seguridad del Personal y Telecomunicaciones

Controles para la Seguridad del Personal de Informática

• Controles administrativos de personal.
• Seguros y fianzas para el personal de sistemas.
• Planes y programas de capacitación.

Controles para la Seguridad en la Telecomunicación de Datos

• Controles específicos para la seguridad en la telecomunicación de datos.