Capítulo 5

Control interno informático

Propósito del capítulo

El propósito de este capítulo es presentar tanto al estudiante como

al profesional de auditoría el origen y los responsables de
establecer el control interno en las TICS.

Objetivos de aprendizaje

Al finalizar el estudio de este tema, usted, deberá estar en la capacidad

de:

• Estudiar los conceptos y las características fundamentales del control

interno en los sistemas computacionales a fin de identificar sus principales
aplicaciones en la auditoría de sistemas para entender cómo se pueden
satisfacer, con eficiencia y eficacia, las necesidades de evaluación,
razonabilidad y oportunidad en la protección y seguridad de los bienes, de
la información y del personal del área de sistemas de una institución.
• Analizar el desarrollo de las actividades, operaciones y resultados en el
procesamiento de la información de las áreas de sistemas de una
institución.
• Establecer como prioridad la seguridad y protección de la
información, del sistema computacional y de los recursos
informáticos de una empresa.
• Promover la confiabilidad, oportunidad y veracidad de la
captación de datos, su procesamiento en el sistema y la emisión
de informes en una empresa.
• Implementar métodos, técnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y
tareas de los servicios computacionales para satisfacer los
requerimientos de sistemas en una empresa.
• Instaurar y hacer cumplir las normas, políticas y procedimientos
que regulen las actividades de sistematización de una empresa.
• Establecer las acciones necesarias para el adecuado diseño e
implementación de sistemas computarizados a fin de que
permitan proporcionar eficientemente los servicios de
procesamiento de información en una empresa.

1
Guía de lecturas

Para lograr los objetivos descritos anteriormente, es importante que usted

realice las siguientes lecturas:

Subtema Página
5.1 Controles internos para la organización del área de informática 137
5.1.1 Dirección 137
5.1.2 División del trabajo 140
5.1.3 Asignación de responsabilidad y autoridad 142
5.1.4 Establecimiento de estándares y métodos 143
5.1.5 Perfiles de puestos 144
5.2 Controles internos para el análisis, desarrollo e implementación de 145
sistemas
5.2.1 Estandarización de metodologías para el desarrollo de proyectos 147
5.2.2 Asegurar que el beneficio del sistema sea óptimo 148
5.2.3 Elaborar estudios de factibilidad del sistema 150
5.2.4 Garantizar la eficiencia y eficacia en el análisis y diseño del sistema 152
5.2.5 Vigilar la efectividad y eficiencia en la implementación y 154
mantenimiento del sistema
5.2.6 Lograr un uso eficiente del sistema por medio de su documentación 155
5.3 Controles internos para la operación del sistema 157
5.3.1 Prevenir y corregir errores de operación 158
5.3.2 Prevenir y evitar la manipulación fraudulenta de la información 159
5.3.3 Implementar y mantener la seguridad en la operación 160
5.3.4 Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el 160
procesamiento de la información de la institución
5.4 Controles internos para los procedimientos de entrada de datos, 160
procesamiento de información y emisión de resultados
5.5 Controles internos para la seguridad del área de sistemas 164
5.5.1 Controles para prevenir y evitar las amenazas, riesgos y contingencias 167
en las áreas de sistematización
5.5.2 Controles para la seguridad física del área de sistemas 170
5.5.3 Controles para la seguridad lógica de los sistemas 172
5.5.4 Controles para la seguridad de las bases de datos 173
5.5.5 Controles para la seguridad en la operación de los sistemas 175
computacionales
5.5.6 Controles para la seguridad del personal de informática 176
5.5.7 Controles para la seguridad en la telecomunicación de datos 177
5.5.8 Controles para la seguridad en sistemas de redes y multiusuarios 178

3
CONTROL INTERNO (RESUMEN)

Controles internos para la organización del área de informática

Dirección

La dirección es uno de los subelementos básicos del control interno en

cualquier empresa, porque ésta es la función primordial de la entidad o persona
que tiene la misión de dirigir las actividades en la institución o en un
área específica así como la de coordinar el uso de los recursos disponibles
en el área para cumplir el objetivo institucional.

Los recursos de informática son muy especializados y frecuentemente

muy costosos, pero son de suma importancia en las áreas de sistemas; por lo
tanto, es necesario aprovecharlos de la mejor manera posible, lo cual solo se
puede lograr mediante el establecimiento de la dirección como elemento del
control interno. Con ello, se contribuye a la adecuada coordinación del
uso y aprovechamiento de los recursos computacionales.

La coordinación de recursos

Como parte fundamental de la dirección del área de sistemas, se tienen

que asignar y distribuir de manera correcta los recursos informáticos
disponibles en la empresa con el fin de que dichos recursos sean
más equitativos y productivos.

La supervisión de actividades

Es la vigilancia que realiza quien dirige el área de sistemas sobre la

realización adecuada de las funciones y actividades que se tienen
encomendadas en esta área al supervisar el trabajo que se realiza con los
recursos informáticos de la empresa.

La delegación de autoridad y responsabilidad

Su finalidad es obligar al personal del área, de acuerdo con la delegación

de autoridad y responsabilidad, a cumplir con las tareas, funciones y
operaciones que tienen encomendadas.

La asignación de actividades

Este subelemento se aplica cuando la dirección instituye una definición clara

y concreta de todas las funciones, tareas y operaciones de cada puesto con el
fin de cumplir de manera adecuada con los objetivos del área de sistemas.

La distribución de recursos

Es la asignación que se hace de los recursos informáticos disponibles en

el área de sistemas con el propósito de que los empleados de esta área
cumplan eficientemente con las actividades y tareas que tienen encomendadas.

División de trabajo

A continuación se presentan las funciones básicas de cualquier centro

de cómputo:

4
Dirección general del área de informática

Esta es la entidad encargada de integrar, coordinar y supervisar el buen

desarrollo de las funciones y actividades de los demás recursos del área.
También, es la entidad encargada de planear, organizar, dirigir y controlar los
objetivos, programas y presupuestos de los recursos asignados del área de
informática.

Área de análisis y diseño

Es la unidad de trabajo encargada de estudiar las necesidades de

procesamiento e información de la empresa, así como de proponer mejoras y
cambios en el desarrollo de nuevos sistemas por medio de las metodologías de
análisis y diseño de éstos.

Área de programación

Sus integrantes son los responsables de realizar todas las actividades y

operaciones que se requieren para codificar adecuadamente los programas a
fin de lograr el buen funcionamiento del área de cómputo en la empresa.

Área de sistemas de redes

Es el área que está destinada a la administración y control de los sistemas de redes

algunas de sus funciones son la configuración, manejo y mantenimiento de dichos
sistemas a fin de satisfacer las necesidades de cómputo de la empresa.

Área de operación

Es el área encargada de realizar la operación, procesamiento y uso de los

sistemas computacionales así como de la asignación de sus recursos íntegros
para servicio de los usuarios y de las áreas de la empresa.

Área de telecomunicación

Es la unidad administrativa responsable de todos los servicios de comunicación

interna o externa del sistema.

Área de administración

Es la unidad que se encarga de brindar todo el apoyo de tipo administrativo que

se requiere en el centro de cómputo a fin de que pueda realizar con eficiencia y
eficacia todas sus funciones.

Asignación de responsabilidad y autoridad

Este subelemento nos a ayuda a garantizar la eficiencia y eficacia del control

interno en las unidades de sistemas, porque complementa la división del
trabajo y delimita claramente la autoridad y la responsabilidad que tendrá cada
integrante de esas áreas. Con ello, se asegura el mejor desarrollo de las

6
actividades, funciones y tareas y, consecuentemente, la realización del
procesamiento de información en la empresa será más eficaz.

Establecimiento de estándares y métodos

En cualquier área de sistemas es de suma importancia estandarizar el

desarrollo de todas las actividades y funciones a fin de que éstas se realicen de
manera uniforme según las necesidades concretas de las unidades de
informática que integran la empresa. En esta estandarización se deben
respetar la división del trabajo y la asignación de actividades específicas.

La estandarización constituye un aspecto básico que se debe incluir para el

establecimiento del control interno informático en cualquier empresa.

El siguiente aspecto es Perfiles de puestos:

Perfiles de puestos

Otro aspecto fundamental para la adopción de este elemento del control interno
informático consiste en identificar y establecer requisitos, habilidades,
experiencia y conocimientos específicos que necesita tener el personal, que
ocupa un puesto en el área de sistemas.

Es trascendental destacar la importancia del uso del perfil de puestos para la

selección adecuada del personal, que ocupará los puestos dentro del área de
sistemas debido a que en este documento se establecerán en forma precisa y
correcta las características, conocimientos y habilidades que deberán tener
quienes ocupen dichos puestos.

(Para conocer ahondar más en el tema refiérase a las páginas de la 137 a la

145 del libro de texto).

Controles internos para el análisis, desarrollo e implementación de

sistemas.

Para entender este elemento del control interno informático, es vital que
primero presentemos las principales fases de lo que se puede entender como
análisis y diseño de sistemas:

1. Análisis del sistema actual.

2. Diseño conceptual.
3. Diseño detallado.
4. Programación.
5. Pruebas y correcciones.
6. Documentación del sistema.
7. Capacitación de usuarios.
8. Implementación del sistema.
9. Liberación del sistema.
10. Mantenimiento.

7
El uso de esta metodología, la cual sólo presentamos en sus principales fases,
requiere un seguimiento paso a paso y un uso casi irrestricto de todas sus
fases y de cada una de las etapas que las integran. Con la aplicación de esta
metodología para el desarrollo de un proyecto, se puede garantizar el análisis,
el desarrollo y la implementación correctos de cualquier sistema.

A continuación se proponen los siguientes subelementos para el cumplimiento

de este elemento del control interno en el área de sistemas:

Estandarización de metodologías para el desarrollo de proyectos

1. Asegurar que el beneficio del sistema sea óptimo.

2. Elaborar estudios de factibilidad del sistema.
3. Garantizar la eficiencia y eficacia en el análisis y diseño del
sistema.
4. Vigilar la efectividad y eficacia en la implementación y el
mantenimiento del sistema.
5. Lograr un uso eficiente del sistema por medio de su
documentación.

La aplicación de una metodología estandarizada para el desarrollo de un

proyecto informático garantiza la uniformidad en la aplicación de cualquier
sistema y contribuye en gran medida a la máxima eficiencia en el uso de los
recursos informáticos del área de sistemas; por esta razón, resulta necesario
estandarizar el desarrollo de los proyectos de sistemas en una empresa.

Precisamente, se busca implementar este subelemento del control interno para

el área de sistemas, cuyo objetivo será estandarizar su desarrollo.

Es indispensable contar con un elemento de control que regule el desarrollo

correcto de un proyecto, porque este control es el sustento indispensable para
estandarizar la realización de cualquier proyecto informático. Así, se contribuye
a la máxima eficiencia en la realización de dicho proyecto.

Para conocer los principales puntos, que se deberán analizar durante una
auditoría de sistemas, en cuanto al desarrollo de proyectos informáticos, a
continuación se presentan las estandarizaciones básicas que se deben analizar
durante cualquier revisión.

Estandarización de métodos para el diseño de sistemas.

Lineamientos en la realización de sistemas.
Uniformidad de funciones para desarrollar sistemas.
Políticas para el desarrollo de sistemas.
Normas para regular el desarrollo de proyectos.
Asegurar que el beneficio del sistema sea óptimo.

Al implementar un nuevo sistema se busca optimizar el desarrollo de las

actividades que normalmente se llevan a cabo en la empresa o en cualquiera
de sus áreas. Con ello, se pretenden mejorar las operaciones normales de

8
cómputo que se realizan en la empresa a fin de incrementar la eficiencia de sus
sistemas actuales.

De hecho, el objetivo final, que se espera en las empresas con la implantación

de un sistema informático, se puede circunscribir a dos aspectos concreto:
Beneficios tangibles y beneficios intangibles.

Beneficios tangibles

Con el establecimiento de los sistemas en la empresa se pretende lograr

mejoras sustanciales, realmente palpables, por parte de quienes utilizan
dichos sistemas, lo cual exige que puedan ser cuantificados resultados.

Beneficios intangibles

Los beneficios que se espera obtener de los sistemas de cómputo son

intangibles, porque sus resultados no pueden ser contados ni físicamente
palpables; sin embargo, existen formas de cuantificación. De esta forma, la
mayoría de los sistemas computacionales tienen ciertos valores cualitativos y
es difícil otorgarles un valor cuantitativo.

Un aspecto específico de aplicación de este subelemento consiste en que, para

el análisis y diseño del nuevo sistema, se tienen que establecer todos los
beneficios que se obtendrían con el desarrollo de un sistema al enfocarlos
desde múltiples puntos de vista.

Algunos de los beneficios son los siguientes:

1. El nivel informático, porque con la instalación de un nuevo

proyecto se pretende mejorar los sistemas informáticos de la
empresa.
2. El económico, debido a que los sistemas tienen un valor
económico y con su desarrollo se pretende economizar el servicio
informático de las empresas.
3. El social, porque congrega gente alrededor de los sistemas que
se implementan en las empresas. Esta gente se interrelaciona
con sus congéneres al crear vínculos sociales con ellos y con la
ayuda de los sistemas.
4. El de los servicios, porque el propósito final de un sistema
computacionales proporcionar servicios sistematizados a las
áreas de una empresa.
5. El administrativo, porque ayuda al mejor manejo de la gestión
informática de las empresas.
6. El operacional, porque con su adopción ayuda a la regulación y
mejor realización de todas las operaciones del sistema
computacional de la empresa.

9
Elaborar estudios de factibilidad del sistema

Todo proyecto de informática se evalúa desde dos criterios específicos: la

viabilidad y la factibilidad. En estos dos factores se deben considerar por
separado los puntos de vista operativo, económico, técnico y administrativo
para poder valorar la optimización del nuevo sistema.

El resultado final de estas valoraciones será la certificación y confianza de que

el proyecto será aplicable a las necesidades de la empresa para así poder
satisfacer sus requerimientos de control interno de informática.

Debemos entender que un nuevo proyecto sólo se justifica si con él se busca

satisfacer la eficiencia y eficacia de las actividades de la empresa, lo cual se
logra por medio de la adopción de una metodología estándar en la realización
de los sistemas para garantizar un buen resultado final con su implementación.

Entonces, resulta necesario contar con varias herramientas, técnicas, métodos

y elementos que permitan uniformar los procedimientos, estándares, normas y
lineamientos requeridos para desarrollar eficientemente estas actividades:

La adopción y seguimiento de una metodología institucional.

Adoptar una adecuada planeación, programación y presupuestación para

el desarrollo del sistema.

Contar con la participación activa de los usuarios finales o solicitantes

del nuevo sistema para garantizar su buen desarrollo.

Contar con personal que tenga la disposición, experiencia, capacitación y

conocimientos para el desarrollo de sistemas.

Utilizar los requerimientos técnicos necesarios para el desarrollo del

sistema, como son el hardware, software y personal informático.

Diseñar y aplicar las pruebas previas a la implementación del sistema.

Supervisar permanentemente el avance de actividades del proyecto.

No basta con elaborar el sistema, también se debe implementar totalmente

para liberar el cargo del propio usuario y proporcionar un mantenimiento
permanente que garantice su efectividad. Sólo mediante la adopción de este
subelemento del control interno se pueden asegurar tanto la eficacia como la
eficiencia de los sistemas computacionales de la institución.

Conviene señalar que es de suma importancia que, antes o durante la

implementación del sistema, se proporcione la capacitación a sus usuarios
finales debido a que sólo así se pueden garantizar la eficiencia y eficacia en la
implementación del proyecto.

10
También, se debe contar con la completa documentación de respaldo y apoyo
que sirva de consulta a los usuarios para el buen uso del sistema.

Otra garantía del buen funcionamiento del sistema es el establecimiento del

control interno informático en relación con la documentación de dicho sistema a
fin de que sirva de ayuda al usuario y al propio desarrollador del proyecto, lo
cual contribuirá a su mejor operación y a su posterior modificación.

Algunos de los principales documentos del sistema son los siguientes:

Manuales e instructivos del usuario.

Manual e instructivo de operación del sistema.
Manual técnico del sistema.
Manual para el seguimiento del desarrollo del proyecto del sistema.
Manual e instructivo de mantenimiento del sistema.

Otros manuales e instructivos del sistema

(Para ahondar más del tema, refiérase a las páginas de la 145 a la 157 del libro
de texto).

Controles internos para la operación del sistema

Resulta conveniente contar con un elemento de control interno que evalúe la

adecuada operación de los sistemas. En este caso, será la adopción de un
elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la
operación de dichos sistemas.

Para entender el papel que juega este elemento en el desarrollo de las

actividades del centro de cómputo, podemos señalar que su existencia ayuda
a garantizar el cumplimiento de los objetivos básicos del control interno.

Para prevenir y, en su caso, corregir los posibles errores de operación, ya sean

involuntarios o premeditados, lo mejor es implementar mecanismos de control
que permitan verificar la exactitud, suficiencia y calidad de los datos que serán
procesados al vigilar el adecuado cumplimiento de la captura, el procesamiento
y la emisión de resultados.

Cabe resaltar la utilidad de la aplicación de este elemento del control interno

informático para las operaciones de los sistemas, porque requieren una
permanente actualización debido a las siguientes razones:

✓ Constantes cambios en las características y modalidades del

funcionamiento de los centros de cómputo, de sus sistemas y de las
bases de datos.
✓ Creciente modificación en los sistemas de red y multiusuarios, la
adopción de nuevas técnicas de configuración, software y otras formas
de comunicación entre los sistemas y componentes.

11
 ✓ Niveles de acceso al sistema por parte del administrador, operadores y
usuarios, según su nivel de participación a fin de satisfacer las
necesidades del procesamiento de datos.
✓ Actualización en la programación de sistemas de aplicación, que
permitan el buen funcionamiento de los sistemas computacionales de la
empresa.
✓ Los programas de supervisión de los sistemas operativos con los cuales
se pueden realizar supervisiones de manera rutinaria a los archivos de
datos e, incluso, un monitoreo de las operaciones del sistema y la
emisión de los resultados de dicho monitoreo, tipo auditoría del sistema,
los cuales permiten evaluar su funcionamiento.
✓ Vigilar y delimitar los accesos y usos de programas y archivos con
información privilegiada y otras formas específicas de procesamiento de
información, entre otras muchas operaciones.

Otro aspecto de suma importancia para un adecuado control interno es vigilar

la manipulación de la información que será procesada en el sistema, así como
establecer las medidas necesarias para controlar su acceso y niveles de uso,
para así prevenir un uso inadecuado de los sistemas, ya sea para beneficio de
terceros, para realizar algún boicot en la institución, propiciar errores durante el
proceso de datos o cualquier otro aspecto que sea ajeno de la operación
normal de la empresa.

Es evidente que un centro de cómputo debe contar con las normas, programas
y medidas de seguridad que le garanticen la buena operación y la adecuada
custodia de sus bienes, programas e información. Esto se logra a través de
planes y programas de seguridad de carácter físico (hardware, instalaciones y
equipos periféricos asociados) y los de carácter lógico (sistemas operativos,
lenguajes, programas e información).

Para entender la importancia de este elemento, recordemos algunos de los

principales atributos de la información, como la confiabilidad, la oportunidad, la
veracidad y la suficiencia. Estos son los elementos básicos que se utilizan para
establecer un control interno adecuado en un centro de información debido a
que con su adopción y uso permanente, como norma de trabajo, contribuyen a
la cabal comprensión del objetivo fundamental del área de sistemas para la
empresa en cuanto a la captura y procesamiento de datos, emisión de
resultados y custodia de la información.

(Para ahondar más en el tema, refiérase a las páginas de la 157 a la 160 del
libro de texto).

Controles internos para los procedimientos de entrada de datos,

procesamiento de información y emisión de resultados

El control interno informático constituye el aspecto más importante para la

adopción de estos controles en el área de sistematización, por lo que es que
son de gran ayuda para la confiabilidad que brindan en el procesamiento de
información.

12
Cuando entendamos que un sistema de información es un procedimiento
simple de entrada, proceso y salida, en donde un dato de entrada se
transforma en información útil de salida mediante algún procesamiento
anterior, entenderemos también que el control interno informático es útil para
verificar que este procedimiento se desarrolle correctamente.

Para una mejor comprensión de este punto, señalaremos que dicho proceso
está compuesto de tres fases fundamentales:

1. La entrada de datos al sistema.

2. El procesamiento de datos por medio de un sistema de
procesamiento interno (caja negra).
3. La emisión de resultados útiles para la toma de decisiones.

Estas fases son las que dan vigilancia a cualquier sistema. Utilizando como
referencia lo anterior, a continuación analizaremos los siguientes subelementos
del control interno:

✓ Verificar la existencia y funcionamiento de los procedimientos de captura

de datos.
✓ Comprobar que todos los datos sean debidamente procesados.
✓ Verificar la confiabilidad, veracidad y exactitud del procesamiento de
datos.
✓ Comprobar la suficiencia en la emisión de información.

(Para ahondar más en el tema, refiérase a las páginas de la 160 a la 164 del
libro de texto).

Controles internos para la seguridad del área de sistemas

Se refiere a lo relacionado con la seguridad y salvaguarda de los bienes

tangibles de los sistemas computacionales de la empresa, la seguridad, la
prevención de riesgos y protección de los recursos físicos informáticos de la
empresa.

Seguridad lógica

Lo constituye lo relativo a la seguridad de los bienes intangibles de los centros

informáticos, las medidas de seguridad, protección y forma de acceso a los
archivos e información.

Seguridad de las bases de datos

Es la protección específica de la información que se maneja en las áreas de

sistemas de la empresa, ya sea a través de las medidas de seguridad y control
que limiten el acceso y uso de esa información o mediante sus respaldos
periódicos con el fin de mantener su confidencialidad y prevenir las
alteraciones, los descuidos, los robos y otros actos delictivos que afecten su
manejo.

13
Seguridad en la operación

Alude a la seguridad en la operación de los sistemas computacionales en

cuanto a su acceso y aprovechamiento por parte del personal informático y de
los usuarios, al acceso a la información y base de datos, a la forma de archivar
y utilizar la información y los programas institucionales, a la forma de proteger
la operación de los equipos, los archivos y programas, así como las
instalaciones, mobiliario, entre otros aspectos.

Seguridad del personal de informática

Se refiere a la seguridad y protección de los operadores, analistas,

programadores y demás personal que está en contacto directo con el sistema,
así como a la seguridad de los beneficiarios de la información.

Seguridad de las telecomunicaciones

Es todo lo relacionado con la seguridad y protección de los niveles de acceso,

privilegios, recepción y envío de información por medio del sistema de
cómputo, protocolos, software, equipos e instalaciones que permiten la
comunicación y transmisión de la información en la empresa.

Seguridad en las redes

Se relaciona con la seguridad y el control de contingencias para la protección

adecuada de los sistemas de redes de cómputo en cuanto a la salvaguarda de
información y datos de las redes, la seguridad en el acceso a los sistemas
computacionales a la información y a los programas del sistema.

Prevención de contingencias y riesgos

Son todas las acciones tendientes a prevenir y controlar los riesgos y posibles
contingencias que se presenten en las áreas de sistematización, las cuales
prevendrán desde accidentes en los equipos, en la información y en los
programas hasta la instalación de extintores, rutas de evacuación, resguardos y
medidas preventivas de riesgos internos y externos, así como la elaboración de
programas preventivos y simulaciones para prevenir contingencias y riesgos
informáticos.

Con el establecimiento de los siguientes subelementos del control interno

informático se busca determinar las bases fundamentales sobre las que se
establecerán los requerimientos para manejar la seguridad de los sistemas de
información.

Identificar aquellos elementos que pueden influir en la seguridad de sus

instalaciones, de sus programas y de la información que se maneja en ellos y
del personal que los opera, ayudará a identificar las eventualidades que
pueden llegar a presentar en dicha área.

14
Control de accesos físicos del personal al área de cómputo

Es el establecimiento de las medidas tendientes a controlar el acceso de las

personas que tengan que entrar la centro de cómputo.

Control de accesos al sistema, a las bases de datos, a los programas y a

la información

Es el control que se establece en el sistema en forma administrativa por medio

de procedimientos, claves y niveles de acceso, que permiten el uso del
sistema, de sus archivos y de su información a los usuarios y al personal
autorizado.

Uso de niveles de privilegio para acceso, palabras clave y control de

usuarios

Se manejan, mediante un software especial las limitaciones y los privilegios de

los usuarios en el uso del sistema, ya sea al no permitir el acceso a ciertos
archivos y programas o con el uso de contraseñas con las cuales se pueda
ingresar al sistema.

Monitoreo de accesos de usuarios, información y programas

Es el monitoreo que realiza el administrador del sistema con el propósito de

verificar el uso del sistema, del software, de los archivos y de la información
que está permitida al usuario.

Existencia de manuales e instructivos, así como difusión y vigilancia del

cumplimiento de los reglamentos del sistema

Es el seguimiento de los diferentes manuales e instructivos a fin de controlar el

uso de los sistemas, programas y archivos, así como el cumplimiento del
reglamento de uso del centro de sistematización por parte de su personal y de
sus usuarios.

Identificación de los riesgos y amenazas para el sistema, con el fin de

adoptar las medidas preventivas necesarias

Es la identificación de los posibles riesgos y contingencias que se pueden

presentar en el área de sistematización. Estas contingencias pueden tener un
origen humano o un origen natural.

Elaboración de planes de contingencia, simulacros y bitácoras de

seguimiento

Es el control de las contingencias y riesgos que se pueden presentar en el área

de sistemas; estas contingencias se pueden evitar, controlar o remediar a
través de planes y programas preventivos específicos, en los cuales se
presenten las actividades a realizar antes, durante y después de alguna
contingencia.

15
Controles para la seguridad física del área de sistemas

Es la sistematización para la protección y custodia de los equipos de cómputo,

periféricos, mobiliario y equipo asignado a esa área, así como la protección y
seguridad del personal, de los usuarios y demás personal involucrado en el
centro de cómputo:

Inventario del hardware, mobiliario y equipo

Resguardo del equipo de cómputo.

Bitácoras de mantenimientos y correcciones.
Controles de acceso del personal al área de sistemas.
Control del mantenimiento a instalaciones y construcciones.
Seguros y fianzas para el personal, equipos y sistemas
Contratos de actualización, asesoría y mantenimiento del hardware.

Controles para la seguridad lógica de los sistemas

Control para el acceso al sistema, a los programas y a la

información.
Establecimiento de niveles de acceso.
Dígitos verificadores y cifras de control.
Palabras clave de acceso.
Controles para el seguimiento de las secuencias y rutinas lógicas
del sistema.

Controles para la seguridad de las bases de datos

Es el bien que más se debe proteger. El control interno informático ayuda a

proteger las bases de datos de la empresa, por medio de controles especiales
y medidas preventivas y correctivas. Con las restricciones de acceso al sistema
se pueden evitar posibles alteraciones, uso fraudulento, piratería destrucción y
sabotaje de la información de la empresa.

Los siguientes son algunos de los controles que se pueden establecer para la
seguridad de las bases de datos de la empresa:

Programas de protección para impedir el uso inadecuado y la

alteración de datos de uso exclusivo.
Respaldos periódicos de información.
Planes y programas para prevenir contingencias y recuperar
información.
Control de accesos a las bases de datos.
Rutinas de monitoreo y evaluación de operaciones relacionadas
con las bases de datos.

16
Controles para la seguridad en la operación de los sistemas
computacionales

Es necesario establecer controles y medidas preventivas para evitar

accidentes, actos dolorosos premeditados o negligencias que repercutan en la
operación y funcionamiento del sistema o en la emisión de resultados del
procesamiento de la información.

Los siguientes aspectos deben ser tomados en cuenta para la seguridad en la

operación del sistema:

Controles para los procedimientos de operación.

Controles para el procesamiento de información.
Controles para la emisión de resultados.
Controles específicos para la operación de la computadora
Controles para el almacenamiento de información.
Controles para el mantenimiento del sistema.

Controles para la seguridad del personal de informática

El activo más valioso de las empresas es el personal que labora en ellas,

debido a que es el que realiza todas las funciones y actividades desde la
dirección hasta la operación de sus áreas y equipos.

Es indispensable el establecimiento de los controles internos informáticos en

los centros de cómputo a fin de ayudar a proteger y salvaguardar la seguridad
de este valioso activo del área de sistematización y de la empresa. Entre los
principales subelementos de control que se pueden adoptar para salvaguardar
la seguridad del personal de estas áreas se encuentran las siguientes:

Controles administrativos de personal.

Seguros y fianzas para el personal de sistemas.
Planes y programas de capacitación.

Controles para la seguridad en la telecomunicación de datos

Es necesario implementar controles internos informáticos en las áreas de

sistematización para asegurar el buen funcionamiento de los sistemas de
transmisión de datos de la empresa, es decir, desde el establecimiento de
protocolos de comunicación, contraseñas y medios controlados de transmisión
hasta la adopción de medidas de verificación de transmisión de la información,
las cuales pueden ser dígitos verificadores, dígitos de paridad, protocolos de
acceso a frecuencias y otras especificaciones concretas del área de
transmisión de datos.

17
Controles para la seguridad en sistemas de redes y multiusuarios

El establecimiento de estos controles para la seguridad en sistemas de redes y

sistemas multiusuarios de una empresa es de vital importancia, porque se
deben establecer medidas específicas para la protección, resguardo y uso de
programas, archivos e información y de sus demás características.

(Para ampliar más la información del tema, refiérase a las páginas de la 164 a
la 178 del libro de texto).

18