La Necesidad de un La Necesidad de un Ambiente Eficaz de Ambiente Eficaz de
Controles Generales de TIControles Generales de TI
Lucas R. CoronelLucas R. Coronel
Licenciado en Sistemas de Información de la OrganizacionesLicenciado en Sistemas de Información de la OrganizacionesUniversidad de Buenos AiresUniversidad de Buenos Aires
ObjetivoObjetivo
Comprender la necesidad de implementar eficazmente un ambiente adecuado y razonable de controles generales de tecnología de la información en las organizaciones.
Obtener información confiable para dar soporte a los procesos de negocio.
2
Procesos de NegocioProcesos de Negocio
¿Por qué Controles Generales?
la información no pueda ser accedida o modificada de forma no autorizada, por fuera del sistema aplicativo.
Para asegurar que los procesos y la información administrada por las aplicaciones sean confiables, es necesario tener como base un ambiente eficaz de controles generales de TI.
3
LAN
PROCESOS DE NEGOCIO
APLICACIONES
BASE DE DATOS
SISTEMAS OPERATIVOS
Controles Generales de TIControles Generales de TI
APLICACIONES
BASE DE DATOS
SISTEMAS OPERATIVOS
Gcia. de Sistemas
Producción TecnologíaDesarrollo
E s t r u c t u r a O r g a n i z a t i v a
d e T I
S e g u r i d a d L ó g i c a
A B M d e U s u a r i o s
S e g u r i d a d F í s i c a
C o n t i n u i d a d d e P r o c e s a m i e n t o
Procesos Principales de Control
4
A d m i n . d e C a m b i o s
Controles Generales de TIControles Generales de TI
TI
Estructu
raFunciones y
Responsabilidades
Seg
regació
n d
e F
un
cion
es
Metodología
Pla
n d
e
Sis
tem
as TI
Estructura Organizativa de TI
- Estructura: independencia.
- Funciones y Responsabilidades: cumplimiento y supervisión.
- Segregación de Funciones: tareas acorde a su puesto.
- Metodología: formalización y comunicación.
- Plan de Sistemas: alineación a la estrategia del negocio.
5
Controles Generales de TIControles Generales de TI
Administración de Cambios
- Aprobación del Requerimiento: autorización del jefe/gerente del usuario solicitante y del departamento de TI antes de iniciar los proyectos de cambios a objetos/datos productivos.
- Pruebas: técnicas y funcionales, para asegurar una correcta solución.
- Aprobación del Pasaje a Producción: autorización del usuario solicitante y del responsable del entorno productivo.
6
Controles Generales de TIControles Generales de TI
APLICACIONES
BASE DE DATOS
SISTEMAS OPERATIVOS
Solicitud Aprobación Ejecución
Monitoreo
ABM de Usuarios
- Aprobación del Requerimiento: autorización de las solicitudes de altas, bajas y modificaciones de cuentas de usuarios, por parte de un responsable autorizado.
- Ejecución: a cargo de un operador responsable de los sistemas.
Se deben establecer validaciones periódicas de los accesos, con el objeto de mantener un nivel de seguridad y acceso apropiado a los recursos de la organización.
7
Controles Generales de TIControles Generales de TI
Seguridad Lógica
- Usuarios de Máximo Privilegios: identificados y auditados.
- Contraseñas: adecuada parametrización y fortaleza.
- Auditoría: registro y revisión periódica.
- Permisos: acceso autorizado a información crítica.
8
Usuarios de Máximo Privilegios
Políticas de Contraseña
Pistas de Auditoría
Permisos de Accesos
- Administradores- Emergencia
- Cantidad Caracteres - Alfanuméricos- Histórico- Expiración
- Accesos y actividades- Modificaciones- Eventos del sistema
- Programas Fuentes- Base de Datos- Programas Ejecutables
Si bien cada tecnología tiene sus particularidades, los controles mencionados son básicos y claves para realizar una adecuada parametrización en los sistemas
Controles Generales de TIControles Generales de TI
Seguridad Física
- Acceso: personal autorizado.
- Aire Acondicionado: adecuada refrigeración.
- Detectores de Humo/Calor: actuar oportunamente.
- Extintores de Fuego: evitar incendios.
- Piso Técnico: instalación y circulación de cables.
- Material Combustible: no debe existir.
- UPS: continuar operatoria (tiempo breve).
- Suministro de Energía: continuar operatoria (tiempo prolongado).
9
Extintores
Generadores
Detectores
Accesos
UPS
APLICACIONES
BASE DE DATOS
SISTEMAS OPERATIVOS
Material Inflamable
Piso Tecnico
Aire Acondicionado
Controles Generales de TIControles Generales de TI
APLICACIONES
BASE DE DATOS
SISTEMAS OPERATIVOS
Resguardo y Recupero
Plan de Contingencia
Continuidad del Procesamiento
- Resguardo y Recupero: procedimiento de backups y pruebas de recupero de información.
- Plan de Contingencia: plan formal, actualizado, comunicado y probado periódicamente.
10
Empresa en Marcha
ConclusiónConclusión
11
La implementación de adecuados controles generales de TI permite iniciar el proceso y la cultura de control correspondiente, para lograr conformar un ambiente eficaz de tecnología de la información, a través del cual:- se procese y obtenga información
confiable para la organización,- y se logre un mejor y más seguro
funcionamiento de los procesos del negocio.
PreguntasPreguntas
1112