La Seguridad Informtica de las

aplicaciones y el Control Interno.

AUTORA: MSc. Concepcin Casal Gonzlez
Especialista en Ciencias Computacionales
Gerencia deAuditoria.
Direccin deControl Corporativo.
ETECSA









2
TITULO: La Seguridad Informtica de las aplicaciones y el Control Interno.

AUTORA: MSc. Concepcin Casal Gonzlez.

CARGO: Especialista en Ciencias Computacionales.

UNIDAD ORGANIZATIVA: Gerencia de Auditora.
Direccin de Control Corporativo. ETECSA
DIRECCION: guila No. 565 Esq. Dragones 3er. Piso Centro Habana.

TELEFONOS y CORREO: 8607622,8623670 ccasal@etecsa.cu

TEMA: Seguridad de las aplicaciones y control interno.
RESUMEN

El entorno operacional de las modernas operadoras de telecomunicaciones se
caracteriza por un alto porciento de informatizacin de sus procesos, lo cual a
primera vista agrega ventajas significativas sin embargo, trae aparejados los
llamados riesgos de la automatizacin, los cuales al no ser identificados y
tratados adecuadamente, han ocasionado fuga de ingresos en muchos
componentes del ciclo de ingresos y la aparicin de diversas modalidades de
fraudes y delitos informticos.
ETECSA, operadora de telecomunicaciones de Cuba, no est excepta de los
riesgos enunciados, por lo que en el presente trabajo se parte de la hiptesis
de tratar la seguridad de las aplicaciones como importante aspecto de control
interno a considerar por las entidades con alto porciento de automatizacin de
sus operaciones.
Su basamento metodolgico y legal parte del empleo e instrumentacin
principalmente de la Resolucin 297/03 del Ministerio de Finanzas y Precios y
la Norma ISO/IEC 17799 Seguridad Informtica en todas las etapas del ciclo
de vida de un software.

CONCLUSIONES

La seguridad de las aplicaciones debe ser considerado un importante aspecto
de control interno en las entidades con alto porciento de automatizacin de sus
operaciones ya que se corresponden totalmente los objetivos enunciados en la
normativa de control interno vigente (Resolucin 297/03 del Ministerio de
Finanzas y Precios) y la norma de seguridad informtica internacionalmente
reconocida (Norma ISO/IEC 17799).
En tal sentido, es un proceso integrado no solo inherente a las unidades
organizativas que tienen como funcin explicita la seguridad informtica y el
control en una organizacin, sino que involucra desde la alta direccin hasta
todo el personal que proyecta, disea, administra y gestiona los aplicativos.
Considerando lo anteriormente expuesto para el logro de una seguridad
razonable en un ambiente automatizado es menester hacer cumplir los
componentes de control interno y al menos, los criterios de informacin
confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de
vida de un aplicativo.
3

Indice


RESUMEN................................................................................................................... 2
INTRODUCCION........................................................................................................ 4
DESARROLLO............................................................................................................ 6
CONCLUSIONES...................................................................................................... 12
DATOS PERSONALES. ............................................................................................ 13

4

INTRODUCCION

El logro de la eficiencia econmica, mediante procesos de mejoras continuas,
el enfoque integral para la administracin de riesgos y el trato focalizado al
cliente constituyen los principales retos para la moderna empresa de
telecomunicaciones.

Como consecuencia, el entorno informtico de la mayora de esta compaas
est caracterizado por la existencia de mltiples aplicaciones de mltiples
proveedores, donde los sistemas legacy o perifricos coexisten con las nuevas
aplicaciones integradas ERP, interconectados por una compleja red de
interfases.

Esta situacin que a primera vista agrega ventajas significativas en la
operaciones trae aparejados los llamados riesgos de la automatizacin, los
cuales al no ser identificados y tratados adecuadamente, han ocasionado fuga
de ingresos en muchos componentes del ciclo de ingresos y la aparicin de
diversas modalidades de fraudes y delitos informticos.

Estudios de firmas consultoras internacionales han determinado entre las
causas fundamentales de las prdidas, la falta de seguridad de la informacin y
unido a esto la falta de consistencia en la informacin almacenada en las bases
de datos, as como la no efectividad de los Sistemas de Gestin de Clientes y
Provisin del Servicio.

ETECSA, operadora de telecomunicaciones de Cuba, no est exenta de los
riesgos enunciados. En cuanto a prdidas de ingresos, en los resultados de un
estudio realizado por el grupo de Integridad de la Facturacin se observaron
problemas de confiabilidad en la informacin contenida en las bases de datos,
as como incorrecta configuracin de servicios, entre otras causas.

Por otra parte las investigaciones realizadas en auditorias internas y externas a
los aplicativos que automatizan los procesos objetos de control, han
encontrado vulnerabilidades que comprometen la confidencialidad,
disponibilidad e integridad de la informacin contentiva en los mismos que
incluso propician la ocurrencia de hechos presumiblemente delictivos.

Nuestro trabajo de investigacin pretende dar respuesta al planteamiento
siguiente:

1. Cmo establecer adecuados mecanismos de control interno que
garanticen seguridad razonable de las aplicaciones informticas?

Se parte de la hiptesis de que se lograr seguridad razonable de las
aplicaciones si estas son tratadas como importante mecanismo de control
interno a considerar por las entidades con alto porciento de automatizacin de
sus operaciones.

5
En tal sentido, este trabajo tiene como objetivos:

Demostrar que para el logro de una seguridad razonable en un ambiente
automatizado es menester hacer cumplir los componentes de control
interno, y al menos los criterios de informacin, confidencialidad,
disponibilidad e integridad , en todas las etapas del ciclo de vida de un
aplicativo.
Aportar los aspectos fundamentales a considerar.

Su basamento metodolgico y legal parte del empleo e instrumentacin
principalmente de la Resolucin 297/03 del Ministerio de Finanzas y Precios y
la Norma ISO/IEC 17799 Seguridad Informtica en todas las etapas del ciclo
de vida de un software.

Para el desarrollo del mismo se emplearon tcnicas de investigacin tales
como bsqueda bibliogrfica, anlisis y sntesis.




6
DESARROLLO.


En la Resolucin 297/03 del Ministerio de Finanzas y Precios se define como
control interno: .proceso integrado a las operaciones efectuado por la
direccin y el

resto del personal de una entidad para proporcionar una
seguridad razonable al logro de los objetivos siguientes:

Confiabilidad de la informacin.
Eficiencia y eficacia de las operaciones.
Cumplimiento de las leyes, reglamentos y polticas, establecidas
Control de los recursos de todo tipo, a disposicin de la entidad.

Por su parte la norma ISO/IEC 17790 enuncia que La informacin es un activo
que, como otros importantes activos de negocios, tiene valor para una
organizacin y en consecuencia necesita ser debidamente protegido. La
seguridad informtica protege la informacin de un amplio rango de amenazas
con el objetivo de asegurar la continuidad de negocios, minimizar el dao
comercial y maximizar el reembolso de las inversiones y oportunidades
comerciales.

La informacin y los procesos, sistemas y redes de apoyo son importantes
activos de negocios. La confidencialidad, integridad y disponibilidad de la
informacin puede ser esencial para mantener la competitividad, el flujo de
efectivo, la ganancia, la conformidad legal y la imagen comercial.

Realizando una breve comparacin de los objetivos expuestos en cada
normativa, resulta evidente que la seguridad informtica de los sistemas, en
los cuales las aplicaciones juegan un papel primordial, se corresponde
totalmente con el control interno.

En tal sentido, es un proceso integrado no solo inherente a las unidades
organizativas que tienen como funcin explicita la seguridad informtica y el
control en una organizacin, sino que involucra desde la alta direccin hasta
todo el personal que proyecta, disea, administra y gestiona los aplicativos.

Considerando lo anteriormente expuesto para el logro de una seguridad
razonable en un ambiente automatizado es menester hacer cumplir los
componentes de control interno y al menos, los criterios de informacin
confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de
vida de un aplicativo.

A continuacin se expone un anlisis un poco mas detallado que puede ser
tomado como referencia o lnea general, ya que cada automatizacin tiene en
si sus propias caractersticas y por lo tanto es imprescindible su adecuacin.



7

Ambiente de Control Seguridad Informtica Aspectos fundamentales a considerar
El ambiente o entorno de control
constituye el andamiaje para el
desarrollo de las acciones y refleja
la actitud asumida por lo alta
direccin en relacin con la
importancia del control interno y su
incidencia sobre las actividades de
la entidad y resultados, por lo que
debe tener presente todas las
disposiciones, polticas y
regulaciones que se consideren
necesarias para su implantacin y
desarrollo exitoso
Poltica de seguridad, objetivos y
actividades que reflejen los objetivos
comerciales.
Enfoque hacia la implementacin de
la seguridad que sea consistente
con la cultura organizacional.
Apoyo visible y compromiso de la
administracin.
Adecuado entendimiento de los
requerimientos de seguridad, el
anlisis de riesgos y la gestin de
riesgos.
Efectiva divulgacin de seguridad
entre directivos y empleados.
Distribucin de guas de informacin
sobre la poltica y las normas de
seguridad informtica a todos los
empleados y contratantes.
Entrenamiento y educacin
adecuadas.
Sistema de medidas abarcador y
balanceado que se use para evaluar
el comportamiento de la gestin de
seguridad de la informacin y
sugerencias de retroalimentacin
para el perfeccionamiento.
Establecimiento del Plan Estratgico
de TI, acoplado a los lineamientos
estratgicos de la Entidad.
Organizacin y estructura para el
gobierno de las TI de acuerdo a
procesos, donde se definan
adecuadamente autoridades y
responsabilidades.
Establecimiento y cumplimiento de las
polticas de seguridad informtica de
las aplicaciones.
Adecuado conocimiento y conciencia
del tema desde la alta direccin de la
entidad.

8
Evaluacin de Riesgos Seguridad Informtica Aspectos fundamentales a considerar
El control interno ha sido pensado
esencialmente para limitar los riesgos
que afectan las actividades de las
entidades. A travs de a investigacin
y anlisis de los riesgos relevantes y el
punto hasta el cual el control vigente
los neutraliza, se evala la
vulnerabilidad del sistema.
Una vez identificados los riesgos, su
anlisis incluir:
Una estimacin de su
importancia y trascendencia
Una evaluacin de la
probabilidad y frecuencia.
Una definicin del modo en que
habrn de manejarse.
Cambios en el entorno
Redefinicin de la poltica
institucional
Reorganizaciones o
reestructuraciones internas.
Ingreso de empleados nuevos o
rotacin de los existentes.
Nuevos sistemas, procedimientos
y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades
o funciones.

Los requerimientos de seguridad se identifican
mediante un anlisis metdico de los riesgos
de seguridad. El gasto en controles necesita
ser balanceado contra el dao comercial
potencial derivado de fallas de seguridad. Las
tcnicas de anlisis de riesgo pueden ser
aplicadas a toda la organizacin o solo a
partes de esta, adems de a sistemas
informticos individuales, componentes o
servicios especficos donde esto sea
realizable, realista y til.

La evaluacin de riesgos es la consideracin
sistemtica de:

a) el dao comercial potencial derivado de
una falla de seguridad, tomando en
cuenta las consecuencias potenciales
de una prdida de confidencialidad,
integridad y disponibilidad de la
informacin y otros activos.

b) la probabilidad real de que dicha falla
ocurra a la luz de amenazas y
vulnerabilidades existentes y los
controles actualmente implementados.



Levantamiento de riesgos asociados
fundamentalmente a:

Riesgo de que personal no autorizado
conozca y/o modifique informacin
sensible. (CONFIDENCIALIDAD)
Riesgo de no disponer de la
informacin cuando sta es requerida
por el proceso de negocio y no
salvaguardar adecuadamente los
recursos y capacidades asociadas.
(DISPONIBILIDAD)
Riesgo de no garantizar precisin,
suficiencia y validez de la informacin,
de acuerdo con los valores y
expectativas del negocio
(INTEGRIDAD)
9

Actividades de Control Seguridad Informtica Aspectos fundamentales a considerar
Las actividades de control son
procedimientos que ayudan a
asegurarse que las polticas de la
direccin se llevan a cabo, y deben
estar relacionadas con los riesgos que
ha determinado y asume la direccin.
En su sentido general abarcan:
- Anlisis efectuados por la direccin.
- Seguimiento y revisin por parte de
los responsables de las diversas
actividades.
-Comprobacin de las transacciones
en cuanto a su exactitud, totalidad,
autorizacin pertinente: aprobaciones,
revisiones, cotejos. reclculos, anlisis
de consistencia, prenumeraciones.
-Controles fsicos patrimoniales:
arqueos, conciliaciones, recuentos,
-Dispositivos de seguridad para
restringir el acceso a los activos y
registros.
-Segregacin de funciones.
-Aplicacin de indicadores de
rendimiento.


Deben seleccionarse e implementarse los
controles para asegurar que riesgos se
reduzcan hasta un nivel aceptable.
Los controles debern seleccionarse
basados en el costo de la implementacin
en relacin con los riesgos que se
reduzcan y las prdidas potenciales si
existiera una brecha en la seguridad.
Factores no monetarios como la perdida de
reputacin tambin debern tomarse en
cuenta.
Los controles considerados prctica comn
ms eficaz para la seguridad de la
informacin incluyen:

a) Documentos sobre las polticas de
seguridad informtica.
b) Asignacin de responsabilidades.
c) Educacin y entrenamiento.
d) Informe de incidentes de seguridad.
e) Gestin de la continuidad de
negocios

Confidencialidad
- Procedimientos y acuerdos entre reas
para alta, baja y modificacin de usuarios.
- Implementacin de polticas de usuarios
donde se limiten adecuadamente el acceso a
funciones y datos.
- Implementacin de adecuadas polticas de
contraseas.

Disponibilidad
- Procedimientos y acuerdos entre reas
para el establecimiento de salvas de la
informacin de acuerdo a las necesidades
del negocio.
- Procedimientos ante contingencias, que
garanticen una adecuada restauracin del
servicio con la prdida mnima de datos.

Integridad
- Establecimiento de controles de integridad
referencial de acuerdo a las necesidades del
negocio.
- Controles preventivos, detectivos y
correctivos que garanticen razonablemente
la adquisicin, procesamiento y salida de la
informacin.

10

Informacin y comunicacin Seguridad Informtica Aspectos fundamentales a considerar
La Informacin relevante debe ser
captada, procesada y trasmitida de
tal modo que llegue a todos los
sectores y permita asumir las
responsabilidades individuales.
Los informes deben transmitirse
adecuadamente a travs de una
comunicacin eficaz, incluyendo
una circulacin multidireccional de
la informacin: ascendente,
descendente y transversal.



Los datos de salida de un sistema de
aplicaciones debern validarse para
asegurar que el procesamiento de la
informacin almacenada es correcto y se
adecua a las circunstancias.
La validacin de los resultados puede
incluir:
a) chequeos para probar si los datos
resultantes son razonables.
b) conteos de control de reconciliacin
para asegurar el procesamiento de
todos los datos.
c) brindar informacin suficiente para
un lector o un sistema de
procesamiento para determinar la
exactitud, totalidad, precisin y
clasificacin de la informacin.
d) procedimientos para responder a las
pruebas de validacin de los
resultados.
e) definir las responsabilidades de todo
el personal involucrado en el
proceso de obtencin de datos.

- Identificacin e implementacin del
intercambio de informacin en las relaciones
usuarios-aplicactivos y aplicativos-
aplicativos.
- Controles preventivos, detectivos y
correctivos que garanticen razonablemente
que la salida de la informacin sea precisa y
oportuna, as como asequible a todos los
niveles de la organizacin requeridos.


11

Supervisin o Monitoreo Seguridad Informtica Aspectos fundamentales a considerar
Las actividades de monitoreo
permanente incluyen actividades de
supervisin realizadas de forma
permanente, directamente por las
distintas estructuras de direccin.

Las evaluaciones separadas son
actividades de monitoreo que se
realizan en forma no rutinaria. como
las auditorias peridicas efectuadas
por los auditores internos.

La poltica deber tener un responsable que se
encargar de su mantenimiento y revisin de
acuerdo a un proceso de revisin definido.
Dicho proceso deber asegurar que se realicen
revisiones en respuesta a cambios que afecten
las bases del anlisis de riesgos original, como
por ejemplo: incidentes de seguridad
significativos, nuevas vulnerabilidades o
cambios a la infraestructura organizacional o
tcnica. Se debern programar adems
revisiones peridicas de lo siguiente:
a) la efectividad de la poltica, demostrada
por la naturaleza, nmero y dao de
incidentes de seguridad registrados.
b) costo e impacto de los controles en la
eficiencia de la empresa.
c) efectos de cambios a la tecnologa.
Se debern monitorear los sistemas para
detectar la desviacin de la poltica de control
de acceso y registrar los hechos que se pueda
para brindar evidencia en caso de incidentes
de seguridad.
El monitoreo del sistema permite que se
verifiquen la efectividad de los controles
adoptados y la conformidad a un modelo de
poltica de acceso.

-Establecimiento de indicadores de
desempeo que permitan medir la eficacia y
calidad de las operaciones.
-Establecimiento de conciliaciones entre
actividades que permitan la deteccin y
correccin oportuna de anomalas en las
transacciones.
- Implementacin de trazas de operacin que
permitan la investigacin de las actividades
de mayor impacto en un periodo
determinado.
- Existencia de personal encargado de la
supervisin y monitoreo operativo y
sistemtico.



12
CONCLUSIONES.

La seguridad de las aplicaciones debe ser considerado un importante aspecto
de control interno en las entidades con alto porciento de automatizacin de sus
operaciones ya que se corresponden totalmente los objetivos enunciados en la
normativa de control interno vigente (Resolucin 297/03 del Ministerio de
Finanzas y Precios) y la norma de seguridad informtica internacionalmente
reconocida (Norma ISO/IEC 17799).

En tal sentido, es un proceso integrado no solo inherente a las unidades
organizativas que tienen como funcin explicita la seguridad informtica y el
control en una organizacin, sino que involucra desde la alta direccin hasta
todo el personal que proyecta, disea, administra y gestiona los aplicativos.

Considerando lo anteriormente expuesto para el logro de una seguridad
razonable en un ambiente automatizado es menester hacer cumplir los
componentes de control interno y al menos, los criterios de informacin
confidencialidad, integridad y disponibilidad, en todas las etapas del ciclo de
vida de un aplicativo.

La literatura estudiada evidencia que el tema abordado es de novedad
internacional, pero principalmente manejado por entidades consultoras y
auditoras las cuales lo consideran know how.

Por otra parte y considerando el estado actual de las normativas nacionales
sobre el tema, constituye un aporte al logro de la implementacin real del
tratamiento de los riesgos de automatizacin en la entidad, lo cual le aporta
valor tcnico y contribuye a minimizar las vulnerabilidades y sus
consecuencias.

Los aspectos tratados, as como los resultados obtenidos son aplicables
principalmente a entidades con alto porciento de automatizacin de sus
operaciones.

Es menester sealar que los aspectos fundamentales propuestos a
implementar para cada componente de control han sido puestos en prctica en
un porciento considerable en ETECSA, al ser recomendados en las auditorias
internas realizadas.

En el orden empresarial fueron objeto de aceptacin para su anlisis e
implementacin a partir de su presentacin en el Primer Simposio de Seguridad
Informtica celebrado en ETECSA, donde fue propuesto por el Comit
Organizador para participar en el Evento Nacional de Seguridad Informtica
convocado por Segurmtica, previo al VIII SEMINARIO IBEROAMERICANO
DE SEGURIDAD EN TECNOLOGIAS DE INFORMACION Y
COMUNICACIONES.



13
DATOS PERSONALES.


AUTORA: MSc. Concepcin Casal Gonzlez.

CARGO: Especialista en Ciencias Computacionales.

UNIDAD ORGANIZATIVA: Gerencia de Auditora.
Direccin de Control Corporativo.

DIRECCION: guila No. 565 Esq. Dragones 3er. Piso Centro Habana.

TELEFONOS: : 8607622,8623670

CORREO: ccasal@etecsa.cu

FAX: 8615664

CI: 64070302418