Auditoría y Seguridad

de Sistemas de Información
Riesgos de Aplicación

MBA Luis Elissondo

 Que es un SI

Clientes Bancos Proveedores

Sistema de Información

Entrada Proceso Salida

Almc
DGI Accionistas Competidores
Tecnología Informática y Sistemas
de Información
Tecnología Informática (Oferta)
– Hardware y Software
– Tecnología de Comunicaciones y Base de datos
– Metodología para la construcción de aplicaciones.

APLICACIONES
Sistemas de Información (Demanda)
–Necesidades de Información
–Requermientos del Negocio
 Ciclo de vida de la Información

Eliminación
Generación

Registro Modificación / Consulta

Flujo de los Procesos

PERSONAS

Flujo Trabajo

Flujo Información

TECNOLOGIA
 Principales Riesgos de la
Explotación
• Riesgos relacionados con la
segregación de funciones.
• Riesgos relacionados con el
ingreso de datos.
• Riesgos relacionados con items
rechazados o en suspenso
• Riesgos relacionados con el
procesamiento
 Riesgo 1 : Acceso a Funciones de
Procesamiento
"Personas no autorizadas pueden tener acceso a las
funciones de procesamiento de transacciones de los
programas de aplicación, permitiéndoles leer,
modificar, agregar o eliminar datos o ingresar
transacciones no autorizadas para su
procesamiento."

Organizativa

CIS
Riesgo 1 : Acceso a Funciones de
Procesamiento
MEDIOS DE CONTROL

Segregación de funciones en el Dpto. CIS

Organizativa

CIS
Riesgo 1 : Acceso a Funciones de
Procesamiento
Medios de control de acceso
Riesgo 1 : Acceso a Funciones de
Procesamiento
SEGREGACION DE FUNCIONES

Adecuada Software de
Segregación
estructura control de
efectiva
efectiva
organizativa acceso

Estructura Organizativa Accesos permitidos

Usuario
USER1 Permisos
XX40/X XX1
USER2 XX41

USERn YY41/X X40

Riesgo 1 : Acceso a Funciones de
Procesamiento
Riesgos Segregación de Funciones
• Inadecuada separación de funciones dentro
del departamento de Sistemas.
• Inadecuada ubicación del área de Seguridad
Informática
• Inadecuado esquema de seguridad lógica –
perfiles de usuario.
• Problemas con la puesta en funcionamiento
de nuevas versiones
 Riesgo 2 : Ingreso de Datos

"Los datos permanentes y de transacciones

ingresados para el procesamiento pueden ser
imprecisos, incompletos o ingresados más de una
vez".

Importe:30774,01
Fecha: 30/02/90 20
20
Code
024
? 023
025
=40

026 10
20
30
Riesgo 2 : Ingreso de Datos
MEDIOS DE CONTROL
Controles de edición y validación

Fecha: 30/02/99
Importe:30.774,01

Code 024 ? 023

025
026
Riesgo 2 : Ingreso de Datos
C
o
nt
r
ol
esd
e
ed
i
ci
óny
va
l
i
dac
i
ón

F
o
rm
at
o A5A
5
C
a
mp
oC
am
p
oCa
mp
o

C
a
mp
o
sf
al
t
ant
es C
a
mp
o Ca
mp
o
C
a
mp
oCa
mp
oCa
mp
o

L
í
mit
es U
$
S:
99
9.
99
9.
999
,
99

V
a
l
id
ac
i
ón D
a
t
o=D
a
t
oen
Ma
es
t
r
o
?
Riesgo 2 : Ingreso de Datos
t
n
o
Co
re
lse
e
dc
i
dó
inv
yd
i
l
aaó
i
cn
3
3
33
3
3
3
34
3
o
r
Pe
ca
sm e
ino
tdd
el
p
uc
ias
o
d 3
3
34
3
Cp
m
a 3
3
o 35
3
r
o
Ce
ra
lcó
indea
cp
ms
o m
a
Co
p
a
Co
p
m
b
é
Do
t
i 0
0
1
a
l
a
Bno
e
c é
r
Ci
do
t20
0

3
9
11
.
4
g
í
Dt
ioi
r
e
Vc
i
far
o
d 4
7
95
.
1
6
7
36
.
3
Riesgo 2 : Ingreso de Datos
D
í
gi
toV
e
ri
fi
cad
o
r:6
47
5

1M
u
l
ti
pli
car
cad
ad
íg
i
top
or
sup
os
i
ció
ny
su
ma
r
6 4 2 7 5
x
6 x
5x4 x
3 x
2=9
5
3
6+2
0+8+2
1+1
0

2D
i
vid
ir
por
elm
ó
du
l
o 9
5%
11
=8
Re
st
o:7

3E
lc
om p
l
emen
t
o d
elr
est
o c
on
res
pe
ct
o a
lm
ód
ul
oes
eld
í
gi
to
v
er
i
fi
cad
or 1
1-
7=4

4E
ln
úm
er
odí
gi
to-
ver
i
fi
cad
oe
se
nt
onc
es
: 6
4
27
54
Riesgo 2 : Ingreso de Datos
M
E
DI
OSD
E
CO
NT
R
OL

C
o
n
tr
ol
esd
e
lo
t
e

2
0
2
0
M
=
4
0

1
0
2
0
3
0
Riesgos en la entrada de datos
• Falta de controles de edición y
validación (tipos de campos, campos
faltantes, limites y validación)
• Inadecuada codificación.
• Procesamiento de datos duplicados.
• Controles por lote.
Riesgo 3 : Items rechazados / En
suspenso
"
L
osda
t
osr
ec
ha
z
ad
osy
la
s p
a
rt
i
das
ensu
s
pe
ns
o
p
ue
de
n n
o se
ri
den
t
i
fi
cad
a
s,an
al
i
zad
a
s,y
c
or
r
eg
id
as
".

T
ra
ns
a
cc
i
ón
r
ec
ha
z
ad
a
C
o
nt
r
ol
esd
e
l
u
s
ua
r
io B
a
s
ur
a
Riesgo 3 : Items rechazados / En
suspenso
D
a
to
s

I
ngr
es
o
A
c
ep
t
a A
r
chi
vo
M
a
es
t
ro E
d
ic
i
ón/
Val
i
dac
i
ón
d
et
ra
ns.
9
9
99
R
e
ch
a
za
A
rc
hi
vos
r
ec
ha
zad
o
s T
ot
ald
econ
t
r
ol
M
o
vi
mie
nt
os
? I
nfo
r
mes
de
i
nfo
r
mes e
xce
pc
ió
n
dec
on
tr
ol

C
O
NT
RO
LE
SD
EL
US
UA
R
IO
Riesgos en items rechazados
• Inexistencia del aviso del rechazo
• Identificación inadecuada de los datos
rechazados
• No se realiza el seguimiento y
esclarecimiento de items rechazados o
en suspenso.
• Inexistencia de registros especiales
para este tipo de movimientos.
Riesgo 4 : Procesamiento y
Registro de transacciones
 Riesgo 4 : Procesamiento y
Registro de transacciones
M
E
D
I
OSD
E
C
ON
T
RO
L

F
o
r
mu
la
ri
o
s
1
7
3
p
r
e
nu
mer
a
dos
y
r
u
ti
n
asd
e 17
1
c
o
n
tr
o
lde 1
7
0
s
e
c
ue
nc
ia ?
Riesgo 4 : Procesamiento y
Registro de transacciones
Riesgo 4 : Procesamiento y
Registro de transacciones
M
E
D
I
OSD
E
CO
N
T
RO
L

2
0
C
o
n
tr
ol
e
s 2
0
M
=
4
0
d
e
l
ot
e 2
0
1
0
3
0
 Riesgo 4 : Procesamiento y
Registro de transacciones
M
E
D
IO
SD
E
CO
N
TR
O
L

E
n
e
ro
C
on
tr
ol
esd
e
M
a
r
z
o
r
ó
tu
lo
s d
e
Fe
b
r
er
o
a
r
chi
vo
s

M
a
r
z
o ?
 Riesgo 4 : Procesamiento y
Registro de transacciones
M
E
D
IO
SD
E
CO
N
TR
O
L

A
K
?
C
ont
r
ol
esd
e
t
r
an
smi
si
ón D
a
t
os
d
eda
to
s

N
A
KNA
K
 Riesgo 4 : Procesamiento y
Registro de transacciones
M
E
D
I
OSD
E
C
ON
T
RO
L

P
r
oc
ed
i
mi
en
t
os
d
ee
n
ga
nc
he
y
r
e
cu
pe
r
a
ci
ón
Riesgos en el procesamiento
• Duplicación del procesamiento.
• Falta de controles durante el
procesamiento.
• Falta de informes de problemas en
procesamiento.
• Problemas de reprocesamiento.
• Problemas de reenganche de procesos.
• Problemas en la administración de
procesos
Desarrollo Práctico

Caso
Droguería
Conclusiones y Preguntas