El control interno en TI tiene dos grandes componentes: a) Controles Generales de TI (ITGC) y b) Controles Específicos ó Controles de Aplicaciones de Computador de Negocios y soporte administrativo.

Los Controles Generales de TI (ITGC) ó controles en la infraestructura de TI se definen como el conjunto de políticas y procedimientos establecidos por el área de TI de la empresa para asegurar continuamente la confidencialidad, la integridad y la disponibilidad de sus recursos, servicios y datos de TI.

La Gerencia de TI de la Empresa debe proveer procesos de soporte y prestación de servicios, desarrollo de sistemas y la infraestructura de TI, como servicio común para toda la empresa (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles aplicados a todas estas actividades de servicio de TI se conocen como controles generales de TI. La operación formal de estos controles generales es necesaria para asegurar la confiabilidad a los controles internos que se implantan en las aplicaciones de computador (o sistemas ERPs). Por ejemplo, una deficiente administración de cambios en el área de TI podría poner en riesgo (por accidente o de forma deliberada) la confiabilidad de las verificaciones automáticas de integridad de la información.

Las Aplicaciones de Computador son programas de computador desarrollados en la empresa (in house) o adquiridos a terceros, con las cuales se procesa la información de las operaciones del CORE DEL NEGOCIO y de soporte administrativo de las empresas. Por ejemplo: facturación, nómina, cartera, ventas, cuentas por pagar, compras, activos fijos, inventarios, comisiones, mantenimiento de vehículos, historias clínicas, laboratorio clínico, producción, etc.

Los controles internos en las aplicaciones de computador se conocen con el nombre de controles de aplicación o Controles Específicos y se refieren a aquellos controles que regulan el ingreso (entrada), procesamiento y salidas de los datos en las actividades automatizadas de los procesos del modelo de operación de la empresa. Ejemplos: dígito de autoverificación, test de validez de códigos, verificación visual, test para datos numéricos, test de datos obligatorios, perfiles autorización, autenticación de usuarios, edición de imágenes antes y después de cambios procesados, entre otros. Todos estos controles ayudan a asegurar integridad, consistencia, precisión, validez, autorización, edición, segregación automática de funciones incompatibles. El diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, con base en los requerimientos de negocio definidos, usando los criterios que deben ser satisfechos por la información de negocios (eficacia, eficiencia, integridad, confidencialidad, disponibilidad, confiabilidad y cumplimiento de las normas legales y regulatorias). La responsabilidad operacional de administrar y operar los controles de aplicación no es de TI, sino de los propietarios o responsables de los procesos de negocio.

La Seguridad de la Información.

La norma ISO/IEC 27001:2022, Seguridad de la información, ciberseguridad y protección de la privacidad”, especifica los requisitos para establecer, implementar, mantener, monitorear y mejorar continuamente un SGSI (Sistema de Gestión de Seguridad de la Información).

La seguridad de la información, que suele abreviarse como InfoSec, es un conjunto de procedimientos y herramientas de seguridad que protegen ampliamente la información confidencial de la empresa frente al uso indebido, acceso no autorizado, interrupción o destrucción. InfoSec comprende la seguridad física y del entorno, el control de acceso y la ciberseguridad. Suele incluir tecnologías como agente de seguridad de acceso a la nube (CASB), herramientas de engaño, detección y respuesta en el punto de conexión (EDR) y pruebas de seguridad para DevOps (DevSecOps), entre otras.

Los tres pilares ó tríada CIA de la seguridad de la información, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD conforman las piedras angulares de una protección de la información sólida, que crean la base de la infraestructura de seguridad de la empresa. La tríada CIA ofrece estos tres conceptos como principios guía a la hora de implementar un plan InfoSec.

Confidencialidad

La privacidad es uno de los componentes principales de InfoSec. Las organizaciones deben tomar medidas que permitan únicamente el acceso de usuarios autorizados a la información. El cifrado de datos, la autenticación multifactor y la prevención de pérdida de datos son algunas de las herramientas que pueden emplear las empresas para ayudar a garantizar la confidencialidad de los datos.

Integridad

Las empresas deben mantener la integridad de los datos a lo largo de todo su ciclo de vida. Las empresas con un sistema de InfoSec bien establecido reconocen la importancia de que los datos sean precisos y fiables y no permiten que los usuarios no autorizados accedan a ellos, los alteren o interfieran de cualquier otro modo en ellos. Las herramientas como los permisos de archivos, la administración de identidades y los controles de acceso de usuario ayudan a garantizar la integridad de datos.

Disponibilidad

InfoSec implica un mantenimiento continuo del hardware físico y la actualización habitual del sistema para garantizar que los usuarios autorizados disponen de acceso fiable y coherente a los datos que necesiten.

La Ciberseguridad

La ciberseguridad es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales ó ciberamenazas. Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa. Utilizan medidas y herramientas de ciberseguridad para proteger los datos confidenciales del acceso no autorizado, así como para evitar interrupciones en las operaciones empresariales debido a una actividad de red no deseada. Las organizaciones implementan la ciberseguridad al optimizar la defensa digital entre las personas, los procesos y las tecnologías.

La ISO/IEC 27032:2023 es un estándar internacional que se enfoca en la ciberseguridad y la protección de la información en un mundo cada vez más conectado. Proporciona directrices para garantizar la seguridad de la información en redes y sistemas de información. Esta norma se aplica a organizaciones de todos los sectores y ayuda a gestionar los riesgos asociados con las amenazas cibernéticas.

La ISO/IEC 27032:2023 no solo es una herramienta esencial para fortalecer la ciberseguridad de una organización, sino que también ofrece una serie de beneficios tangibles y estratégicos. Desde una mayor resiliencia ante amenazas hasta la mejora de la imagen de la empresa y el cumplimiento de regulaciones, esta norma desempeña un papel fundamental en la protección de la información y los activos digitales, al tiempo que contribuye al éxito a largo plazo de la organización en un entorno empresarial cada vez más digital y conectado.

Actualmente, la implementación de medidas de seguridad digital se debe a que hay más dispositivos conectados que personas, y los atacantes son cada vez más creativos.

Servicios Profesionales de Control Interno, Seguridad de la Informacion y Ciberseguridad ofertados por AUDISIS:

• 1) Implantar Políticas, Normas y Procedimientos de Control Interno en Tecnología de Información (TI).
• 2) Acompañamiento para Implantar los Sistemas de Gestión de Seguridad de la Información (SGSI) basada en la Norma ISO 27001 y de Ciberseguridad (ISO 27032).
• 3) Realización de Pruebas de Vulnerabilidad / Ethical Hacking.
• 4) Acompañamiento para Elaborar e Implantar el Plan de Continuidad del Negocio - BCP – basado en la norma ISO 22301.
• 5) Acompañamiento para Diseñar e Implantar programas de prevención y detección de fraudes (programa antifraude) y anticorrupción a la medida de las organizaciones.
• 6) Acompañamiento para Diseñar e implantar Controles en procesos de la infraestructura de Tecnología de Información y nuevas aplicaciones de computador, basado en identificación y análisis de riesgos inherentes críticos.
• 7) Formación y Entrenamiento en Control Interno y Seguridad de TIC.

Ver mas Servicios