Descripción general de los marcos de control de tecnología de la información

Rodrigo Ricardo Publicado el 18 septiembre, 2020 4 minutos y 39 segundos de lectura

Marcos de control de tecnología de la información

Como auditor potencial, es importante comprender los controles de TI. Las organizaciones pueden tener o no los controles adecuados para evitar el acceso no autorizado.

En tecnología de la información, utilizamos los controles como verificación de los procesos. Estos pueden ser físicos (cámaras de seguridad, credenciales, etc.) o lógicos (parte del software). El siguiente ejemplo muestra cómo funciona un control lógico para respaldar un requisito comercial y controlar la separación de funciones.

Sue es programadora y ha desarrollado un programa para su lanzamiento. Sue no puede llevar el programa actualizado a producción; Don debe migrar el código a producción. Pero Don no puede editar el código fuente del programa. Si bien este sistema puede parecer restrictivo, realmente mantiene las cosas bajo control.

Como parte del control lógico, el sistema funcionaría de modo que Sue ni siquiera vea el botón para migrar a producción; en consecuencia, la pantalla de Don no tendría el botón editar código fuente. Este control se define tanto en la estructura física de la organización como en la lógica informática del sistema.

Otros controles lógicos incluirían algunos de los siguientes: herramientas para verificar totales y registrar recuentos de datos; generación de informes de excepción; ediciones en los campos de entrada para asegurar la entrada de datos adecuada; restricciones de acceso a la base de datos; y registro de acceso.

Eche un vistazo al siguiente fragmento de un flujo de proceso. Los cuadros amarillos indican un número de control. Estos estarían en su lugar cada vez que el proceso aterrice en el paso dado.

  Costos fijos: definición, fórmula y ejemplos

Controles en el flujo del proceso

Un marco de control es una agrupación de estos controles: es una descripción general de lo que debería suceder, pero no el detalle de la implementación. Nuestro ejemplo de separación de funciones es solo una parte del conjunto más amplio de controles que estaría presente en la infraestructura de TI de la organización.

Hay dos estándares clave que siguen las organizaciones: COBIT y eSAC. Tenga en cuenta que estas son pautas para su marco; ¡Usted sigue siendo responsable de implementar los controles dentro del marco! No te dicen qué hacer, sino cómo hacerlo.

COBIT

El marco COBIT se utiliza para el gobierno de las implementaciones de TI empresariales. El acrónimo COBIT significa Control Objectives for Information and Related Technology, y la versión más reciente es COBIT 5.

COBIT se enfoca en alinear la estrategia organizacional con la estrategia de TI, con énfasis en el cumplimiento normativo y la gestión de riesgos. La tecnología ha penetrado todos los aspectos de nuestras vidas y nuestras organizaciones. Por eso, el marco de COBIT 5 tiene una visión de organización completa y trabaja para alinear la estrategia comercial y de TI. Independientemente de la organización, parte de esa estrategia es la reducción del riesgo y el cumplimiento de las leyes y regulaciones aplicables.

Principios de COBIT

Hay cinco principios básicos en los que se centra COBIT para reducir el riesgo y alinear el negocio y la TI:

  • Satisfacer las necesidades de las partes interesadas
  • Cubre toda la organización
  • Gestión y gobernanza independientes
  • Utilice un enfoque holístico de TI / negocios
  • Un marco integrado

Siempre que implemente un marco de control, habrá resistencia. Los líderes se quejarán de que la tecnología decida cosas para su negocio, y los líderes de TI se quejarán de controles adicionales y ralentizaciones de los sistemas. Sin embargo, un marco de control, como COBIT, es un medio para proteger la organización. El objetivo final es satisfacer las necesidades de las partes interesadas, y una violación de datos o el incumplimiento de algunas leyes pueden afectar enormemente a este objetivo.

  División celular: avances médicos y tecnología

También se ha desarrollado un marco más nuevo llamado eSAC.

eSAC

El modelo eSAC se creó para abordar el entorno empresarial en constante crecimiento basado en la nube y la web. eSAC son las siglas de Electronic Systems Assurance and Control.

Area de enfoqueDescripción
DisponibilidadTiempo de actividad 24x7x365 para transacciones
CapacidadLas transacciones se completan de manera confiable y a tiempo
FuncionalidadEl sistema cumplirá con las expectativas del usuario y proporcionará las funciones necesarias.
ProteccionControles establecidos (lógicos y físicos) que restringen el acceso no autorizado. Esto se aplica a aplicaciones, datos y servidores.
ResponsabilidadEl procesamiento es preciso y completo

Si bien el enfoque principal de eSAC es el comercio electrónico, no hay razón para que no se pueda aplicar a negocios más tradicionales. Una vez más, el enfoque principal está en la parte interesada / cliente. Las áreas de enfoque sobre todo se filtran a esta área clave de negocios. Las empresas en la nube y las empresas basadas en la web pueden enfrentar mayores riesgos de delitos cibernéticos y piratería, pero cualquier organización con conexión a Internet no es inmune a estos riesgos.

Además, todas las empresas aún deben cumplir con las reglas y regulaciones aplicables. Los datos deben ser precisos, oportunos y verificables.

Resumen de la lección

Un control es un control o freno en un proceso. Puede ser físico o lógico (es decir, parte del proceso / procedimiento o programado en el sistema). Los marcos de control son agrupaciones de controles.

Continua con:

  1. Interceptores: Qué es, Origen, Características y Tipos
  2. Tipos de Tecnología: Desglose y ejemplos
  3. Teoría de la Sociedad de Control (Gilles Deleuze)
  4. Control presupuestario desde la perspectiva tecnológica
  5. Asimetría de Información: Qué es, características y ejemplos
  6. Los Arcoptomáticos: Una Revolución en la Óptica y la Tecnología

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador