Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.
Los Controles Generales de TI se podrían definir como el conjunto de Políticas y procedimientos auditables establecidos por una empresa para ayudar a garantizar la confidencialidad, la integridad y la disponibilidad de sus sistemas y datos de TI.
Los ITGC incluyen controles sobre la tecnología de la información del ambiente (TI), los cambios de programas, desarrollo de programas, el acceso a los programas y datos y las operaciones de computadora. A continuación, se explica de manera general, el objetivo de revisión de cada uno de estos dominios:
Los cambios a programas involucran la especificación y autorización, la construcción, Testing, implementación, documentación y testing, segregación de funciones y reporte de integridad. El objetivo principal de estos es «Asegurar que los cambios a los programas y los componentes de infraestructura relacionados se soliciten, autoricen, realicen, prueben e implementen para lograr los objetivos de control de las aplicaciones de negocio. Lo que significa que los cambios en los sistemas y los datos no afectan adversamente su integridad, disponibilidad o confidencialidad.
El objetivo principal del desarrollo de los sistemas es asegurar que los sistemas se desarrollen, configuren e implementen para lograr los objetivos de control de las aplicaciones de negocio». Lo que significa, que los sistemas que se desarrollan en realidad funcionan como se requiere. El desarrollo de los sistemas involucra: iniciación, análisis y diseño, construcción, testing, conversión de datos, implementación, documentación y capacitación y segregación de funciones.
El accesos a programas y datos involucra la administración de seguridad de las aplicaciones, administración de seguridad del sistema operativo, administración de seguridad de red / conexión, seguridad lógica de la aplicación, sistema operativo de seguridad lógica, seguridad lógica de red, administración de base da datos, acceso directo a datos a través de App / Network / OS / Útil, cuentas claves de red, cuentas a través del sistema operativo, cuentas de aplicaciones claves y la seguridad física. Todos estos factores intervienen para garantizar que solo se otorgue acceso autorizado a los programas y a los datos tras la autenticación de la identidad de un usuario.
Las operaciones computarizadas involucran el procesamiento por lotes, el procesamiento de interfaz, el monitoreo del procesamiento de la computadora, backups y operaciones del centro de cómputos. «Para garantizar que los sistemas de producción se procesen de manera completa y precisa de acuerdo con los objetivos de control de la administración, y que los problemas de procesamiento se identifiquen y resuelvan por completo y con precisión para mantener la integridad de los datos financieros. Lo que significa que los sistemas procesan los datos según lo previsto, y cuando no lo hacen, esto se identifica y se corrige.
Aquí se presenta un resumen de los controles generales de TI:
