Controles Generales de Tecnología de la Información (ITGC)
Los Controles Generales de Tecnología de la Información (ITGC, por sus siglas en inglés) son controles críticos que respaldan la confiabilidad de los sistemas y la información dentro de una organización. Normalmente abarcan una serie de políticas y procedimientos que garantizan el funcionamiento eficaz y seguro de los sistemas de TI de una organización y protegen la integridad de los datos.
Solicite una demostración de los Marcos Personalizados de SecureframeDefinición y propósito
El objetivo principal de los ITGC es asegurar el desarrollo e implementación adecuados de aplicaciones, así como la integridad de los archivos de programas y datos y las operaciones informáticas. Los ITGC normalmente se categorizan en varias áreas como gestión de cambios, controles de acceso, respaldo y recuperación, y seguridad de la red. Son fundamentales para lograr objetivos financieros, operativos y de cumplimiento.
Órgano Rector
Aunque los ITGC no están gobernados por un único organismo, a menudo se alinean con estándares y marcos establecidos por organizaciones como la Organización Internacional de Normalización (ISO), la Asociación de Auditoría y Control de Sistemas de Información (ISACA), y se alinean con regulaciones como la Ley Sarbanes-Oxley (SOX).
Última actualización
Las prácticas y requisitos de ITGC evolucionan continuamente debido a cambios en la tecnología y los entornos regulatorios.
Aplicable a
Los ITGC se aplican a todas las organizaciones que utilizan sistemas de información para apoyar sus procesos comerciales. Esto incluye una amplia gama de industrias como finanzas, atención médica, manufactura y tecnología. Son especialmente críticos para las empresas que cotizan en bolsa debido a los requisitos reglamentarios.
Controles y requisitos
Las áreas típicas de ITGC y sus controles asociados incluyen:
- Controles de Gestión de Cambios: Asegurar que los cambios en los sistemas y aplicaciones estén autorizados, probados, aprobados e implementados adecuadamente.
- Controles de Acceso: Restricciones sobre quién puede ver y alterar datos específicos o configuraciones del sistema.
- Controles de Seguridad de Red y Sistemas: Medidas para proteger contra el acceso no autorizado a sistemas y datos.
- Controles de Respaldo y Recuperación: Garantizar que los datos se respalden regularmente y puedan restaurarse en caso de pérdida o daño.
- Controles de Procesamiento de Datos: Asegurar que las operaciones de procesamiento de datos sean precisas, completas y autorizadas.
- Controles de Seguridad Física: Proteger los activos físicos de TI y la infraestructura.
Tipo de auditoría, frecuencia y duración
Las auditorías de ITGC normalmente se realizan internamente o por auditores externos, enfocándose en el cumplimiento de políticas internas y regulaciones externas. Se recomiendan auditorías regulares, a menudo anuales, especialmente para organizaciones sujetas a regulaciones como SOX.
La duración de una auditoría ITGC depende del tamaño de la organización, la complejidad de su entorno de TI y el alcance de la auditoría.