CAPITULO 9: Riesgos Y Perjuicios

...

Generalmente en la primera línea de reporte al CEO hay una dirección corporativa de Sistemas de Información que se encargaría de fijar la estrategia y los lineamientos generales de acción, realizar las contrataciones de infraestructura y servicios comunes a toda la empresa.

Este tipo de estructura es muy ágil, ya que asignan las tareas y responsabilidades de operación a cada Unidad de Negocio (que son los distintos usuarios de la información que produce), aunque se corre el riesgo de que cada Unidad de Negocio mantenga una política autónoma y no coordinada en relación con otras de la organización, y su gestión en si resulte dispersa o contrapuesta.

- Híbridas: son las configuraciones resultantes de la conjugación particular de características propias de los tipos básicos (y puros) que son la organización centralizada y la organización descentralizada.

CONTROLES GENERALES

- Distintos tipos de controles:

- controles generales organizativos: separación de funciones, estructura organizativa, manual de organización de sistemas.

- Seguridad física y lógica: protección física de hardware, software, y dispositivos para telecomunicaciones, controles de acceso físico al recinto, servicios de apoyo y seguridad, controles de acceso lógicos, ataques internos y externos, prevención de incendios, fallas en el software, hardware, desastres, perdidas de mensajes, etc.

- Documentación: de los sistemas, carpetas detalladas, conteniendo objetivos, diseños globales y detallados, descripción de salidas y entradas, etc.

- Controles de biblioteca: resguardo de archivos de datos y programas, y administración de versiones.

- Continuidad de procesamiento: procesamiento de recuperación, planes de contingencia, prueba de efectividad, mantenimiento preventivo de instalaciones. Convenios de back up de equipos o servicios, renuncia de personal clave, planes de contingencias.

- Servicios Cross: son funciones que cruzan los distintos tipos de controles, ya que prestan servicios, como:

- administración de contratos.

- Administración de versiones:

- O controles sobre el software, sobre licencias adquiridas, o sobre las modificaciones del software del sistema.

- O controles sobre las aplicaciones, sobre modificaciones del software de aplicación y su autorización, autorización para ejecutar aplicaciones, utilización de archivos correctos, supervisión del personal de operación.

Controles generales organizativos

Son aquellos referidos a la estructura organizativa del área, a las funciones y responsabilidades de cada posición y a la distribución de tareas.

La separación de funciones, se materializan a través de un conjunto de recomendaciones que intentan separar las tareas en dos grandes grupos:

- procesamiento y emisión de documentos fuente: sector de operaciones o los usuarios que operen los sistemas.

- Diseño, construcción, y mantenimiento del sistema: sector de análisis y programación.

Las que cobran cuerpo a través de la observación de las recomendaciones que se enuncian a continuación:

- El acceso a los documentos fuentes debe quedar restringido únicamente al personal autorizado a utilizar esa información;

- El personal que procesa datos no debe generar ni aprobar transacciones, bajo ningún concepto;

- El personal que procesa datos no debe realizar modificaciones a programas y/o archivos;

- El personal que procesa datos debe tener vedado el acceso a los programas fuente y a la documentación de los sistemas;

- El acceso físico a la sala en que se encuentre instalado el computador debe quedar limitado exclusivamente a aquellas personas que trabajan en ella.

- Las funciones y responsabilidades de bibliotecas deben quedar claramente asignadas y definidas, debiendo nombrar un encargado de dicha función.

Separación de funciones E.D.P

[pic 1]

Análisis programación y mantenimiento[pic 2]

USUARIOS[pic 3]

“no” operan el sistema

“NO” conocen los programas fuente, ni tienen acceso a ellos.

Seguridad Física y Lógica:

La función de seguridad apunta a resguardar datos, equipos y software, y mantener las condiciones de confiabilidad e integridad vigente en materia de acceso a la información.

Para ello tomar una variada serie de medidas preventivas con el objeto de evitar que hechos como: incendios; inundaciones; terremotos u otros sucesos de la naturaleza, accesos no autorizados de personas; fallas en el hardware o en software; problemas con servicios auxiliares; contingencias de variada naturaleza,

Produzcan daños sobre los activos informáticos de la empresa, o perdida de la confiabilidad de la información.

Las funciones de seguridad son ejercidas a través de la puesta en práctica de recomendaciones, algunas de las cuales se indican a continuación:

- Claves de acceso/ contraseñas;

- Debe mantenerse un control estricto sobre las contraseñas;

- Acceso al computador por parte de los distintos usuarios;

- La revisión periódica de los registros de utilización producidos por el propio computador (history file);

- El responsable de la función de Seguridad deberá revisar y evaluar todas las entradas registradas en el informe de ;

- Generación de Back Up: son copias de seguridad y respaldo, aunque también es relevante el resguardo en condiciones de seguridad fuera del edificio donde opera el computador;

- No deben realizarse cambios en los programas componentes de cualquier aplicación si estos no se encuentran aprobados previamente por el responsables