Controles de Acceso Logicos y Fisicos

Controles de acceso lógicos y físicos El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Los controles físicos están relacionados con el impedimento físico de usuarios a activos. Estos pueden ser candados y alarmas en accesos exteriores a instalaciones, guardias de seguridad revisando personal sospechoso, equipos de cómputo con sensores para detectar presencia, acciones como remover unidades de disco para evitar el copiado de información, almacenamiento de respaldos en cuartos especiales (a prueba de casi todo) o fuera de las instalaciones por Nombrar. Ejemplos de los controles físicos son: 1. Un password. 2. Un código de acceso. 3. Respuesta a una pregunta. 4. Una fecha de nacimiento. Un dato personal. 5. Con fotografía. 6. Con banda magnético. 7. Con código en banda magnética. 8. Con código electrónico pasivo. 9. Con código electrónico activo. 10. Tarjeta inteligente (“Smart Crad”). 11. Reconocimiento de huella digital (finger prints). 12. Geometría de la mano (Hand Geometry). 13. Dinámica de la firma (Signature Dynamics). 14. Reconocimiento de voz (voice recognition). 15. Scanner de retina. 16. Dinámica de tecleo. 17. Reconocimiento de cara. ¿Qué son controles lógicos? Los controles técnicos implementan los mecanismos de acceso lógico; requieren que los usuarios realicen una identificación y autorización antes. También están relacionados con el cifrado de datos (ya sea en su almacenamiento o transmisión), elementos de telecomunicaciones como firewalls y detectores de intrusos, balanceo de carga y tolerancia a fallas. Un control físico o técnico no puede tener el respaldo legal de existir sin su respectivo control administrativo (nos referimos a la política de seguridad). Si la política en cuestión no existiera la existencia del control está comprometida y sólo...

1. Política de seguridad en auditoria de sistemas La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Definición de Políticas de Seguridad Informática Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el porqué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. Elementos de una Política de Seguridad Informática Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Calidad y seguridad de la información y auditoría informática Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. Definición de violaciones y sanciones por no cumplir con las políticas. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.

2. Procesamiento en línea Implica que los programas se ejecuten de tal forma que los datos se actualicen de inmediato en los archivos de la computadora, a este tipo de procesamiento se le conoce también como tiempo real. Las aplicaciones de tiempo real son indispensables en aquellos casos en que los datos contenidos en los archivos se modifican varias veces en el transcurso de un día y se consultan en forma casi inmediata con las modificaciones que se efectuaron. Un ejemplo breve, supongamos que te inscribes a unos cursos por medio de internet, en donde deberás seleccionar los cursos, los maestros y los horarios que te interesan, cada que introduces algún registro al sistema por medio del portal Web de la escuela [llámese curso, materia u horario] se modifica en tiempo real la base de datos en donde reside esa información. Obviamente puedes ingresar, eliminar o editar registros de acuerdo a tus necesidades, esto se hace en tiempo real y siempre y cuando se tengan los permisos correspondientes. Procesamiento en línea: A diferencia del procesamiento por lotes o batch, el procesamiento en línea implica que los programas se ejecuten de tal forma que los

datos se actualicen de inmediato en los archivos de la computadora, las aplicaciones de tiempo real son indispensables en aquellos casos en que los datos contenidos en los archivos se modifican varias veces en el transcurso de un día y se consultan en forma casi inmediata con las modificaciones que se efectuaron un ejemplo de lo anterior es un sistema de reservaciones en alguna línea aérea o un grupo de transacciones bancarias.

3. Los Efectos de los sistema en línea sobre los controles d auditoria. Controles particulares tanto en la parte física como en la lógica se detallan a continuación Autenticidad Permiten verificar la identidad Passwords, Firmas digitales Exactitud Aseguran la coherencia de los datos Validación de campos, Validación de excesos Totalidad Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio Conteo de registros, Cifras de control Redundancia Evitan la duplicidad de datos Cancelación de lotes, Verificación de secuencias Privacidad Aseguran la protección de los datos Compactación, Encriptación Existencia

Aseguran la disponibilidad de los datos Bitácora de estados, Mantenimiento de activos Protección de Activos Destrucción o corrupción de información o del hardware Extintores, Passwords Efectividad Aseguran el logro de los objetivos Encuestas de satisfacción, Medición de niveles de servicio Eficiencia Aseguran el uso óptimo de los recursos Programas monitores, Análisis costo-beneficio

4. Beneficios de la integración de controles en los sistemas en línea Los sistemas de información son en la actualidad una herramienta que bien implementada se convierte en un arma competitiva en los negocios, así como las empresas buscan diferenciarse de su competencia, los sistemas de información (SI) son una manera de hacerlo. En nuestros días es importantísimo que las empresas integren este tipo de tecnología a través de plataformas que con un solo movimiento repercuten en otros departamentos de la empresa. Así por ejemplo una orden de producción implica la orden de compra de materiales al proveedor, descontar de los materiales disponibles el inventario, generar información de costos, generar una cuenta por pagar y finalmente descontar el flujo del efectivo cuando esta orden de materiales sea pagada en el futuro, todo esto integrado en una infraestructura que pueda ser utilizado por varios usuarios simultáneamente; haciendo consultas, capturas y finalmente arrojando reportes para la toma de decisiones. En la actualidad toda organización exitosa se ha concientizado de la importancia del manejo de las tecnologías de información (TI) como elemento que brinda ventajas comparativas con respecto a la competencia. Es importante tener en cuenta que un sistema de información necesita justificar su implementación desde el punto de vista - costo / beneficio -, partiendo de la concepción del valor que se

le otorgue a la información dentro de una organización. Los beneficios se pueden medir a nivel intangible y tangible de acuerdo a la organización, pues es diferente hacer el análisis desde el punto de vista de una empresa comercial a una de tipo académico que pretende prestar un servicio social como lo es la salud o educación pública. Beneficios en la implementación de Sistemas de Información (SI) 

Los beneficios que se pueden obtener usando sistemas de información son los siguientes:



Acceso rápido a la información y por ende mejora en la atención a los usuarios.



Mayor motivación en los mandos medios para anticipar los requerimientos de las directivas.



Generación de informes e indicadores, que permiten corregir fallas difíciles de detectar y controlar con un sistema manual.



Posibilidad de planear y generar proyectos institucionales soportados en sistemas de información que presentan elementos claros y sustentados.



Evitar pérdida de tiempo recopilando información que ya está almacenada en bases de datos que se pueden compartir.



Impulso a la creación de grupos de trabajo e investigación debido a la facilidad para encontrar y manipular la información.



Soluciona el problema de falta de comunicación entre las diferentes instancias. A nivel directivo se hace más efectiva la comunicación



Organización en el manejo de archivos e información clasificada por temas de interés general y particular.



Generación de nuevas dinámicas, utilizando medios informáticos como el correo electrónico, teleconferencia, acceso directo a bases de datos y redes



Acceso a programas y convenios e intercambios institucionales



Aumento de la productividad gracias a la liberación de tiempos en búsqueda y generación de información repetida.

Ventajas de la implementación de SI y TI en las organizaciones



Integran la administración de la empresa, las finanzas, la administración de las tesorerías, los recursos humanos entre otras.



Es posible analizar la cadena de valor ya sea de un producto o un servicio para identificar que actividades no están generando valor, poder eliminarlas y disminuir los costos.



Integran nuevas tecnologías y herramientas de vanguardia que aprovecha las funciones del Internet y comunicaciones con costo realmente bajo.



Puede proporcionar ventajas competitivas, si es que la competencia no cuenta con esta tecnología.



La información está disponible para todos los usuarios en tiempo real.



También ayuda a la disminución de los costos en mermas, el control de los inventarios aunque sean distintos tipos de líneas de productos, la relación y facilidad de la ordenes de compra y pago.



Vence la barrera de la distancia ya que se puede trabajar con un mismo sistema en puntos distantes.



Ayudan a incrementar la efectividad en la operación de las empresas.

La implementación de un Sistemas de Información representa el primer paso a la integración de la Cadena de Valor, ya que integra la parte interna-administrativa de los negocios, para mejorar los procesos internos, generando ganancias tangibles e intangibles, tal como lo muestra la figura Muchas compañías que deciden crecer ven como atractivo las ventajas de utilizar “algo de la otra compañía”, por ejemplo la manera de administrar, la experiencia de mercado, el uso de la información que ellas mismas generan y por este motivo es muy importante tener un equipo de expertos en la administración del cambio de plataforma de sistemas de información para poder implementar la congruencia de dicha tecnología y se logre el éxito. Ejemplos de implementación de SI Kodak con más de un siglo, me di cuenta que Fourth Shift ®[2] , le brindo la solución a sus problemas de comunicación e integración de sistemas como las bases de datos, la conexión y comunicación entre departamentos y grupos de trabajo. Burger King, se anuncio en Junio 25 de 2002 que se utilizaría el sitio mySAP.com como plataforma para integrar su tecnología de información de esta manera incrementar la efectividad de sus operaciones de negocio. American Airlanes, aplicando la Tecnología de Información mediante el sistema SABRE para apoyar el negocio, (transportar pasajeros al vender asientos en los vuelos"), comenzó a cambiar los paradigmas de este negocio. La información acerca de los itinerarios y vuelos era puesta a disposición, en línea, para los agentes de viajes y, además, de manera dinámica los precios de los vuelos variaban según la demanda que registrasen. Obviamente, los tiempos de respuestas para los agentes de viajes eran mucho

mejores y las preferencias de los viajeros reflejaron el éxito de este sistema estratégico para lograr un mejor posicionamiento en el mercado.

5 . Diseño de controles internos en los sistemas en linea El diseño de un adecuado SCI implica no sólo un dominio técnico sobre la materia, sino también un conocimiento del medio específico en el cual se va a aplicar. Teniendo en cuenta que el SCI no es un objetivo en si mismo, un criterio fundamental, al momento de concebir e implantar tales sistemas, es considerar constantemente la relación costo-beneficio. En particular, el costo de cada componente del SCI se debe contrastar con el beneficio general, los riesgos que reduce al mínimo y el impacto que tiene en el cumplimiento de las metas de la organización. El reto es encontrar el justo equilibrio en el diseño del SCI, pues un excesivo control puede ser costoso y contraproducente. Organización de la función del control interno. La existencia de una oficina especializada en el área de control interno, resulta conveniente con el fin de que lidere el proceso de diseño e implantación del sistema. Plan de desarrollo de la función de control interno. La institucionalización de la función de control interno es todo un proceso, por esta razón es importante que su desarrollo obedezca a una plan, el cual debe ser un producto concertado entra la oficina de control interno y las directivas de la organización. Dicho plan debe contemplar los siguientes elementos básicos: • Definición de la misión del SCI. • Definición del alcance de las funciones de la oficina de control interno en el área de control de gestión. • División de trabajo entra la línea de la organización y la oficina de control interno en el desarrollo de las actividades de control. • Definición y cronograma de desarrollo de las herramientas computacionales y de otra naturaleza que servirán de apoyo en el ejercicio del control interno. • Cronograma de formalización, documentación e implantación de los procesos y procedimientos críticos. • Cronograma para la elaboración y expedición de loa manuales de control interno.

• Cronograma de formalización, documentación e implantación de los demás procesos y procedimientos de la organización. Plan de trabajo para la formalización y documentación de los demás procesos y procedimientos. No todos los procesos y procedimientos deben estar formalizados y documentados antes de montar el sistema. Éste es un proceso que al principio puede resultar lento, pero que se irá agilizando a medid que las distintas áreas de la organización comprendan su importancia y comiencen a percibir los beneficios. Por esta razón, lo prioritario es iniciar la actividad con los procesos y procedimientos que se consideren críticos para la entidad, es decir, aquellos que puedan afectar de manera significativa la marcha de la organización y sus resultados. El levantamiento de la información de estos procesos y procedimientos debe ser una responsabilidad de las áreas, bajo la premisa de que ellas son las que poseen la información y las que, una vez operando el sistema, van a recibir los mayores beneficios. Mecanismos e instrumentos de control interno. Los mecanismos e instrumentos de control interno son variables, dependiendo no sólo de la naturaleza de la organización, sino de las características del área en la que se apliquen. El diseño de los mecanismos e instrumentos debe ser una actividad compartida entre los empleados responsables y la oficina de control interno, con el fin de lograr un compromiso entra la seguridad y la eficiencia. Mecanismos e instrumentos de reporte y seguimiento. Los mecanismos e instrumentos de seguimiento y reporte varían según la naturaleza de la organización y de las áreas, para que sean útiles , el seguimiento y el reporte deben tener un período inferior al que se han definido para la obtención de resultados en el proceso objeto de control. Manuales o guías de control interno. Los manuales de control interno son piezas dentro del sistema. Su elaboración debe ser una de las actividades centrales de la oficina de control interno y deben estar explícitamente contemplado dentro del plan de desarrollo de la función de control interno. Con el fin de facilitar el proceso de actualización de estos manuales, es recomendable adoptar el sistema de hojas intercambiables. Las actualizaciones deben producir cada vez que la oficina de control interno, de

común acuerdo con los empleados responsables, llegue a la conclusión de que el proceso o procedimiento, o que el mecanismo o instrumento de control utilizado se deben modificar. Una vez elaborados, los manuales de control interno constituyen el elemento primordial del proceso de capacitación de los empleados responsables.

6. Seguridad en el área del control de transmisión de datos Dado que vamos a estudiar las LAN, es conveniente dar una definición de la misma que podría ser: “Un sistema de transmisión de datos que permite compartir recursos e información por medio de ordenadores, o redes de ordenadores”. Una definición más completa y actual de Red local sería: Un sistema de comunicaciones capaz de facilitar el intercambio de datos informáticos, voz, facsímil, vídeo conferencias, difusión de vídeo, telemetría y cualquier otra forma de comunicación electrónica. Existe no obstante una definición oficial, la del Comité IEEE 802, quien define una Red local de la siguiente manera: Una Red local es un sistema de comunicaciones que permite que un número de dispositivos independientes se comuniquen entre si. Una Red local, como su nombre indica, debe ser local en cuanto al ámbito geográfico, aunque local puede significar cualquier cosa, desde una oficina o un edificio de ocho plantas, hasta un complejo industrial con docenas de edificios con muchos pisos. El término de red local incluye tanto el software con el hardware necesario para la conexión, gestión y mantenimiento de los dispositivos y para el tratamiento de la información.

Las principales características de las LAN se podrían resumir en las siguientes: 

Entornos de pocos Km. (normalmente no suele superar los 3.000 metros )



Uso de un medio de comunicación privado.



Altas velocidades de transmisión (entre 1 y 5 millones de bits por segundo).



La simplicidad del medio de transmisión que utiliza (cable coaxial, cables telefónicos y fibra óptica).



La facilidad con que se pueden efectuar cambios en el hardware y el software.



Gran variedad y número de dispositivos conectados.



Posibilidad de conexión con otras redes.



La facilidad de uso.

Ventajas de las redes locales Las razones más usuales para instalar una red de ordenadores son las que se listan a continuación. 

Compartición de programas y archivos.



Compartición de los recursos de la red.



Expansión de económica de una base de PC.



Posibilidad de utilizar software de red.



Correo electrónico.



Gestión centralizada.



Seguridad.



Acceso a otros sistemas operativos.



Mejoras en la organización de la empresa.