domingo, 11 de abril de 2010

CONTROL DEL SISTEMA DE INFORMACIÓN

CONCEPTO
El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.

La calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios.
El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.

El sistema de información debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades del organismo, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros.
Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados.

CONTROLES
• Para minimizar los errores, desastres, delitos por computadoras y fallas de seguridad, es necesario incorporar políticas y procedimientos especiales en el diseño, implementación e implantación de los Sistemas de Información.
• Los controles consisten en todos los métodos, políticas y procedimientos para asegurar la protección de los activos de la institución, la precisión y la confiabilidad de sus registros. El control debe ser parte integral del diseño.
• Los controles pueden ser de dos tipos:
–Generales.
–De aplicaciones.

CONTROLES GENERALES
Son aplicables a todos los sistemas de la organización y consisten en una combinación de software y procedimientos.

• DE IMPLANTACION. Son puntos formales de revisión de las diferentes etapas del desarrollo del Software.

• DEL SOFTWARE. Evitan el acceso al Software. Están diseñados para evitar cambios no autorizados de los programas y de los datos.

• DE HARDWARE. Deben asegurarse físicamente de forma tal que sólo tengan acceso a ellos las personas autorizadas. También contemplan aquellas aplicaciones que verifican posibles fallas de Hardware.

• DE OPERACIONES DE CÓMPUTO. También conocidas como auditorías. Aseguran que los procedimientos programados sean consistentes y estén siendo aplicados correctamente en su procesamiento y almacenamiento.

• EN LOS DATOS. Que los datos que están en cintas o discos no estén al alcance de personas no autorizadas.

• ADMINISTRATIVOS. Son normas, reglas, procedimientos y disciplinas formales para garantizar que los controles de la institución se ejecuten.

CONTROLES DE APLICACIONES

Son específicos para cada aplicación de computador (p.e., nómina, cuentas por cobrar). Consisten en controles aplicados a los tipos de usuarios particulares de un sistema y a la programación de los procedimientos.

• DE ENTRADAS. Procedimientos para chequear la exactitud y completitud de los datos cuando son introducidos en el sistema.

• DE PROCESAMIENTO. Rutinas para garantizar que los datos se mantienen completos y exactos durante una actualización.

• DE SALIDAS. Medidas que aseguren que los resultados de los procesamientos hechos por el computador sean exactos, completos y distribuidos apropiadamente.

EJEMPLOS DE MEDIDAS DE SEGURIDAD


1. Control de acceso a los recursos de la red
Implementaci�n de controles en las estaciones de trabajo que permiten la gesti�n de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.

2. Proteccion contra virus
Implementaci�n de un software que prevenga y detecte software maliciosos, como virus, troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la p�rdida de informaci�n.

3. Seguridad para equipos portátiles

Implantaci�n de aplicaciones y dispositivos para la prevenci�n contra accesos indebidos y el robo de información.

4. ICP � Infraestructura de llaves pùblicas
Consiste en emplear servicios, protocolos y aplicaciones para la gesti�n de claves p�blicas, que suministren servicios de criptograf�a y firma digital.

5. Detección y control de invasiones
Implantaci�n de una herramienta que analice el tr�nsito de la red en busca de posibles ataques, para permitir dar respuestas en tiempo real, y reducir as� los riesgos de invasiones en el ambiente.

6. Firewall
Sistema que controla el tr�nsito entre dos o m�s redes, permite el aislamiento de diferentes per�metros de seguridad, como por ejemplo, la red Interna e Internet.

7. VPN � Virtual private network
Torna factible la comunicaci�n segura y de bajo costo. Utiliza una red p�blica, como Internet, para enlazar dos o m�s puntos, y permite el intercambio de informaci�n empleando criptograf�a.

8. Acceso remoto seguro
Torna posible el acceso remoto a los recursos de la red al emplear una red p�blica, como por ejemplo, Internet.

9. Seguridad en correo electr�nico
Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese medio.

10. Seguridad para las aplicaciones
Implementaci�n de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, adem�s del an�lisis de las vulnerabilidades de la aplicaci�n, al suministrar una serie de recomendaciones y est�ndares de seguridad.

11. Monitoreo y gesti�n de la seguridad
Implementaci�n de sistemas y procesos para la gesti�n de los eventos de seguridad en el ambiente tecnol�gico, haciendo posible un control mayor del ambiente, para dar prioridad a las acciones e inversiones.

12. Seguridad en comunicaci�n M�vil
Acceso a Internet para usuarios de aparatos m�viles como tel�fonos celulares y PDA�s, para permitir transacciones e intercambiar informaci�n con seguridad v�a Internet.
13. Seguridad para servidores
Configuraci�n de seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles.

14. Firewall interno
Este firewall funciona al aislar el acceso a la red de servidores cr�ticos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misi�n cr�tica.