Seguridad en sistemas computarizados: enfoque introductorio

Seguridad en sistemas contables computarizados: enfoque introductorio

1. Introducción
2. Concepto de seguridad
3. La importancia de la seguridad de los sistemas contables informáticos
4. Objetivo de la seguridad de los sistemas contables informáticos
5. Evaluación de la seguridad de los sistemas informáticos
6. Conclusión

1. Introducción

El concepto de seguridad de los sistemas informáticos estará presente a lo largo de todo el trabajo. La importancia de la seguridad de la información es un elemento de significante y creciente preocupación en las organizaciones modernas y constituye un activo altamente apreciable que puede hacer la diferencia entre el éxito y el fracaso de una organización. A continuación se describirán algunos conceptos referentes al tema enfocado desde la perspectiva contable-administrativa. Las
secciones que contiene el trabajo se enumeran a continuación.
2- Concepto de Seguridad
3- La importancia de la seguridad de los sistemas contables informáticos
4- Objetivo de la seguridad de los sistemas contables informáticos
5- Evaluación de la seguridad de los sistemas informáticos
6- Conclusión

2. Concepto de seguridad

La palabra seguridad es normalmente asociada con el concepto de protección, si bien los dos tienen definiciones levemente diferentes, en el marco de este trabajo haremos lo mismo; se utilizará indistintamente las palabras protección y seguridad haciendo referencia a un estado ideal en el que cualquier empresa desearía trabajar.
Definiendo seguridad en el contexto del manejo de información por medios tecnológicos podemos citar la definición dada por la Federación Internacional de Contadores (IFAC por sus siglas en ingles) que fue publicada en su manual Guía de la Información Tecnológica Internacional (1998) que dice: "El concepto de seguridad aplica a todo tipo de información y hace referencia a la protección de valiosos activos y su resguardo contra perdidas y daños". Se debe aclarar que en esta definición la IFAC hace referencia a la información grabada, procesada, almacenada y transmitida por medios electrónicos como "valiosos activos" haciendo hincapié en la importancia que representa para el área contable la protección de los datos que manejan. Si bien es una definición aceptable, no es la más completa, es cierto que los datos deben ser protegidos y resguardados, pero ¿de quienes? Estas es la pregunta que se debe hacer para llegar a una definición más completa. Joy y Bank (1992) definieron la seguridad de los sistemas informáticos como sigue: "La habilidad de asegurar el legitimo derecho que tienen las compañías de resguardad las entradas, lecturas y salidas de información de todas aquellas personas que no estén legalmente autorizadas a manipularlas". Si analizamos estas dos definiciones veremos que una se refiere a seguridad informática en sistemas contables computarizados y la otra a sistemas informáticos en general, pero ambas hacer referencia a información, así que son fácilmente combinables. Por tanto podemos hacer una definición que en su conjunto englobe los conceptos básicos de seguridad y contabilidad computarizada.

El concepto de seguridad en los sistemas contables computarizados aplica a todo tipo de información y hace referencia a la protección de valiosos activos y su resguardo contra perdidas, daños y revelaciones hechas por y para personas no autorizadas a su accesos.

3. La importancia de la seguridad de los sistemas contables informáticos

Una vez definido el concepto de seguridad informática dentro del área de la contabilidad computarizada podemos empezara a hablar de su importancia dentro de las organizaciones modernas.
"La seguridad de la información se ha convertido en uno de los temas más importantes en la mayoría de las organizaciones desde que la supervivencia y éxito de las mismas depende, en gran medida, en la confidencialidad, exactitud, integridad y disponibilidad de los datos que manejan. Encuestas recientes muestran que la seguridad de los sistemas informáticos esta ranqueada en los niveles mas altos entre los factores críticos de éxito en la mayoría de las organizaciones." (Abu-Musa, 2002). Organizaciones internacionales han puesto los ojos sobre el tema debido a la importancia que hoy día representa la información en el comercio, no solo local sino global. La Organización para la Cooperación y el Desarrollo Económico (OECD por sus siglas en ingles) en varios estudios que ha realizado confirma el creciente interés que las organizaciones a nivel mundial le están dando al tema del bueno manejo de la información. En febrero de 1992 esta la OECD, a través de su Comité de Información y Comunicación ha aprobado una serie de lineamientos básicos que hacen referencia al los sistemas de información contable computarizada. Estos lineamientos proveen fundamentemos, a partir del cual, los gobiernos y el sector privado de cada país, pueden basarse con el objetos de modelar en conjunto un marco de trabajo enfocado a la seguridad de los sistemas contables computarizados. Marco de trabajo incluye leyes, códigos de conducta, medidas técnicas, prácticas de gerenciamiento y educación pública. Esta guía se basa en siete puntos:

• Creciente utilización y valor de mercado de los sistemas informáticos, que incluyen computadoras, instalaciones de comunicación, redes de computadoras. También incluyen datos e información que debe ser almacenada, procesada, recibida y transmitida a través de los sistemas informáticos que a su vez son controlados por programas, especificaciones y procedimientos, mantenimiento y uso correcto.
• Naturaleza internacional de los sistemas informáticos y su proliferación alrededor del mundo.
• Aumento de la significancia del rol de los sistemas informáticos y la creciente dependencia que el comercio y las economías nacionales e internacionales tienen sobre los mismos.
• Ausencia de reglas apropiadas que resguarden los datos e información procesada por medios computacionales. Estos datos son sensiblemente vulnerables en comparación con los basados en sistemas impresos ya que los documentos escritos están regulados por un vasto conjunto de leyes.
• Falta de conciencia sobre el riesgo que representa la ausencia de controles de seguridad en los sistemas informáticos.
• Las medidas actuales de protección, prácticas, procedimientos e instituciones reguladoras no reúnen los requerimientos de claridad, precisión y uniformidad que es necesario para alcanzar estándares satisfactorios en cuanto al manejo computarizados de la información.
• Falta de coordinación y cooperación entre organismos internacionales con el fin de afrontar la problemática de la seguridad de los sistemas informáticos desde una perspectiva global que no solo abarque el área del comercio sino que también las áreas sociales, culturales y políticas.

4. Objetivo de la seguridad de los sistemas contables informáticos

La Federación Internacional de Contadores (IFAC por sus siglas en ingles) ha establecido como el objetivo principal de seguridad informática lo siguiente: "La protección de los intereses que hacen referencia a posesión de la información y a su comunicación de cualquier daño que se genere por la perdida de la disponibilidad, confidencialidad o integridad de la misma." De acuerdo con la Federación Internacional de Contadores, las organizaciones alcanzan los objetivos de seguridad cuando: a- El sistema de información está disponible en momento que se lo necesita (disponibilidad). b- Datos e información es develada solo a aquellas personas que tienen derecho a conocerlos (confidencialidad). c- Datos e información están protegidos contra modificaciones no autorizadas (integridad). "Sin embargo, la prioridad relativa y la significancia de los conceptos de disponibilidad, confidencialidad e integridad varían de acuerdo a los datos que el sistema informático maneja y al contexto del negocio en los que son utilizados." (IFAC, 1998).
A continuación analizaremos los principales componentes de de la Seguridad Física y la Seguridad de Datos como las dos principales áreas del sistema de seguridad informática.

Componentes de la Seguridad Física y la Seguridad de Datos (Figura 1)
La figura 1 representa los principales componentes de la seguridad física y de datos que debe poseer una organización, a continuación hacemos referencia a cada uno de sus elementos.

1. Seguridad Física: La seguridad de los sistemas de información envuelve la protección de la información así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información. También esta involucrada en esta sección la seguridad equipamiento adicional necesario y las personas designadas al manejo de la información.

1. Equipos: El equipamiento de las organizaciones debe estar debidamente protegidos de factores físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los equipos, físicamente no se limitan a solo las computadores y sus periféricos, también lo son calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas de cableado, ruteadores.
2. Personal: La seguridad del personal puede ser enfocada desde dos puntos de vista, la seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen daño a las personas, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados. Ambos puntos de vista deben se considerados al momento de diseñar un sistema de seguridad.

1. Seguridad de datos: Los datos son el corazón de los sistemas informáticos por tanto estos deben ser celosamente cuidados y manejados. Como habíamos vistos en incisos anteriores la protección de la integridad, disponibilidad y confidencialidad de los mismo debe ser el objetivo principal de todo sistema de seguridad informático.

1. Confidencialidad: La confidencialidad de los sistemas informáticos se refiere básicamente a la accesibilidad de la información, se deben establecer niveles de accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la organización y el grado de profundidad al que puede llegar al momento de desplegar la información.
2. Integridad: El concepto de integridad hace referencia a la protección de los datos de modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas podrán hacer modificaciones a los datos almacenados.
3. Disponibilidad: Esta se puede definir como la disposición de información que las personas autorizadas tienen al momento de necesitarlas. Si la información que el personal requiere para realizar un trabajo no se encuentra disponible entonces dicho trabajo no se podrá realizar o por lo menos se retrazara su conclusión.
4. Validez: Un dato es valido cuando este refleja con exactitud, precisión y de forma completa la información que transmite. Este concepto se encuentra estrechamente ligado con el de integridad, si la integridad de un dato es violada entonces así lo será también su validez.
5. Autenticidad: Este concepto hace referencia a la modificación fraudulenta de la información, por ejemplo, una transacción puede ser ingresada dentro de un sistema contable computarizado por una persona no autorizada a hacer, el dato ingresado puede cumplir con el requisito de validez pero no con el de autenticidad ya que no fue ingresado por la persona autorizada.
6. Privacidad: "Normalmente los conceptos de privacidad, confidencialidad y seguridad se confunden. Privacidad hace referencia al concepto particular y personal del uso de la información. Confidencialidad es una clasificación particular del grado de exposición de datos. Seguridad hace referencia al nivel de riesgo en cuanto al uso de información." (Abu-Musa, 2002)
7. Exactitud: Este concepto hace referencia al mantenimiento de una relación legítima entre lo que un dato es y lo que representa. Por ejemplo, un dato que representa monto de préstamos debe representar exactamente el monto prestado, éste no puede ser mayor o menor, deber ser el que represente fielmente la realidad.

5. Evaluación de la seguridad de los sistemas informáticos

Formalmente aun no existe una técnica definida que permita evaluar satisfactoriamente un modelo de sistema de seguridad informático. Muchos de los estudios realizados con respecto a este tema están basados en cuestionarios hechos para medir la percepción de los usuarios con respecto al grado de seguridad de los sistemas informáticos utilizados.

Pero mas allá de la falta de desarrollo de técnicas evaluativas, ésta actividad se debe llevar a cabo si se desea tener, al menos, una idea de que tan seguro o inseguro es un sistema informático. El siguiente grafico se determinara las cuatro principales etapas que hacen a la evaluación de la seguridad de un sistema informático.

Etapas de la evaluación de la seguridad de un sistema informático (Figura 2)
Evaluación de los objetivos: Los puntos principales de la evaluación de los sistemas informáticos deben ser determinados en esta etapa. Es de suma importancia establecer de forma realista que es lo que se está buscando con la implementación de una evaluación del sistema. Si lo que se quiere determinar es si la organización debe o no adquirir un nuevo software de contabilidad todas las siguientes etapas del proceso de evaluación deben estar enfocadas a ese fin.
Evaluación de objetos: En esta etapa lo que se hace es evaluar el sistema informático en su totalidad, tanto software como hardware. Se deben reconocer sus fortalezas y debilidades basándose en los objetivos previamente trazados.
El evaluador: Esta etapa puede ser afrontada de 3 formas. La primera: el trabajo completo de evaluación del sistema puede ser llevado por un auditor interno, la ventaja de esto es que el encargado de la evaluación conoce a profundidad el sistema. La segunda opción consiste en que el trabajo de evaluación lo realice un auditor externo, la ventaja de esto es que el auditor externo evalúa el sistema de forma más objetivo y desde otra perspectiva. Y por ultimo está la opción de que el trabajo sea llevado por ambos, ésta quizás es la opción más indicada ya que se mezcla lo mejor de cada método para llegar a un resultado óptimo.
Fragmentación del Trabajo: Luego se llega a la etapa de fragmentación. El trabajo de evaluación de un sistema informático puede llegar a ser una tarea muy complicada en organizaciones medianas y grandes, por tanto se debe dividir el sistema en fracciones para poder evaluarlas independiente mente y luego en su conjunto, esto hace que el trabajo se simplifique considerablemente.
Conclusiones: Por ultimo se determinan las conclusiones del trabajo y se elabora un dictamen donde se especifica el grado de seguridad del sistema y cuáles son lo pasos recomendados para mejorarlo si es necesario.

6. Conclusión

El manejo adecuado de la información dentro de las organizaciones se ha vuelto uno de los puntos mas discutidos en los últimos años, y sin duda seguirá siendo un tema importante a desarrollar dentro del área de la administración de recursos. El estudio de la seguridad en sistemas informáticos aun está en sus comienzos, conceptos y teorías aun están siendo desarrollados y queda mucho camino por delante para que esta disciplina alcance un nivel maduro. Este trabajo tiene como objeto recopilar algunos principios y conceptos básicos que hacen a la seguridad de los sistemas de información computarizados y enmarcarlos dentro de la disciplina contable ya que ésta últimamente ha sufrido cambios bruscos en cuanto a la recopilación, manejo y almacenamiento de la información contable impulsados principalmente por el desarrollo de la tecnología informática.

7. Bibliografía

• "Computer crimes: How can you protect your computerized accounting information system?" Ahmad A Abu-Musa (Pro Quest). Journal of American Academy of Business, Cambridge (Sep 2002)
• "An assessment of accounting information security" Davis, Charles E. (EBSCO Information Services). CPA Journal; Vol. 66 Issue 3, p28, 7p, 5 charts, 1c (Mar 1997)
• "A study of the nature and security of accounting information systems: The case of Hampton Roads, Virginia" Laurie Henry (Pro Quest). The Mid - Atlantic Journal of Business (Dec 1997)
• "Security of computerized accounting information systems: A theoretical framework" Ahmad A Abu-Musa (Pro Quest). Journal of American Academy of Business, Cambridge (Sep 2002)
  "Security of computerized accounting information systems: An integrated evaluation approach" Ahmad A Abu-Musa (Pro Quest). Journal of American Academy of Business, Cambridge (Sep 2002)
• "The perceived threats to the security of computerized accounting information systems" Ahmad A Abu-Musa (Pro Quest). Journal of American Academy of Business, Cambridge (Sep 2003)
• "Identifying the required knowledge elements for the effective detection, investigation, and prosecution of high technology crime: The perspective of academe" Larry J Myers, Laura B Myers (Pro Quest). Journal of Criminal Justice Education (Fall 2003)
• International Federation of Accountants (IFAC), Information Technology Committee, (1998), International Information Guidelines: Managing Security of Information, Ney York.
• "A practical guide to treasury management security" Joy, Ralph R. and Mellon Bank. Journal of Cash Management (Vol.12, Iss. 2), pp 35 – 40 (1992)
• "Guidelines for the Security of Information Systems" OECD (Organization for Economic Co-operation and Development) The Council of the OECD (November 1992)
• Dorr, Pat "Advanced Accounting Information Systems Accounting Database Systems" http://www2.bus.okstate.edu/acct/dorr/ (Accessed October 10, 2003)

Resumen
Con la llegada de los sistemas computacionales de manejos de datos, la información se ha convertido en uno de los activos mas preciados de las organizaciones. Las computadoras han facilitado la recopilación, ordenamiento, administración y almacenamiento de la información. En estos días, grandes cantidades de documentos pueden ser fácilmente digitalizados y almacenados en espacios pequeñísimos, hasta hace muy poco impensables. Pero la ayuda de las computadoras no solo se limita al manejo de datos, ahora también sirve de soporte para la realización de tareas en las organizaciones; compañías utilizan sistemas computacionales (software – hardware) para la ejecución de tareas de producción, administración y control. Quizás el área administrativa sea una de las mas beneficiadas con estos cambios, en la actualidad casi no existe tarea alguna en este campo que no requiera el uso de sistemas computacionales para su realización. El mas claro ejemplo de esto se puede percibir en los actuales sistemas contables que, hasta hace muy poco tiempo eran llevados en voluminosos libros y fichas que ocupaban espacio, eran complicados de manejar y requerían varias horas-hombre para mantenerlos actualizado. Hoy en día, todo este tedioso trabajo se puede realiza con una computadora y un operador. Pero tanto avance también acarrea nuevos problemas; la seguridad de la información es uno de ellos. Impulsada por las grandes corporaciones recién hace algunos años se han iniciado las primeras investigaciones en este sector, conceptos básicos se están delineando y pruebas de seguridad están siendo testadas a modo de tener una idea mas clara de que tan vulnerables son los sistemas informáticos actuales. Este trabajo tiene como objeto presentar los conceptos básicos de seguridad de sistemas computacionales enfocados al área contable.
Palabras Claves: Sistemas de Información, Seguridad Informática, Contabilidad, Administración, Sistemas Contables.

 

 

Autor:

Saul Ortiz Jiménez

Alumno de Maestría en Administración de Tiempo Completo "Escuela de Graduados en Administración de Empresas" (EGADE) – Tecnológico Campus Monterrey,