I.
Introducción
1. Generalidades
1.1 Objetivo de la
Reingeniería
1.2 Objetivo de los
Controles
2. Seguridad Fisica
2.1 Objetivo de la Seguridad
Física
2.2 Aspectos que involucran la Seguridad
Física
2.2.1 Control de
Acceso
2.2.2 Seguridad contra
Incendios
2.2.3 Suministro de
Energía
2.2.4 Aire
Acondicionado
2.2.5 Detección de
Agua
2.2.6 Guardias de
Seguridad
2.2.7
Telecomunicaciones
3. Controles relativos a
los sistemas
3.1 Controles de Acceso
lógico
3.1.1 Necesidad de los
controles
3.1.2
Identificación de Usuarios
3.1.3 Suspensión
de Permisos
3.1.4 Acceso a
Datos
3.1.5 Acceso a
Programas y Utilitarios
3.1.6 Controles de
Aplicación
3.1.7 Controles de
Actividades del Programador de Sistemas
3.1.7.1 Casos Reales sobre
accesos no autorizados a sistemas informáticos y, fraudes
– El Pentágono, Citibank y Barings Bank of London,
Universidad Spring Arbor de Michigan y Proinco de
Ecuador.
3.2 Control de
Cambios
3.2.1 Razones para
establecer un Control de Cambios
3.2.2 Procedimiento de
Control de Cambios
3.2.3. Modelo de Formato
para Control de Cambios
3.3. Producción y
Operaciones
3.3.2 Procedimientos de
la función de Producción y
Operaciones.
4. Respaldos y
recuperacion de programas
4.1 Procedimiento de
Respaldos y Recuperación de Programas
4.2 Procedimiento de
Almacenamiento de Medios Magnéticos
4.3 Modelos de Formato para
Control, Recuperación y Almacenamiento de
Respaldos.
5. Controles aplicados en
la administracion del personal
5.1 Objetivo de los
Controles Administrativos
5.2 Contratación
y término de Contratos
5.3 Políticas
Administrativas
5.3.1
Vacaciones
5.3.2
Entrenamiento
5.3.3 Uso de Recursos
Computacionales
6.
Conclusiones
8.
Bibliografia
En un proceso de
Reingeniería luego de su
implantación, los controles no quedan establecidos, por
cuanto la Reingeniería se concentra
básicamente en nuevos e innovadores diseños de los
procesos,
buscando un marcado, dramático y notorio incremento en la
productividad,
eficiencia y
utilidades de las empresas, sin
contar con el diseño
de controles en los procesos. Por
lo tanto debe someterse a un análisis para la Implementación de
Controles básicos e indispensables y con mayor
énfasis en el área de Procesamiento de
Datos. El no hacerlo provocará seguramente fallas o
desvíos en los nuevos procesos, sin que podamos
determinarlos o auscultarlos oportunamente y evitar fallas o
errores. Estos lineamientos una vez desarrollados, deben ser
aplicados por toda la empresa y
principalmente por el personal que
labora en el área de sistemas.
El objeto de este trabajo no es enseñarle a hacer
una reingeniería ni tampoco el de explicar su metodología. El objeto de este trabajo es
el de mostrarle que hay un "más allá" luego de una
reingeniería y estos son los controles y seguridades sobre
los cuales se centra este trabajo. Mi intención es
mostrarle los puntos de alerta de las áreas que corren "
mayormente " un peligro inminente, y una forma lo menos
técnica posible para explicar al administrador de
empresas, las
formas de prevenirlos mediante la Implementación de los
controles y seguridades de los datos.
Es importante dar a conocer también al administrador de
empresas que si bien aunque no sea un experto en sistemas
computacionales, debe "conocer" cuales son básicamente los
puntos que debiera concentrarse y obtener información detallada del experto en
sistemas de su empresa.
Finalmente, si el administrador de empresas lidera un
colegio, universidad,
industria,
banca o empresa
comercial, este trabajo le ayudará en mucho, ya que aplica
para cualquier tipo de empresa. Su enfoque está dado
mayormente al área de procesamiento y afines, pero sus
conceptos pueden extenderse inclusive al resto de
áreas.
1.1 Objetivo de la
Reingeniería
Mucho se ha dicho sobre lo que es y no es la
reingeniería. Entre lo que se ha dicho que es la
reingeniería, tenemos que es un programa o una
metodología que busca un cambio
radical, no buscan mejoras incrementales, ni tampoco solo la
automatización, ni sólo la
organización, ni solo la reducción de
tamaño, ni solo la calidad.
Se define a la Reingeniería de Procesos como un
enfoque "equilibrado" que contiene elementos de los programas
más tradicionales de mejoras, aunque no es un programa
"más" de mejora, ya que la reingeniería es mucho
más. Busca avances decisivos en medidas importantes que
afectan el rendimiento. Busca metas multifacéticas, tanto
en calidad, costos, rapidez,
flexibilidad, satisfacción del cliente,
precisión; todas ellas simultáneamente y no una en
especial. La Reingeniería toma como punto de vista los
"procesos" y se centra en ellos para re-diseñarlos y por
tanto su perspectiva no es funcional ni
organizacional.
Por lo antes explicado y por lo que ya ustedes deben
conocer de Reingeniería, esta busca enderezar el proceso,
quitándole lo serpentino del mismo. Para ello define que
un proceso tiene fronteras y que en cada frontera tiene al menos
un control, por lo
tanto tendrá mínimo dos controles en el proceso,
uno para la persona que hace
el traspaso y otra para la que recibe lo cual para la
Reingeniería es inconcebible. El establecimiento de
controles a su manera de ver, perjudica el flujo del proceso ya
que incorporan actividades que al punto de esta
metodología, No agregan valor.
La definición de reingeniería espera
producir la optimización del flujo del trabajo y de la
productividad
en una organización midiendo ambas en
función de los resultados del negocio: incremento de
rentabilidad,
participación de mercados,
rendimiento sobre la inversión, capital social
y activos.
También la reingeniería se puede medir por
reducción de costo total o
unitario.
La Reingeniería de procesos establece una
correlación explícita entre los resultados del
negocio (que son de interés
para los altos ejecutivos que optan por este programa), y los
resultados del proceso: rapidez, precisión y
reducción del tiempo del
proceso (que el equipo de reingeniería trata de
optimizar).
Sin establecer este vínculo deliberado,
cuantificable, entre el fin y los medios, es
decir, entre los resultados del negocio y los resultados del
proceso; los programas de
reingeniería estarían condenados al
fracaso.
Finalmente la Reingeniería responde a la evolución de las tendencias en el ambiente de
los negocios donde
fallan programas de mejora incremental más tradicionales.
En muchos casos, sólo la reingeniería promete un
cambio
suficientemente rápido y radical para mantenerse a tono
con el cambiante ambiente de
los negocios.
1.2 Objetivo de
los Controles
El Control es uno de
los pilares en que se fundamenta la administración. Un concepto simple
de lo que significa el control sería el de la
"medición de resultados actuales y pasados, en
relación con los esperados, ya sea total o parcialmente,
con el fin de corregir, mejorar y formular nuevos planes". En
sí el control busca recolectar sistemáticamente
datos para
conocer la realización de los planes.
Con los avances tecnológicos y el éxito
que tienen los sistemas de comunicación, es posible en muchos casos
obtener una "retroalimentación" de las informaciones que
resultan del control mismo, y utilizarlas para que la
acción correctiva se inicie de forma automática,
con lo cual, no hay que esperar hasta que se produzcan
íntegramente los resultados para poner en obra la
acción correctiva: un procedimiento
previamente establecido, va corrigiendo la acción
constantemente, con base en esos resultados, sin necesidad de
detenerla.
Los controles pueden ser automáticos, manuales o una
combinación de ambos. Para tener una idea de las formas en
que se presentan los controles tenemos el siguiente ejemplo: Se
ha fijado como estándar de temperatura en
un local determinado que ésta debe sostenerse entre los
20° y 22° centígrados. En un sistema de
control manual hay que
visualizar en qué momento el termómetro baje de los
20°C o pase de los 22°C para ajustar la
ventilación a fin de cumplir con los estándares
señalados.
En un sistema de
control automático, al llegar la temperatura a
menos de 20° o a más de 22°C
automáticamente cambia la calefacción, manteniendo
así constantemente la temperatura en el nivel
deseado.
En el campo administrativo es posible obtener las mismas
aplicaciones, por ejemplo: en inventarios que
se requieren puntos de reposición, al llegar al mismo
automáticamente se generan los pedidos necesarios para que
no falten los elementos indispensables mientras se consume la
existencia. Este ejemplo realizado en forma manual, requiere
de igual forma un control manual de los niveles de existencias y
puntos de reposición.
Luego de esta breve explicación de lo que es el
"control", definimos entonces que el objetivo de los controles es
el de proporcionar a la empresa, un
elemento de seguimiento y detección de desvíos o
fallas en los procesos. Se crean con el fin de asegurar los
elementos tales como:
–Seguridad,
oportunidad y exactitud de la información de acuerdo a los requerimientos
de la empresa.
-Aplicación de medidas de protección y
control sobre los datos almacenados o de los programas utilizados
en el centro de procesamiento como son los microcomputadores de
la empresa.
-El diseño
de seguridades físicas y administrativas que conlleven al
apoyo de las medidas de control para el centro de procesamiento y
otros entes que operen con datos oficiales.
-Que los datos oficiales de la empresa sean accesados
por personal
autorizado expresamente y con atribuciones específicas,
mediante la ejecución de un proceso autorizado que refleje
un producto final
confiable con base a la aplicación de los procesos
diseñados.
-El personal con atribuciones, los datos oficiales
(datos formales) y procesos autorizados forman parte de todo un
sistema de formalidad de la institución, los cuales son
continuamente examinados, revisados y aprobados por los
mecanismos de control de la empresa y que operan recurrentemente
bajo los esquemas de seguridad y
control que se apliquen.
-Los procesos, datos y programas que funcionen en una
empresa deben llevar siempre una tendencia hacia la
formalización (ya sea por los usuarios, auditoría
interna, sistemas, control
interno, capacitación y otros) cuando estos sean
relevantes para la empresa, y cuando su procesamiento ocurra
continuamente así como su permanencia. De esta forma se
asegura el cumplimiento de todas las normas, políticas
y procedimientos y
controles establecidos en la Institución.
-Analizar las posibles inversiones
necesarias para dar cumplimiento a las normas y procedimientos
destinados para seguridad y control de datos; evaluándose
con criterio de los beneficios que serían obtenidos por la
inversión, y contemplando en todo momento
los intereses de la empresa que deben ser
salvaguardados.
2.1 Objetivo de la Seguridad
Física
El objetivo es el de proteger los sistemas tanto en la
parte de hardware,
software,
documentación y medios
magnéticos de los riesgos por
pérdidas, extravíos o por daños
físicos. Así mismo de los potenciales riesgos se
pueden dar en el acceso de personal no autorizado sin los
controles adecuados de seguridad física; en los
incendios;
en las interrupciones de energía
eléctrica; en inundaciones por filtraciones de
agua y, en
los controles de acceso lógico.
2.2 Aspectos que involucran
la Seguridad Física
La seguridad física involucra
como mínimo los siguientes aspectos:
- Control de Acceso
- Seguridad contra Incendios
- Suministro de Energía
- Aire Acondicionado
- Detección de Agua
- Guardias de Seguridad
- Telecomunicaciones
Aunque la inversión en sistemas de
control de acceso no debe ser necesariamente onerosa como
la implantación de vidrios a pruebas de
balas, guardias armados las 24 horas del día o
cámaras de video; las
empresas si deben contemplar controles adecuadamente razonables
para evitar el acceso de individuos e incluso de personal "no
autorizado" al centro de procesamiento o a las áreas de
manejo de datos o información oficial y
exclusiva.
|
Estos sistemas de Seguridad deben contemplar el uso de
claves de seguridad a ser ingresadas a través de un
componente electrónico ubicada en cada área o por
medio del uso de una tarjeta plástica codificada. La
asignación de claves debe estar dada por el representante
del área de sistemas y deberán ser modificadas
periódicamente para evitar cualquier infiltración
dentro del archivo maestro
de claves o el otorgamiento de las mismas entre
usuarios.
|
Cabe indicar que debe haber para el efecto una
interrelación entre cada área que responsabiliza
a un individuo a través del uso de una clave, y el
área de control que asigna y controla las claves
emitidas a los usuarios. El no conocer sobre el despido,
renuncia o ausencia de un personal determinado durante un
tiempo
específico o permanente provocaría que el proceso
de control de acceso no tenga éxito por daños
provocados por actos de sabotaje, robos, asaltos,
etc.
Los accesos también deben ser otorgados sobre
la base de la necesidad mínima y dependiendo de los
casos bajo la supervisión del Responsable de
Sistemas.
Cuando se reasigne personal a otras funciones en
las que no requieran del acceso que tenían previamente
autorizado; el permiso debe ser revocado una vez que la
persona sea
reasignada en sus funciones.
Así mismo en el periodo de vacaciones del personal debe
aplicarse este mismo concepto.
Las movilizaciones de equipos o medios
magnéticos deben ser realizadas sólo por personal
autorizado y deben seguir el procedimiento
de control de movilizaciones de equipos. El guardia de
seguridad debe asegurarse que las movilizaciones de equipos o
medios magnéticos tanto de ingreso como de egreso se
efectúen con las autorizaciones del caso.
El personal que corresponda a la categoría de
visitantes y que requieran movilizarse por el centro de
procesamiento o afines deberán utilizar una tarjeta que
indique su calidad de "visitantes" y estar siempre escoltados o
supervisados por personal de la institución y su ingreso
y salida debe quedar registrado en una bitácora del
área.
La limpieza y aseo del centro de procesamiento y
afines debe efectuarse en presencia del personal de la
institución. Dicho personal de limpieza debe ingresar
previo a la identificación ante el guardia de seguridad
quien debe constatar su
nombre dentro del registro del
personal externo a la empresa y el horario autorizado para su
acceso.
Debe prohibirse el ingreso de personal con maletas o
bolsos u objetos que no fueran los que constituyan o sirvan
para su labor de limpieza y aseo.
Las tarjetas de
acceso a áreas restringidas así como las tarjetas de
visitantes deben ser reportadas inmediatamente en el caso de
perdidas, al personal de seguridad y al Responsable de sistemas
a fin de revocar el uso de dichas tarjetas.
Para casos de emergencia, el personal de seguridad
debe tener las llaves del centro de procesamiento y de las
oficinas. Estas deben conservarse en sobre sellado, bajo
seguridad y revisado periódicamente por Auditoría.
Los horarios de ingreso y salida del personal
así como de equipos y medios magnéticos debe ser
revisados por el personal de Auditoría periódicamente y
comprobado que los movimientos de equipos se hayan efectuado de
acuerdo a los controles establecidos y que, el ingreso y salida
del personal se haya efectuado en el horario establecido y con
los permisos respectivos para entradas o salidas fuera de
horario.
Es importante que las empresas prevean la
obtención de una póliza que resguarde
pérdidas o daños de sus activos
fijos.
2.2.2 Seguridad contra Incendios
El centro de procesamiento y afines debe poseer
detectores de humo los cuales deben activarse de forma
automática al momento de una emanación
considerable de humo. Estos dispositivos deben probarse
regularmente para corroborar su funcionamiento. En caso de ser
detectores de incendios con prolongación
automática de agua, deben ubicarse en áreas lejos
de los equipos y material no recuperable por contacto con
agua.
| |
|
|
El centro de procesamiento debe disponer de
suficientes extintores de incendios portables y que deben ser
probados periódicamente a fin de que estos puedan
funcionar en los casos de emergencias.
|
Debe hacerse una revisión visual de su
presurización procediendo a enviar a cargar o descargar
el extintor al centro de mantenimiento respectivo.
Así mismo debe señalizarse el
área de tal forma que se especifique las áreas en
que se prohibe fumar o utilizar material
combustible.
Los extintores a ser usados varían de acuerdo a
la clase de incendio que se presenten. Tenemos para ello
incendios tipo A, B, C y D. Los incendios de Tipo A, se
producen en combustibles sólidos corrientes como la
madera,
textiles, basura, etc.
El fuego de esta clase, agrieta el material, origina brasas,
deja ceniza y se propaga de afuera hacia adentro. Se le combate
preferentemente con agentes de extinción a base de
agua.
Los incendios de tipo B se producen en líquidos
inflamables: gasolina, aceites, pinturas, grasa, etc. Se
caracteriza porque el fuego se produce sólo en
superficie. Para combatirlos debemos, preferentemente eliminar
el oxígeno que está en contacto y se requiere de
agentes de extinción que cumplan ese fin.
Los incendios de tipo C, se producen en equipos
eléctricos conectados, aunque este tipo de incendios se
produce en materiales
sólidos o líquidos, han merecido
clasificación especial por el peligro que implica la
corriente eléctrica. Se emplean agentes de
extinción NO CONDUCTORES DE ELECTRICIDAD.
Los incendios de tipo D se producen en metales
livianos, productos
químicos, farmacéuticos, etc. Al entrar en
combustión estos materiales
generan su propio oxígeno; al ser atacados con agentes
extintores ordinarios producen violentas reacciones, llegando
inclusive a la explosión. Se los combate,
preferentemente con agentes extintores especiales como el polvo
químico.
A continuación un cuadro explicativo de los
tipos de fuegos y tipos de extintores a usarse en cada
uno.
CLASE DE FUEGO | EXTINTOR | |||||||
CLASE | TIPO DE MATERIAL COMBUSTIBLE | AGUA | ESPUMA | CO2 | POLVO BC | POLVO ABC | AGENTES | |
A | Madera, trapos, papel, | n | n | ê | ê | n | r | |
B | Líquidos inflamables o sólidos de | r | n | n | n | n | ê | |
C | Equipo eléctrico vivo o | r | r | n | n | n | ê | |
D | Materiales, productos químicos, etc. | r | r | r | ê | ê | n | |
n Adecuado | ê | r No debe | ||||||
El centro de procesamiento y afines debe ser
estructurado con equipos, muebles y material no inflamable. Es
preferible la no-utilización de cortinas en el centro de
procesamiento. El equipamiento eléctrico como cables,
deberá ser instalado y elaborado por personal altamente
calificado.
Los interruptores de energía deben estar
separados por secciones y uno que permita el corte completo del
suministro de energía para casos de emergencia, los
mismos que deben estar protegidos para evitar su
manipulación accidental.
Por ningún motivo se debe fumar en el
área de procesamiento. Cualquier material de
fácil combustión, como hojas, manuales,
formularios,
deberá estar ubicados lejos de las zonas calientes y del
posible contacto con elementos inflamables.
Página siguiente  |