Seguridad en sistemas
contables computarizados: enfoque
introductorio
1.
Introducción
2. Concepto de
seguridad
3. La importancia de la seguridad de los
sistemas contables
informáticos
4. Objetivo de la seguridad de los sistemas
contables
informáticos
5. Evaluación de la seguridad de los
sistemas
informáticos
6.
Conclusión
El concepto de
seguridad de los
sistemas
informáticos estará presente a lo largo de todo
el trabajo. La
importancia de la seguridad de la información es un elemento de significante
y creciente preocupación en las organizaciones
modernas y constituye un activo altamente apreciable que puede
hacer la diferencia entre el éxito y
el fracaso de una organización. A continuación se
describirán algunos conceptos referentes al tema enfocado
desde la perspectiva contable-administrativa. Las
secciones que contiene el trabajo se enumeran a
continuación.
2- Concepto de Seguridad
3- La importancia de la seguridad de los sistemas contables
informáticos
4- Objetivo de la
seguridad de los sistemas contables informáticos
5- Evaluación
de la seguridad de los sistemas informáticos
6- Conclusión
2. Concepto de seguridad
La palabra seguridad es normalmente asociada con el
concepto de protección, si bien los dos tienen
definiciones levemente diferentes, en el marco de este trabajo
haremos lo mismo; se utilizará indistintamente las
palabras protección y seguridad haciendo referencia a un
estado ideal
en el que cualquier empresa
desearía trabajar.
Definiendo seguridad en el contexto del manejo de
información por medios
tecnológicos podemos citar la definición dada por
la Federación Internacional de Contadores (IFAC por sus
siglas en ingles) que fue publicada en su manual
Guía de la Información Tecnológica
Internacional (1998) que dice: "El concepto de seguridad aplica a
todo tipo de información y hace referencia a la
protección de valiosos activos y su
resguardo contra perdidas y daños". Se debe aclarar que en
esta definición la IFAC hace referencia a la
información grabada, procesada, almacenada y transmitida
por medios electrónicos como "valiosos activos" haciendo
hincapié en la importancia que representa para el
área contable la protección de los datos que
manejan. Si bien es una definición aceptable, no es la
más completa, es cierto que los datos deben ser protegidos
y resguardados, pero ¿de quienes? Estas es la pregunta que
se debe hacer para llegar a una definición más
completa. Joy y Bank (1992) definieron la seguridad de los
sistemas informáticos como sigue: "La habilidad de
asegurar el legitimo derecho que tienen las
compañías de resguardad las entradas, lecturas y
salidas de información de todas aquellas personas que no
estén legalmente autorizadas a manipularlas". Si
analizamos estas dos definiciones veremos que una se refiere a
seguridad
informática en sistemas contables computarizados y la
otra a sistemas informáticos en general, pero ambas hacer
referencia a información, así que son
fácilmente combinables. Por tanto podemos hacer una
definición que en su conjunto englobe los conceptos
básicos de seguridad y contabilidad
computarizada.
El concepto de seguridad en los sistemas contables
computarizados aplica a todo tipo de información y hace
referencia a la protección de valiosos activos y su
resguardo contra perdidas, daños y revelaciones hechas por
y para personas no autorizadas a su accesos.
3. La importancia de la
seguridad de los sistemas contables
informáticos
Una vez definido el concepto de seguridad informática dentro del área de la
contabilidad computarizada podemos empezara a hablar de su
importancia dentro de las organizaciones modernas.
"La seguridad de la información se ha convertido en uno de
los temas más importantes en la mayoría de las
organizaciones desde que la supervivencia y éxito de las
mismas depende, en gran medida, en la confidencialidad,
exactitud, integridad y disponibilidad de los datos que manejan.
Encuestas
recientes muestran que la seguridad de los sistemas
informáticos esta ranqueada en los niveles mas altos entre
los factores críticos de éxito en la mayoría
de las organizaciones." (Abu-Musa, 2002). Organizaciones
internacionales han puesto los ojos sobre el tema debido a la
importancia que hoy día representa la información
en el comercio, no
solo local sino global. La
Organización para la Cooperación y el Desarrollo
Económico (OECD por sus siglas en ingles) en varios
estudios que ha realizado confirma el creciente interés
que las organizaciones a nivel mundial le están dando al
tema del bueno manejo de la información. En febrero de
1992 esta la OECD, a través de su Comité de
Información y Comunicación ha aprobado una serie de
lineamientos básicos que hacen referencia al los sistemas de
información contable computarizada. Estos lineamientos
proveen fundamentemos, a partir del cual, los gobiernos y el
sector privado de cada país, pueden basarse con el objetos
de modelar en conjunto un marco de trabajo enfocado a la
seguridad de los sistemas contables computarizados. Marco de
trabajo incluye leyes,
códigos de conducta, medidas
técnicas, prácticas de
gerenciamiento y educación
pública. Esta guía se basa en siete
puntos:
- Creciente utilización y valor de
mercado de
los sistemas informáticos, que incluyen computadoras, instalaciones de
comunicación, redes de computadoras.
También incluyen datos e información que debe ser
almacenada, procesada, recibida y transmitida a través
de los sistemas informáticos que a su vez son
controlados por programas,
especificaciones y procedimientos,
mantenimiento y uso correcto. - Naturaleza internacional de los sistemas
informáticos y su proliferación alrededor del
mundo. - Aumento de la significancia del rol de los sistemas
informáticos y la creciente dependencia que el comercio
y las economías nacionales e internacionales tienen
sobre los mismos. - Ausencia de reglas apropiadas que resguarden los
datos e información procesada por medios
computacionales. Estos datos son sensiblemente vulnerables en
comparación con los basados en sistemas impresos ya que
los documentos
escritos están regulados por un vasto conjunto de
leyes. - Falta de conciencia
sobre el riesgo que
representa la ausencia de controles de seguridad en los
sistemas informáticos. - Las medidas actuales de protección,
prácticas, procedimientos e instituciones reguladoras no reúnen los
requerimientos de claridad, precisión y uniformidad que
es necesario para alcanzar estándares satisfactorios en
cuanto al manejo computarizados de la
información. - Falta de coordinación y cooperación entre
organismos internacionales con el fin de afrontar la
problemática de la seguridad de los sistemas
informáticos desde una perspectiva global que no solo
abarque el área del comercio sino que también las
áreas sociales, culturales y políticas.
4. Objetivo de la seguridad de
los sistemas contables informáticos
La Federación Internacional de Contadores (IFAC
por sus siglas en ingles) ha establecido como el objetivo
principal de seguridad informática lo siguiente: "La
protección de los intereses que hacen referencia a
posesión de la información y a su
comunicación de cualquier daño que se genere por la
perdida de la disponibilidad, confidencialidad o integridad de la
misma." De acuerdo con la Federación Internacional de
Contadores, las organizaciones alcanzan los objetivos de
seguridad cuando: a- El sistema de
información está disponible en momento que se
lo necesita (disponibilidad). b- Datos e información es
develada solo a aquellas personas que tienen derecho a conocerlos
(confidencialidad). c- Datos e información están
protegidos contra modificaciones no autorizadas (integridad).
"Sin embargo, la prioridad relativa y la significancia de los
conceptos de disponibilidad, confidencialidad e integridad
varían de acuerdo a los datos que el sistema
informático maneja y al contexto del negocio en los que
son utilizados." (IFAC, 1998).
A continuación analizaremos los principales componentes de
de la Seguridad Física y la Seguridad
de Datos como las dos principales áreas del sistema de
seguridad informática.
Componentes de la Seguridad Física y la Seguridad
de Datos (Figura 1)
La figura 1 representa los principales componentes de la
seguridad física y de datos que debe poseer una
organización, a continuación hacemos referencia a
cada uno de sus elementos.
- Seguridad Física: La seguridad de los
sistemas de información envuelve la protección
de la información así como la de los sistemas
computacionales usados para grabar, procesar y almacenar la
información. También esta involucrada en esta
sección la seguridad equipamiento adicional necesario
y las personas designadas al manejo de la
información.
- Equipos: El equipamiento de las organizaciones debe
estar debidamente protegidos de factores físicos que
los puedan dañar o mermar su capacidad de trabajo. Los
equipos deben estar protegidos de daños causados por
incendios,
exceso de humedad, robos, sabotajes. Los equipos,
físicamente no se limitan a solo las computadores y
sus periféricos, también lo son
calculadoras, sistemas de almacenaje externos de datos como
disquetes, CDs, etc., sistemas de cableado,
ruteadores. - Personal: La seguridad del personal
puede ser enfocada desde dos puntos de vista, la seguridad
del personal al momento de trabajar con los sistemas
informáticos, estos deben estar en óptimas
condiciones para que no causen daño a las personas, y
la seguridad de los sistemas informáticos con respecto
al mal uso de los mismos por parte de los empleados. Ambos
puntos de vista deben se considerados al momento de
diseñar un sistema de seguridad.
- Seguridad de datos: Los datos son el corazón de los sistemas
informáticos por tanto estos deben ser celosamente
cuidados y manejados. Como habíamos vistos en incisos
anteriores la protección de la integridad,
disponibilidad y confidencialidad de los mismo debe ser el
objetivo principal de todo sistema de seguridad
informático.
- Confidencialidad: La confidencialidad de los
sistemas informáticos se refiere básicamente a
la accesibilidad de la información, se deben
establecer niveles de accesibilidad que guarden relaciones
coherentes entre el usuario, su rol en la organización
y el grado de profundidad al que puede llegar al momento de
desplegar la información. - Integridad: El concepto de integridad hace
referencia a la protección de los datos de
modificaciones y/o alteraciones de los mismos. Solo aquellas
personas autorizadas podrán hacer modificaciones a los
datos almacenados. - Disponibilidad: Esta se puede definir como la
disposición de información que las personas
autorizadas tienen al momento de necesitarlas. Si la
información que el personal requiere para realizar un
trabajo no se encuentra disponible entonces dicho trabajo no
se podrá realizar o por lo menos se retrazara su
conclusión. - Validez: Un dato es valido cuando este refleja con
exactitud, precisión y de forma completa la
información que transmite. Este concepto se encuentra
estrechamente ligado con el de integridad, si la integridad
de un dato es violada entonces así lo será
también su validez. - Autenticidad: Este concepto hace referencia a la
modificación fraudulenta de la información, por
ejemplo, una transacción puede ser ingresada dentro de
un sistema contable computarizado por una persona no
autorizada a hacer, el dato ingresado puede cumplir con el
requisito de validez pero no con el de autenticidad ya que no
fue ingresado por la persona autorizada. - Privacidad: "Normalmente los conceptos de
privacidad, confidencialidad y seguridad se confunden.
Privacidad hace referencia al concepto particular y personal
del uso de la información. Confidencialidad es una
clasificación particular del grado de exposición de datos. Seguridad hace
referencia al nivel de riesgo en cuanto al uso de
información." (Abu-Musa, 2002) - Exactitud: Este concepto hace referencia al
mantenimiento de una relación legítima entre lo
que un dato es y lo que representa. Por ejemplo, un dato que
representa monto de préstamos debe representar
exactamente el monto prestado, éste no puede ser mayor
o menor, deber ser el que represente fielmente la
realidad.
5. Evaluación de la
seguridad de los sistemas informáticos
Formalmente aun no existe una técnica definida
que permita evaluar satisfactoriamente un modelo de
sistema de seguridad informático. Muchos de los estudios
realizados con respecto a este tema están basados en
cuestionarios hechos para medir la percepción
de los usuarios con respecto al grado de seguridad de los
sistemas informáticos utilizados.
Pero mas allá de la falta de desarrollo de
técnicas evaluativas, ésta actividad se debe llevar
a cabo si se desea tener, al menos, una idea de que tan seguro o inseguro
es un sistema informático. El siguiente grafico se
determinara las cuatro principales etapas que hacen a la
evaluación de la seguridad de un sistema
informático.
Etapas de la evaluación de la seguridad de un
sistema informático (Figura 2)
Evaluación de los objetivos: Los puntos principales de la
evaluación de los sistemas informáticos deben ser
determinados en esta etapa. Es de suma importancia establecer de
forma realista que es lo que se está buscando con la
implementación de una evaluación del sistema. Si lo
que se quiere determinar es si la organización debe o no
adquirir un nuevo software de contabilidad
todas las siguientes etapas del proceso de
evaluación deben estar enfocadas a ese fin.
Evaluación de objetos: En esta etapa lo que se hace es
evaluar el sistema informático en su totalidad, tanto
software como hardware. Se deben reconocer
sus fortalezas y debilidades basándose en los objetivos
previamente trazados.
El evaluador: Esta etapa puede ser afrontada de 3 formas. La
primera: el trabajo completo de evaluación del sistema
puede ser llevado por un auditor interno, la ventaja de esto es
que el encargado de la evaluación conoce a profundidad el
sistema. La segunda opción consiste en que el trabajo de
evaluación lo realice un auditor externo, la ventaja de
esto es que el auditor externo evalúa el sistema de forma
más objetivo y desde otra perspectiva. Y por ultimo
está la opción de que el trabajo sea llevado por
ambos, ésta quizás es la opción más
indicada ya que se mezcla lo mejor de cada método
para llegar a un resultado óptimo.
Fragmentación del Trabajo: Luego se llega a la etapa de
fragmentación. El trabajo de evaluación de un
sistema informático puede llegar a ser una tarea muy
complicada en organizaciones medianas y grandes, por tanto se
debe dividir el sistema en fracciones para poder
evaluarlas independiente mente y luego en su conjunto, esto hace
que el trabajo se simplifique considerablemente.
Conclusiones: Por ultimo se determinan las conclusiones del
trabajo y se elabora un dictamen donde se especifica el grado de
seguridad del sistema y cuáles son lo pasos recomendados
para mejorarlo si es necesario.
El manejo adecuado de la información dentro de
las organizaciones se ha vuelto uno de los puntos mas discutidos
en los últimos años, y sin duda seguirá
siendo un tema importante a desarrollar dentro del área de
la
administración de recursos. El
estudio de la seguridad en sistemas informáticos aun
está en sus comienzos, conceptos y teorías
aun están siendo desarrollados y queda mucho camino por
delante para que esta disciplina
alcance un nivel maduro. Este trabajo tiene como objeto recopilar
algunos principios y
conceptos básicos que hacen a la seguridad de los sistemas
de información computarizados y enmarcarlos dentro de la
disciplina contable ya que ésta últimamente ha
sufrido cambios bruscos en cuanto a la recopilación,
manejo y almacenamiento de
la información contable impulsados principalmente por el
desarrollo de la tecnología
informática.
- "Computer crimes: How can you protect your
computerized accounting information system?" Ahmad A Abu-Musa
(Pro Quest). Journal of American Academy of Business, Cambridge
(Sep 2002) - "An assessment of accounting information security"
Davis, Charles E. (EBSCO Information Services). CPA Journal;
Vol. 66 Issue 3, p28, 7p, 5 charts, 1c (Mar 1997) - "A study of the nature and security of accounting
information systems: The case of Hampton Roads, Virginia"
Laurie Henry (Pro Quest). The Mid – Atlantic Journal of
Business (Dec 1997) - "Security of computerized accounting information
systems: A theoretical framework" Ahmad A Abu-Musa (Pro Quest).
Journal of American Academy of Business, Cambridge (Sep
2002)
"Security of computerized accounting information systems: An
integrated evaluation approach" Ahmad A Abu-Musa (Pro Quest).
Journal of American Academy of Business, Cambridge (Sep
2002) - "The perceived threats to the security of
computerized accounting information systems" Ahmad A Abu-Musa
(Pro Quest). Journal of American Academy of Business, Cambridge
(Sep 2003) - "Identifying the required knowledge elements for the
effective detection, investigation, and prosecution of high
technology crime: The perspective of academe" Larry J Myers,
Laura B Myers (Pro Quest). Journal of Criminal Justice
Education (Fall 2003) - International Federation of Accountants (IFAC),
Information Technology Committee, (1998), International
Information Guidelines: Managing Security of Information, Ney
York. - "A practical guide to treasury management security"
Joy, Ralph R. and Mellon Bank. Journal of Cash Management
(Vol.12, Iss. 2), pp 35 – 40 (1992) - "Guidelines for the Security of Information Systems"
OECD (Organization for Economic Co-operation and Development)
The Council of the OECD (November 1992) - Dorr, Pat "Advanced Accounting Information Systems
Accounting Database Systems" http://www2.bus.okstate.edu/acct/dorr/ (Accessed October 10,
2003)
Resumen
Con la llegada de los sistemas computacionales de manejos de
datos, la información se ha convertido en uno de los
activos mas preciados de las organizaciones. Las computadoras han
facilitado la recopilación, ordenamiento, administración y almacenamiento de la
información. En estos días, grandes cantidades de
documentos pueden ser fácilmente digitalizados y
almacenados en espacios pequeñísimos, hasta hace
muy poco impensables. Pero la ayuda de las computadoras no solo
se limita al manejo de datos, ahora también sirve de
soporte para la realización de tareas en las
organizaciones; compañías utilizan sistemas
computacionales (software – hardware) para la
ejecución de tareas de producción, administración y
control.
Quizás el área administrativa sea una de las mas
beneficiadas con estos cambios, en la actualidad casi no existe
tarea alguna en este campo que no requiera el uso de sistemas
computacionales para su realización. El mas claro ejemplo
de esto se puede percibir en los actuales sistemas contables que,
hasta hace muy poco tiempo eran
llevados en voluminosos libros y
fichas que
ocupaban espacio, eran complicados de manejar y requerían
varias horas-hombre para
mantenerlos actualizado. Hoy en día, todo este tedioso
trabajo se puede realiza con una computadora y
un operador. Pero tanto avance también acarrea nuevos
problemas; la
seguridad de la información es uno de ellos. Impulsada por
las grandes corporaciones recién hace algunos años
se han iniciado las primeras investigaciones
en este sector, conceptos básicos se están
delineando y pruebas de
seguridad están siendo testadas a modo de tener una idea
mas clara de que tan vulnerables son los sistemas
informáticos actuales. Este trabajo tiene como objeto
presentar los conceptos básicos de seguridad de sistemas
computacionales enfocados al área contable.
Palabras Claves: Sistemas de Información, Seguridad
Informática, Contabilidad, Administración, Sistemas
Contables.
Autor:
Saul Ortiz Jiménez
Alumno de Maestría en Administración de Tiempo
Completo "Escuela de
Graduados en Administración de Empresas" (EGADE) –
Tecnológico Campus Monterrey,