Controles de acceso lgicos y fsicos

El control fsico es la implementacin de medidas de seguridad en una estructura

definida usada para prevenir o detener el acceso no autorizado a material
confidencial. Los controles fsicos estn relacionados con el impedimento fsico de
usuarios a activos. Estos pueden ser candados y alarmas en accesos exteriores a
instalaciones, guardias de seguridad revisando personal sospechoso, equipos de
cmputo con sensores para detectar presencia, acciones como remover unidades
de disco para evitar el copiado de informacin, almacenamiento de respaldos en
cuartos especiales (a prueba de casi todo) o fuera de las instalaciones por
Nombrar.
Ejemplos de los controles fsicos son:
1. Un password.
2. Un cdigo de acceso.
3. Respuesta a una pregunta.
4. Una fecha de nacimiento. Un dato personal.
5. Con fotografa.
6. Con banda magntico.
7. Con cdigo en banda magntica.
8. Con cdigo electrnico pasivo.
9. Con cdigo electrnico activo.
10. Tarjeta inteligente (Smart Crad).
11. Reconocimiento de huella digital (finger prints).
12. Geometra de la mano (Hand Geometry).
13. Dinmica de la firma (Signature Dynamics).
14. Reconocimiento de voz (voice recognition).
15. Scanner de retina.
16. Dinmica de tecleo.
17. Reconocimiento de cara.
Qu son controles lgicos?
Los controles tcnicos implementan los mecanismos de acceso lgico; requieren
que los usuarios realicen una identificacin y autorizacin antes. Tambin estn
relacionados con el cifrado de datos (ya sea en su almacenamiento o transmisin),
elementos de telecomunicaciones como firewalls y detectores de intrusos,
balanceo de carga y tolerancia a fallas. Un control fsico o tcnico no puede tener
el respaldo legal de existir sin su respectivo control administrativo (nos referimos a
la poltica de seguridad). Si la poltica en cuestin no existiera la existencia del
control est comprometida y slo...

1. Poltica de seguridad en auditoria de sistemas

La seguridad informtica ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas para los sistemas de informacin.
Estos riesgos que se enfrentan han llevado a que muchas desarrollen documentos
y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el
uso indebido de las mismas, lo cual puede ocasionar serios problemas a los
bienes, servicios y operaciones de la empresa.
En este sentido, las polticas de seguridad informtica surgen como una
herramienta organizacional para concienciar a los colaboradores de la
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta
situacin, el proponer o identificar una poltica de seguridad requiere un alto
compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.
Definicin de Polticas de Seguridad Informtica Una poltica de seguridad
informtica es una forma de comunicarse con los usuarios, ya que las mismas
establecen un canal formal de actuacin del personal, en relacin con los recursos
y servicios informticos de la organizacin.
No se puede considerar que una poltica de seguridad informtica es una
descripcin tcnica de mecanismos, ni una expresin legal que involucre
sanciones a conductas de los empleados, es ms bien una descripcin de los que
deseamos proteger y el porqu de ello, pues cada poltica de seguridad es una
invitacin a cada uno de sus miembros a reconocer la informacin como uno de
sus principales activos as como, un motor de intercambio y desarrollo en el
mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en
una posicin consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informticos.
Elementos de una Poltica de Seguridad Informtica Como una poltica de
seguridad debe orientar las decisiones que se toman en relacin con la seguridad,
se requiere la disposicin de todos los miembros de la empresa para lograr una
visin conjunta de lo que se considera importante.
Las Polticas de Seguridad Informtica deben considerar principalmente los
siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual

aplica.
Calidad y seguridad de la informacin y auditora informtica
Objetivos de la poltica y descripcin clara de los elementos involucrados en su
definicin.
Responsabilidades por cada uno de los servicios y recursos informticos aplicado
a todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de los sistemas que
abarca el alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas.
Responsabilidades de los usuarios con respecto a la informacin a la que tiene
acceso.
Las polticas de seguridad informtica, tambin deben ofrecer explicaciones
comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, debern establecer las expectativas de la
organizacin en relacin con la seguridad y especificar la autoridad responsable
de aplicar los correctivos o sanciones.
Otro punto importante, es que las polticas de seguridad deben redactarse en un
lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que
impidan una comprensin clara de las mismas, claro est sin sacrificar su
precisin.
Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir
un proceso de actualizacin peridica sujeto a los cambios organizacionales
relevantes, como son: el aumento de personal, cambios en la infraestructura
computacional, alta rotacin de personal, desarrollo de nuevos servicios,
regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc.

2. Procesamiento en lnea
Implica que los programas se ejecuten de tal forma que los datos se actualicen de
inmediato en los archivos de la computadora, a este tipo de procesamiento se le
conoce tambin como tiempo real. Las aplicaciones de tiempo real son
indispensables en aquellos casos en que los datos contenidos en los archivos se
modifican varias veces en el transcurso de un da y se consultan en forma casi
inmediata con las modificaciones que se efectuaron.
Un ejemplo breve, supongamos que te inscribes a unos cursos por medio de
internet, en donde debers seleccionar los cursos, los maestros y los horarios que
te interesan, cada que introduces algn registro al sistema por medio del portal
Web de la escuela [llmese curso, materia u horario] se modifica en tiempo real la
base de datos en donde reside esa informacin. Obviamente puedes ingresar,
eliminar o editar registros de acuerdo a tus necesidades, esto se hace en tiempo
real y siempre y cuando se tengan los permisos correspondientes.
Procesamiento en lnea: A diferencia del procesamiento por lotes o batch, el
procesamiento en lnea implica que los programas se ejecuten de tal forma que los

datos se actualicen de inmediato en los archivos de la computadora, las

aplicaciones de tiempo real son indispensables en aquellos casos en que los datos
contenidos en los archivos se modifican varias veces en el transcurso de un da y
se consultan en forma casi inmediata con las modificaciones que se efectuaron un
ejemplo de lo anterior es un sistema de reservaciones en alguna lnea area o un
grupo de transacciones bancarias.

3. Los Efectos de los sistema en lnea sobre los controles d

auditoria.
Controles particulares tanto en la parte fsica como en la lgica se detallan a
continuacin
Autenticidad
Permiten verificar la identidad
Passwords, Firmas digitales
Exactitud
Aseguran la coherencia de los datos
Validacin de campos, Validacin de excesos
Totalidad
Evitan la omisin de registros as como garantizan la conclusin de un proceso de
envio
Conteo de registros, Cifras de control
Redundancia
Evitan la duplicidad de datos
Cancelacin de lotes, Verificacin de secuencias
Privacidad
Aseguran la proteccin de los datos
Compactacin, Encriptacin
Existencia

Aseguran la disponibilidad de los datos

Bitcora de estados, Mantenimiento de activos
Proteccin de Activos
Destruccin o corrupcin de informacin o del hardware
Extintores, Passwords
Efectividad
Aseguran el logro de los objetivos
Encuestas de satisfaccin, Medicin de niveles de servicio
Eficiencia
Aseguran el uso ptimo de los recursos
Programas monitores, Anlisis costo-beneficio

4. Beneficios de la integracin de controles en los sistemas en

lnea
Los sistemas de informacin son en la actualidad una herramienta que bien
implementada se convierte en un arma competitiva en los negocios, as como las
empresas buscan diferenciarse de su competencia, los sistemas de informacin
(SI) son una manera de hacerlo.
En nuestros das es importantsimo que las empresas integren este tipo de
tecnologa a travs de plataformas que con un solo movimiento repercuten en
otros departamentos de la empresa. As por ejemplo una orden de produccin
implica la orden de compra de materiales al proveedor, descontar de los
materiales disponibles el inventario, generar informacin de costos, generar una
cuenta por pagar y finalmente descontar el flujo del efectivo cuando esta orden de
materiales sea pagada en el futuro, todo esto integrado en una infraestructura que
pueda ser utilizado por varios usuarios simultneamente; haciendo consultas,
capturas y finalmente arrojando reportes para la toma de decisiones.
En la actualidad toda organizacin exitosa se ha concientizado de la importancia
del manejo de las tecnologas de informacin (TI) como elemento que brinda
ventajas comparativas con respecto a la competencia. Es importante tener en
cuenta que un sistema de informacin necesita justificar su implementacin desde
el punto de vista - costo / beneficio -, partiendo de la concepcin del valor que se

le otorgue a la informacin dentro de una organizacin. Los beneficios se pueden

medir a nivel intangible y tangible de acuerdo a la organizacin, pues es diferente
hacer el anlisis desde el punto de vista de una empresa comercial a una de tipo
acadmico que pretende prestar un servicio social como lo es la salud o educacin
pblica.
Beneficios en la implementacin de Sistemas de Informacin (SI)

Los beneficios que se pueden obtener usando sistemas de informacin son

los siguientes:

Acceso rpido a la informacin y por ende mejora en la atencin a los

usuarios.

Mayor motivacin en los mandos medios para anticipar los requerimientos

de las directivas.

Generacin de informes e indicadores, que permiten corregir fallas difciles

de detectar y controlar con un sistema manual.

Posibilidad de planear y generar proyectos institucionales soportados en

sistemas de informacin que presentan elementos claros y sustentados.

Evitar prdida de tiempo recopilando informacin que ya est almacenada

en bases de datos que se pueden compartir.

Impulso a la creacin de grupos de trabajo e investigacin debido a la

facilidad para encontrar y manipular la informacin.

Soluciona el problema de falta de comunicacin entre las diferentes

instancias. A nivel directivo se hace ms efectiva la comunicacin

Organizacin en el manejo de archivos e informacin clasificada por temas

de inters general y particular.

Generacin de nuevas dinmicas, utilizando medios informticos como el

correo electrnico, teleconferencia, acceso directo a bases de datos y redes

Acceso a programas y convenios e intercambios institucionales

Aumento de la productividad gracias a la liberacin de tiempos en

bsqueda y generacin de informacin repetida.

Ventajas de la implementacin de SI y TI en las organizaciones

Integran la administracin de la empresa, las finanzas, la administracin de

las tesoreras, los recursos humanos entre otras.

Es posible analizar la cadena de valor ya sea de un producto o un servicio

para identificar que actividades no estn generando valor, poder eliminarlas
y disminuir los costos.

Integran nuevas tecnologas y herramientas de vanguardia que aprovecha

las funciones del Internet y comunicaciones con costo realmente bajo.

Puede proporcionar ventajas competitivas, si es que la competencia no

cuenta con esta tecnologa.

La informacin est disponible para todos los usuarios en tiempo real.

Tambin ayuda a la disminucin de los costos en mermas, el control de los

inventarios aunque sean distintos tipos de lneas de productos, la relacin y
facilidad de la ordenes de compra y pago.

Vence la barrera de la distancia ya que se puede trabajar con un mismo

sistema en puntos distantes.

Ayudan a incrementar la efectividad en la operacin de las empresas.

La implementacin de un Sistemas de Informacin representa el primer paso a la

integracin de la Cadena de Valor, ya que integra la parte interna-administrativa
de los negocios, para mejorar los procesos internos, generando ganancias
tangibles e intangibles, tal como lo muestra la figura Muchas compaas que
deciden crecer ven como atractivo las ventajas de utilizar algo de la otra
compaa, por ejemplo la manera de administrar, la experiencia de mercado, el
uso de la informacin que ellas mismas generan y por este motivo es muy
importante tener un equipo de expertos en la administracin del cambio de
plataforma de sistemas de informacin para poder implementar la congruencia de
dicha tecnologa y se logre el xito.
Ejemplos de implementacin de SI Kodak con ms de un siglo, me di cuenta que
Fourth Shift [2] , le brindo la solucin a sus problemas de comunicacin e
integracin de sistemas como las bases de datos, la conexin y comunicacin
entre departamentos y grupos de trabajo. Burger King, se anuncio en Junio 25 de
2002 que se utilizara el sitio mySAP.com como plataforma para integrar su
tecnologa de informacin de esta manera incrementar la efectividad de sus
operaciones de negocio. American Airlanes, aplicando la Tecnologa de
Informacin mediante el sistema SABRE para apoyar el negocio, (transportar
pasajeros al vender asientos en los vuelos"), comenz a cambiar los
paradigmas de este negocio. La informacin acerca de los itinerarios y vuelos era
puesta a disposicin, en lnea, para los agentes de viajes y, adems, de manera
dinmica los precios de los vuelos variaban segn la demanda que registrasen.
Obviamente, los tiempos de respuestas para los agentes de viajes eran mucho

mejores y las preferencias de los viajeros reflejaron el xito de este sistema

estratgico para lograr un mejor posicionamiento en el mercado.

5 . Diseo de controles internos en los sistemas en linea

El diseo de un adecuado SCI implica no slo un dominio tcnico sobre la materia,
sino tambin un conocimiento del medio especfico en el cual se va a aplicar.
Teniendo en cuenta que el SCI no es un objetivo en si mismo, un criterio
fundamental, al momento de concebir e implantar tales sistemas, es considerar
constantemente la relacin costo-beneficio. En particular, el costo de cada
componente del SCI se debe contrastar con el beneficio general, los riesgos que
reduce al mnimo y el impacto que tiene en el cumplimiento de las metas de la
organizacin. El reto es encontrar el justo equilibrio en el diseo del SCI, pues un
excesivo control puede ser costoso y contraproducente.
Organizacin de la funcin del control interno.
La existencia de una oficina especializada en el rea de control interno, resulta
conveniente con el fin de que lidere el proceso de diseo e implantacin del
sistema.
Plan de desarrollo de la funcin de control interno.
La institucionalizacin de la funcin de control interno es todo un proceso, por esta
razn es importante que su desarrollo obedezca a una plan, el cual debe ser un
producto concertado entra la oficina de control interno y las directivas de la
organizacin. Dicho plan debe contemplar los siguientes elementos bsicos:
Definicin de la misin del SCI.
Definicin del alcance de las funciones de la oficina de control interno en el rea
de control de gestin.
Divisin de trabajo entra la lnea de la organizacin y la oficina de control interno
en el desarrollo de las actividades de control.
Definicin y cronograma de desarrollo de las herramientas computacionales y de
otra naturaleza que servirn de apoyo en el ejercicio del control interno.
Cronograma de formalizacin, documentacin e implantacin de los procesos y
procedimientos crticos.
Cronograma para la elaboracin y expedicin de loa manuales de control interno.

 Cronograma de formalizacin, documentacin e implantacin de los dems

procesos y procedimientos de la organizacin.
Plan de trabajo para la formalizacin y documentacin de los dems procesos y
procedimientos.
No todos los procesos y procedimientos deben estar formalizados y
documentados antes de montar el sistema. ste es un proceso que al principio
puede resultar lento, pero que se ir agilizando a medid que las distintas reas de
la organizacin comprendan su importancia y comiencen a percibir los beneficios.
Por esta razn, lo prioritario es iniciar la actividad con los procesos y
procedimientos que se consideren crticos para la entidad, es decir, aquellos que
puedan afectar de manera significativa la marcha de la organizacin y sus
resultados.
El levantamiento de la informacin de estos procesos y procedimientos debe ser
una responsabilidad de las reas, bajo la premisa de que ellas son las que poseen
la informacin y las que, una vez operando el sistema, van a recibir los mayores
beneficios.
Mecanismos e instrumentos de control interno.
Los mecanismos e instrumentos de control interno son variables, dependiendo no
slo de la naturaleza de la organizacin, sino de las caractersticas del rea en la
que se apliquen.
El diseo de los mecanismos e instrumentos debe ser una actividad compartida
entre los empleados responsables y la oficina de control interno, con el fin de
lograr un compromiso entra la seguridad y la eficiencia.
Mecanismos e instrumentos de reporte y seguimiento.
Los mecanismos e instrumentos de seguimiento y reporte varan segn la
naturaleza de la organizacin y de las reas, para que sean tiles , el seguimiento
y el reporte deben tener un perodo inferior al que se han definido para la
obtencin de resultados en el proceso objeto de control.
Manuales o guas de control interno.
Los manuales de control interno son piezas dentro del sistema. Su elaboracin
debe ser una de las actividades centrales de la oficina de control interno y deben
estar explcitamente contemplado dentro del plan de desarrollo de la funcin de
control interno. Con el fin de facilitar el proceso de actualizacin de estos
manuales, es recomendable adoptar el sistema de hojas intercambiables. Las
actualizaciones deben producir cada vez que la oficina de control interno, de

comn acuerdo con los empleados responsables, llegue a la conclusin de que el

proceso o procedimiento, o que el mecanismo o instrumento de control utilizado se
deben modificar.
Una vez elaborados, los manuales de control interno constituyen el elemento
primordial del proceso de capacitacin de los empleados responsables.

6. Seguridad en el rea del control de transmisin de datos

Dado que vamos a estudiar las LAN, es conveniente dar una definicin de la
misma que podra ser: Un sistema de transmisin de datos que permite compartir
recursos e informacin por medio de ordenadores, o redes de ordenadores.
Una definicin ms completa y actual de Red local sera: Un sistema de
comunicaciones capaz de facilitar el intercambio de datos informticos, voz,
facsmil, vdeo conferencias, difusin de vdeo, telemetra y cualquier otra forma de
comunicacin electrnica.
Existe no obstante una definicin oficial, la del Comit IEEE 802, quien define una
Red local de la siguiente manera: Una Red local es un sistema de comunicaciones
que permite que un nmero de dispositivos independientes se comuniquen entre
si.
Una Red local, como su nombre indica, debe ser local en cuanto al mbito
geogrfico, aunque local puede significar cualquier cosa, desde una oficina o un
edificio de ocho plantas, hasta un complejo industrial con docenas de edificios con
muchos pisos.
El trmino de red local incluye tanto el software con el hardware necesario para la
conexin, gestin y mantenimiento de los dispositivos y para el tratamiento de la
informacin.

Las principales caractersticas de las LAN se podran resumir en las siguientes:

Entornos de pocos Km. (normalmente no suele superar los 3.000 metros )

Uso de un medio de comunicacin privado.

Altas velocidades de transmisin (entre 1 y 5 millones de bits por segundo).

La simplicidad del medio de transmisin que utiliza (cable coaxial, cables

telefnicos y fibra ptica).

La facilidad con que se pueden efectuar cambios en el hardware y el

software.

Gran variedad y nmero de dispositivos conectados.

Posibilidad de conexin con otras redes.

La facilidad de uso.

Ventajas de las redes locales

Las razones ms usuales para instalar una red de ordenadores son las que se
listan a continuacin.

Comparticin de programas y archivos.

Comparticin de los recursos de la red.

Expansin de econmica de una base de PC.

Posibilidad de utilizar software de red.

Correo electrnico.

Gestin centralizada.

Seguridad.

Acceso a otros sistemas operativos.

Mejoras en la organizacin de la empresa.