EL CONTROL COMO PARTE

FUNDAMENTAL DE LOS SISTEMAS

DE INFORMACION

Introducción

El problema con la seguridad es que, tal como el arquero de

fútbol; solo toma importancia cuando falla. Nuestra intuición nos dice
que es normal que no ocurran desastres y el mundo está armado de modo
tal que los desastres son sucesos excepcionales,. Por eso es tan
difícil implementar políticas de seguridad que funcionen.
Una buena política de seguridad y controles evitan la ocurrencia de
incidentes por lo que su importancia pasa desapercibida o tiene poco
impacto. Dentro de la organización estas políticas son vistas a menudo
como complicaciones adicionales más o menos inútiles que podrían
evitarse con solo un poco de confianza y buena suerte.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

EL CONTROL EN LOS SISTEMAS DE INFORMACION

Control es toda acción orientada a minimizar la frecuencia de ocurrencia de

las causas del riesgo o valor de las pérdidas ocasionadas por ellas. Los
controles sirven para asegurar la consecución de los objetivos de la
organización o asegurar el éxito de un sistema y para reducir la exposición
de los riesgos, a niveles razonables.
Los objetivos básicos de los controles son : Prevenir las causas del riesgo,
detectar la ocurrencia de las causas del riesgo , y retroalimentando el
sistema de control interno con medios correctivos.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS SISTEMAS
DE INFORMACION

CONTROL

El control de la calidad debe ser preventivo, no a posteriori.

Si bien la Triple Limitación está compuesta por tres variables,
tiempo, presupuesto y calidad, la variable que más se encuentra
cercana al cliente del proyecto es la calidad. La calidad refleja el
deseo original del cliente que ha dado impulso al proyecto, y será la
variable que determine si el cliente estará satisfecho o no con los
resultados.
El control de la calidad es posible solamente si se parte de
especificaciones claras, previamente definidas y conocidas por todas
las partes involucradas. El control de calidad del proyecto es
comparar los entregables que se están construyendo con dichas
especificaciones, y verificar que estas se están cumpliendo. En
muchos proyectos las especificaciones técnicas no existen o no se
tienen en cuenta: esto produce problemas al momento del cerrar el
proyecto.
Profesora. Laila de Fuertes
 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS SISTEMAS
DE INFORMACION

Importancia del Control

Un entorno operativo seguro exige la garantía de que sólo puedan

acceder a una determinada información aquéllos que están autorizados
para ello, que la información se procese correctamente y que está
disponible cuando se necesita.
Para aplicar controles adecuados, es preciso comprender primero
quién o qué es lo que amenaza dicho entorno, así como conocer los
riesgos asociados a dichas amenazas si llegan a materializarse.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Importancia del Control

Porque es Necesario Identificar los controles ?

Estos son mecanismos que ayudan a disminuir el riesgo a niveles
mínimos o en algunos casos eliminarlos por completo.
Se debe tener en cuenta que dichas medidas tienen tres diferentes
capacidades que incluyen:
• Mecanismos de prevención,
• Mecanismos de detección y
• Mecanismos de corrección. ( mas adelante describiremos estos 3
puntos )

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Proceso de Control

Los controles de seguridad

La seguridad se debe controlar por capas, partiendo de los

controles proactivos, que se anticipan a los problemas, los detectivos
que detectan problemas y los reactivos que se dedican a control de
daños, así existen diversas categorías de controles:

1. El control preventivo, que incluye la sensibilización del

personal, la elaboración de políticas y normas, la
implementación de incentivos y castigos, los respaldos
periódicos, etc.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Proceso de Control

2. El control de detección, que busca detectar los problemas

en sus primeras etapas, antes de que el daño sea mayor o
irreversible. ejemplos de estos controles son los
programas antivirus, firewalls, auditorias, etc.

3. El control correctivo, que se encarga de reparar los daños

y eliminar las causas del problema de seguridad. Los
parches de software, la separación de un funcionario
deshonesto o incompetente, la recuperación de datos
perdidos, etc. son ejemplos de control correctivo.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Proceso de Control

4. El control del acceso que evita que personas no

autorizadas tengan acceso a ciertos equipos o tipo de
información, ejemplo típico de esto es la asignación y
administración de passwords.
5. Controles de monitoreo (suirvellance) consisten en
registrar, normalmente sin conocimiento o acceso del
operador, sus actividades en archivos log, snapshots o
cualquier otro medio
6. Controles de cambios en las aplicaciones, consiste en
llevar un registro de las modificaciones que sufren las
aplicaciones y verificar que solo se ejecutan aplicaciones
debidamente revisadas y aprobadas.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Proceso de Control

El Esquema que se presentara, incluye la funcionalidad y utilidad

del control, y se identifican las personas responsables de la
implantación de los controles.
Está Diagramacion son mecanismos de prevención, mecanismos de
detección y mecanismos de corrección.

Debemos tomar en cuenta el poder:

•Identificar los controles necesarios: En este paso se
precisan/definen los controles
•Diseñar los controles definitivos: En este paso se tienen los
productos necesarios para iniciar el proceso de implantación de
los controles utilizados o bien para empezar la construcción de
dichos mecanismos.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

• Función de las
medidas de control
preventivas, de
detección y
correctivas.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Los siguientes criterios permiten evaluar en un monto simbólico los

mecanismos de control:

• Confidencialidad: Se refiere a la protección de la información

principalmente de accesos no autorizados. Información del personal,
investigaciones y reportes de desarrollo son algunos de los ejemplos
de información que necesita confidencialidad.

• Integridad: Es el servicio ofrecido por el departamento de

informática. Debe ser adecuado, completo y auténtico en el momento de
ser procesada, presentada, guardada o transmitida la información.

Profesora. Laila de Fuertes

 EL CONTROL COMO PARTE
FUNDAMENTAL DE LOS
SISTEMAS DE INFORMACION

Los siguientes criterios permiten evaluar en un monto simbólico los

mecanismos de control:

• Disponibilidad: Indica la disponibilidad que pueden tener en un

determinado momento las actividades informáticas. Esta disponibilidad
debe ser inmediata.
• Resultados del análisis de riesgos: Los resultados del análisis de
riesgos, deben dados a conocer oportunamente para que sean
incorporados, desde las primeras fases del proceso.
• Verificar por parte de la auditoría informática, la incorporación
oportuna de los controles: La auditoría informática debe conocer el
resultado del análisis de riesgos y verificar su implantación oportuna,
para asegurar los mejores niveles de calidad, seguridad y efectividad
de los procesos informáticos.

Profesora. Laila de Fuertes

 EL IMPACTO DE LAS NUEVAS
TECNOLOGIAS SOBRE LA
FUNCION INFORMATICA

• Ninguna empresa puede consolidarse si su sistema de seguridad no

evoluciona en razón de la dinámica de los riesgos de su entorno
Tecnológico.

Profesora. Laila de Fuertes

 Los negocios Los riesgos
avanzan, pero cambian con el
requieren una base tiempo.
segura.
Si los riesgos
cambian, ¿por
qué no cambiar
la seguridad?

Si la seguridad no
avanza al ritmo de
los riesgos, pierde
efectividad.

94 95 96 97 98 99 00 Laila
Profesora. 01 de
02Fuertes
03 04 05 06 07
Importancia de la prevención de
riesgos y seguridad en las
empresas

Profesora. Laila de Fuertes

El factor humano debe participar
en las labores de prevención,
inteligencia y protección de los
activos e información de la
empresa.
El personal debe estar
sensibilizado y concientizado
acerca de los riesgos y
amenazas de su entorno.
Se deben establecer programas
permanentes de capacitación,
entrenamiento y certificación de
conocimientos, habilidades y
actitudes en materia de
seguridad.
Profesora. Laila de Fuertes