TEORIA GENERAL DE RIESGOS Y CONTROLES

1

ORGANIZACIÓN DEL DEPARTAMENTO DE INFORMATICA

Como es de saberse, resulta de vital importancia nuestro conocimiento en el área de sistemas. Y mas aun, para nuestro entender, es sumamente imperdonable el desconocimiento de la estructura organizativa del departamento de sistemas en cualquier empresa.

2

EL DEPARTAMENTO DE INFORMÁTICA PROVEE EL SOFTWARE Y EL APOYO OPERACIONAL NECESARIO PARA PRODUCIR INFORMACIÓN. EL DEBER PRINCIPAL DEL DEPARTAMENTO DE INFORMÁTICA ES RESPONDER A LAS NECESIDADES DE LA ORGANIZACIÓN EN CUANTO AL PROCESAMIENTO DE LA INFORMACIÓN.

EN DICHO DEPARTAMENTO, LOS CAMPOS PARA UN ESPECIALISTA PUEDEN DIVIDIRSE EN SIETE GRUPOS: GERENCIA, ANÁLISIS DE SISTEMAS, PROGRAMACIÓN, SOPORTE TÉCNICO, COMUNICACIÓN DE DATOS, OPERACIONES Y CAPACITACIÓN.

Organización:

3

La descripción de las posiciones en cada uno de estos siete grupos principales se presenta en las siguientes secciones:

Área de comunicación de datos: El especialista en la comunicación de datos diseña y da mantenimiento a las redes de computación que enlazan computadoras y estaciones de trabajo para posibilitar la comunicación de datos.

Área de soporte técnico: Los programadores de sistemas desarrollan y mantienen el software de los sistemas. 4

Aren de operaciones: El operador de computadoras realiza las actividades que se basan en el hardware, necesarios para mantener la producción de los sistemas de información.

Área de capacitación. El coordinador de capacitación ordena todas las actividades educativas relacionadas con la computación.

5

ORGANIZACIÓN DE UN DEPARTAMENTO DE INFORMÁTICA

Deben cumplir con. las funciones de análisis de sistemas, programación, soporte técnico, comunicación de datos, operación y capacitación. SI se descubren diferencias en la manera

en que están organizados, se debe en gran parte al grado de especialización.

6

ESPECIALISTAS EN AUTOMATIZACIÓN DE OFICINAS.

generalmente asociadas con el trabajo de oficina,

como el procesamiento de textos, el procesamiento de imagen y el correo electrónico .

7

ESPECIALISTAS EN MICROCOMPUTADORAS Los usuarios no siempre tienen tiempo de

aprender los detalles para usar las microcomputadoras y el hardware relacionado con ellas.

8

ESPECIALISTAS DE UN CENTRO DE INFORMACIÓN

Su función. Dirigen sesiones de capacitación, responden dudas, y motiva a los usuarios a que se ayuden a sí

mismos.

9

APLICACIONES DE LAS COMPUTADORAS EN EL FUTURO

El panorama para aplicaciones innovadoras, excitantes y benéficas se presenta muy brillante en realidad.

 Redes de información  Comunicaciones En la oficina

10

Inteligencia artificial La investigación en la inteligencia artificial continúa perfeccionando las habilidades de las computadoras para imitar las habilidades sensitivas humanas.

11

OPEREACIONES EN CENTROS DE PROCESAMIENTOS

Cuando se habla de procesos u operaciones, se tiende a confundir con funciones y se bifurcan estos termino.

La pregunta que se debe hacer cuando pretendemos abordar el termino es ¿Como lo hace?. Y la respuesta la describiremos de la siguiente manera:

12

El esquema que describe completamente lo que opera o procesan los sistemas es:

13

Trae tus sueños Juntos los realizaremos

Hay tres fundamentos a los cuales debe regirse un centro de procesamiento de datos:

1. Fuentes.

2. Procesos.

3. Seguridad.

4. Salidas.

14

Fuentes: Son los datos, información, materia prima.

Proceso: Maquina.

Seguridad: Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de los diferentes daños.

15

El contenido del paquete de seguridad es: • Disponibilidad, Utilidad, Integridad, Autenticidad, Confidencialidad, Posesión.

se pueden considerar de igual manera entre los elementos de para el establecimiento de políticas de seguridad.

• Objetivos de la política y descripción clara de los elementos involucrados.

• Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.

• Definición de reglas y sus consecuencias del no cumplimiento de la política.

16

Salidas del Sistema: Es la culminación de superar las fases de entradas, procesos; las salidas son a las que se aplica la fase de seguridad.

La manipulación de ellas (las salidas), es el tesoro mas preciado en la empresa o entidad; en fin, el centro de procesamiento de datos.

17

TIPO DE CONTROLES

Externos: Administrativos: Documentación: Procesamientos: Seguridad:

18

FUNCIÓN DE PRODUCCIÓN: Producir transformar inputs en outputs

añadiendo valor. - Tareas acciones realizadas por trabajadores

o máquinas sobre materias primas, productos intermedios o productos terminados.

* Esenciales manejo del material * Auxiliares fijación y suelta de piezas en las

máquinas * Margen de tolerancia tiempo perdido * De post-ajuste o de reparación de las

máquinas. - Flujos la producción supone una serie de

flujos (movimientos). Hay dos flujos: 19

Fases en la función de producción:

Fase internamente neutral

Externamente neutral, no vale con que sea capaz de atender las oscilaciones de la demanda.

Apoyo interno la producción apoya la puesta en marcha de la estrategia empresarial.

Apoyo externo la producción puede ser el verdadero origen de una ventaja competitiva. 20

Eficiencia de los Sistemas:

Está claro que el sistema de información corporativo no

cumple su misión: informar; antes bien, desinforma a los usuarios, lo que tiene indeseables consecuencias, una de las cuales queda patente en la cada vez más usada definición de información asimétrica: “Problema, común a la economía, que surge cuando dos partes negocian sin una información totalmente común”.

En este contexto, dominado por los tsumanis normativos, hay que mencionar en primera aproximación dos casos que afectan en mayor medida a la seguridad en informática y comunicaciones de los sistemas de información corporativos.

21

COMITÉ DE AUDITORÍA

Comité de Auditoria y cuestiones de su ámbito, desarrollado por la Ley Financiera. Entre sus funciones destacan las siguientes:

– Conocimiento de proceso de INFORMACIÓN y del sistema

de CONTROL INTERNO.– Supervisará la AUDITORÍA INTERNA.– Propondrá el nombramiento de la AUDITORÍA EXTERNA al Consejo de Administración para sometimiento a la Junta General.– Marcará las relaciones con la AUDITORÍA EXTERNA, teniendo en cuenta las Normas Técnicas de Auditoria.– Informará a la Junta general sobre cuestiones planteadas por los accionistas en materias de su competencia.

22

AUDITORÍA CONTINUA:

El término auditoria, y más si le añadimos adjetivos, goza de una extensa e intensa utilización equívoca, que normalmente es la menos equívoca de su aprovechamiento.

Se entiende que si algo se audita, es para comprobar si está bien o mal (suena esto al concepto de auditoria integral o total).

23

Es una revisión “no necesariamente exhaustiva”, referida a un “período de tiempo determinado”.

24

PROCESAMIENTO Y ACTUALIZACION DE DATOS

25

PROCESAMIENTO Y ACTUALIZACION DE DATOS

Identificar: Se resaltan datos relevantes (sin actualizar), es decir que no corresponden a la realidad.

Solicitar datos actuales: Que corresponden a la actualidad.

Actualizar: Implementar los datos actuales (introducirlos a sistema).

26

PROCESAMIENTO Y ACTUALIZACION DE DATOS

Ejemplos: Software (Nuevo sistema operativo), Hardware (Nuevo dispositivo); Infamación (Datos irreales).

27

SEGURIDAD INFORMATICA

Podemos entender como seguridad una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo.

28

TERMINOS RELACIONADOS CON LA SEGURIDAD

Activo: Amenaza: Impacto: Riesgo: Vulnerabilidad: Ataque: Desastre o Contingencia:

29

ANÁLISIS DE RIESGOS

Los objetivos para conseguirlo son: Restringir el acceso (de personas de la organización y de las

que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no

puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).

Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.

Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.

Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o software empleados.

30

PUESTA EN MARCHA DE UNA POLITICA DE

SEGURIDAD Elaborar reglas y procedimientos para cada

servicio de la organización Definir las acciones a emprender y elegir las

personas a contactar en caso de detectar una posible intrusión

Sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos

31

LAS AMENAZAS

Estos fenómenos pueden ser causados por: Un operador: Programas maliciosos: Un intruso: Un siniestro (robo, incendio, por agua) :

32

Consideraciones de software

Consideraciones de una red

Organismos oficiales de seguridad informática

33