1.6 ACTIVOS INFORMATICOS

● Son aquellos recursos (hardware y software) con los que cuenta una empresa.

● Es decir, todo elemento que compone el proceso completo de comunicación, partiendo desde la información, el emisor, el medio de transmisión y receptor.

● Ejemplo: Servidores, Bases de Datos, Ruters, Racks, Programas Instaladores, Cables de Red, etc.

Es preciso llevar un control de los activos (Hardware y Software) que forman parte del Data Center, como :

● Equipos (Monitores, Teclados, Mouse, Gabinetes, Impresoras, Bocinas)

● Los componentes (Disco Duro, Tarjetas de Red, Tarjetas de Video, etc.)

● Además de señalar su ubicación física (dentro de que equipo se encuentran instalados)

● Es importante llevar un control sobre los activos de informática, tanto para control interno como externo.

● Se deben implementar políticas claras para la asignación y control de estos activos.

● Tiene como finalidad ayudar ala evaluación de la eficiencia y eficacia de la gestión administrativa.

Objetivos del Control Interno Informático

● Establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informaticos de la empresa.

● Promover la confiabilidad, oportunidad y claridad de la captación de datos. Su procesamiento en el sistema y la muestra de informes en la empresa.

● Implementar métodos, técnicas y procedimientos necesarios para contribuir al eficiente desarrollo de las funciones, actividades y tareas de los servicios informáticos para satisfacer los requerimientos de sistemas de la empresa.

● Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa.

● Establecer las acciones necesarias para el adecuado diseño de sistemas computarizados a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información de la empresa.

1.7 Control de Seguridad

● Luego de identificar los requerimientos de seguridad se deben implementar controles a fin de garantizar que los riesgos se reduzcan a un nivel aceptable.

● No es la acción lo importante si no la forma de hacerlo, ya que la Norma ISO 17799:2000 deja abierta la posibilidad de que se puedan consultar otros estándares para realizar un control cutomizado para la empresa.

● La norma ISO 17799:2000 expone algunos métodos de control reconociendo que cada empresa tiene su distribución y sus formas de manejar los datos.

● Los controles deben seleccionarse, considerando el costo de implementación en relación con los riesgos a reducir y las pérdidas que se producirían en caso de que ocurra una violación de la seguridad

● Además deben tenerse en cuenta los factores no monetarios, como el daño en la reputación de la compañía, por ejemplo:

● Desde el punto de vista legal, los controles que se estiman esenciales para una organización comprenden los siguientes aspectos:

● Protección de datos y confidencialidad de la información personal.

● Protección de registros y documentos de la organización.

● Derechos de propiedad intelectual.

● Por otro lado los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información son los siguientes:

● Documentación de la política de seguridad de la información

● Asignación de responsabilidades en materia de seguridad de la información

● Instrucción y entrenamiento en materia de seguridad de la información

● Comunicación de incidentes relativos a la seguridad

● Administración de la continuidad de la empresa

● Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los ambientes.

● Investiga cual es el contenido y el propósito de la Norma ISO 17799:2005