Los controles de los sistemas de informacin pueden ser manuales y
automatizados; consisten tanto de controles generales como de aplicacin. Los controles generales gobiernan el diseo, la seguridad y el uso de los programas de computadora, adems de la seguridad de los archivos de datos en general, a lo largo de toda la infraestructura de tecnologa de la informacin de la organizacin. En conjunto, los controles generales se asignan a todas las aplicaciones computarizadas y consisten en una combinacin de hardware, software y procedimientos manuales que crean un entorno de control en general. Los controles de aplicacin son controles especficos nicos para cada aplicacin computarizada, como nmina o procesamiento de pedidos. Implican procedimientos tanto automatizados como manuales, los cuales aseguran que la aplicacin procese de una forma completa y precisa slo los datos autorizados. Los controles de aplicacin se pueden clasificar controles de entrada, controles de procesamiento y controles de salida EVALUACIN DEL RIESGO
Antes de que su compaa consigne recursos a los controles de seguridad y sistemas de informacin, debe saber qu activos requieren proteccin y el grado de vulnerabilidad de stos. Una evaluacin del riesgo ayuda a responder estas preguntas y a determinar el conjunto ms eficiente de controles para proteger activos. Una evaluacin del riesgo determina el nivel de riesgo para la firma si no se controla una actividad o proceso especfico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la mayora de las empresas podrn adquirir cierta comprensin de los riesgos a los que se enfrentan. Los gerentes de informacin que trabajan con especialistas en sistemas de informacin deberan tratar de determinar el valor de los activos de informacin, los puntos de vulnerabilidad, la probable frecuencia de un problema y el potencial de dao. Por ejemplo, si es probable que un evento ocurra no ms de una vez al ao, con un mximo de una prdida de $1 000 para la organizacin, no es conveniente gastar $20 000 en el diseo y mantenimiento de un control para protegerse contra ese evento. No obstante, si ese mismo evento podra ocurrir por lo menos una vez al da, con una prdida potencial de ms de $300 000 al ao, podra ser muy apropiado invertir $100 000 en un control. POLTICA DE SEGURIDAD
Una vez que identifique los principales riesgos para sus sistemas, su compaa tendr que desarrollar una poltica de seguridad para proteger sus activos. Una poltica de seguridad consiste de enunciados que clasifican los riesgos de informacin, identifican los objetivos de seguridad aceptables y tambin los mecanismos para lograr estos objetivos. La poltica de seguridad controla las polticas que determinan el uso aceptable de los recursos de informacin de la firma y qu miembros de la compaa tienen acceso a sus activos de informacin. Una poltica de uso aceptable (AUP) define los usos admisibles de los recursos de informacin y el equipo de cmputo de la firma, que incluye las computadoras laptop y de escritorio, los dispositivos inalmbricos e Internet. La poltica debe clarificar la poltica de la compaa con respecto a la privacidad, la responsabilidad de los usuarios y el uso personal tanto del equipo como de las redes de la compaa. Una buena AUP define las acciones inaceptables y aceptables para cada usuario, adems de especificar las consecuencias si no se lleva a cabo. Por ejemplo, la poltica de seguridad en Unilever, la gigantesca compaa multinacional de productos para el consumidor, requiere que cada empleado equipado con una laptop o dispositivo mvil de bolsillo utilice un dispositivo especificado por la compaa y emplee una contrasea u otro mtodo de identificacin al iniciar sesin en la red corporativa. La poltica de seguridad tambin comprende de provisiones para administrar la identidad. La administracin de identidad consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios vlidos de un sistema, y para controlar su acceso a los recursos del mismo. Involucra las polticas para identificar y autorizar a distintas categoras de usuarios del sistema, especificar los sistemas o partes de los mismos a los que cada usuario puede acceder, adems de los procesos y las tecnologas para autenticar usuarios y proteger sus identidades PLANIFICACIN DE RECUPERACIN DE DESASTRES Y PLANIFICACIN DE LA CONTINUIDAD DENEGOCIOS La planificacin de recuperacin de desastres idea planes para restaurar los servicios de cmputo y comunicaciones despus de haberse interrumpido. El principal enfoque de los planes de recuperacin de desastres es en los aspectos tcnicos involucrados en mantener los sistemas en funcionamiento, tales como qu archivos respaldar y el mantenimiento de los sistemas de cmputo de respaldo o los servicios de recuperacin de desastres.
La Seguridad Informática Es El Área de La Informática Que Se Enfoca en La Protección de La Infraestructura Computacional y Todo Lo Relacionado Con Esta