CONTROLES DE LOS SISTEMAS DE INFORMACIN

Los controles de los sistemas de informacin pueden ser manuales y

automatizados; consisten tanto de controles generales como de aplicacin. Los
controles generales gobiernan el diseo, la seguridad y el uso de los programas
de computadora, adems de la seguridad de los archivos de datos en general, a
lo largo de toda la infraestructura de tecnologa de la informacin de la
organizacin. En conjunto, los controles generales se asignan a todas las
aplicaciones computarizadas y consisten en una combinacin de hardware,
software y procedimientos manuales que crean un entorno de control en
general.
Los controles de aplicacin son controles especficos nicos para cada aplicacin
computarizada, como nmina o procesamiento de pedidos. Implican
procedimientos tanto automatizados como manuales, los cuales aseguran que la
aplicacin procese de una forma completa y precisa slo los datos autorizados.
Los controles de aplicacin se pueden clasificar controles de entrada, controles
de procesamiento y controles de salida
EVALUACIN DEL RIESGO

Antes de que su compaa consigne recursos a los controles de seguridad y sistemas
de informacin, debe saber qu activos requieren proteccin y el grado de
vulnerabilidad de stos. Una evaluacin del riesgo ayuda a responder estas
preguntas y a determinar el conjunto ms eficiente de controles para proteger
activos. Una evaluacin del riesgo determina el nivel de riesgo para la firma si no se
controla una actividad o proceso especfico de manera apropiada. No todos los
riesgos se pueden anticipar o medir, pero la mayora de las empresas podrn
adquirir cierta comprensin de los riesgos a los que se enfrentan. Los gerentes de
informacin que trabajan con especialistas en sistemas de informacin deberan
tratar de determinar el valor de los activos de informacin, los puntos de
vulnerabilidad, la probable frecuencia de un problema y el potencial de dao. Por
ejemplo, si es probable que un evento ocurra no ms de una vez al ao, con un
mximo de una prdida de $1 000 para la organizacin, no es conveniente gastar
$20 000 en el diseo y mantenimiento de un control para protegerse contra ese
evento. No obstante, si ese mismo evento podra ocurrir por lo menos una vez al
da, con una prdida potencial de ms de $300 000 al ao, podra ser muy
apropiado invertir $100 000 en un control.
POLTICA DE SEGURIDAD


Una vez que identifique los principales riesgos para sus sistemas, su compaa
tendr que desarrollar una poltica de seguridad para proteger sus activos. Una
poltica de seguridad consiste de enunciados que clasifican los riesgos de
informacin, identifican los objetivos de seguridad aceptables y tambin los
mecanismos para lograr estos objetivos. La poltica de seguridad controla las
polticas que determinan el uso aceptable de los recursos de informacin de la
firma y qu miembros de la compaa tienen acceso a sus activos de informacin.
Una poltica de uso aceptable (AUP) define los usos admisibles de los recursos de
informacin y el equipo de cmputo de la firma, que incluye las computadoras
laptop y de escritorio, los dispositivos inalmbricos e Internet. La poltica debe
clarificar la poltica de la compaa con respecto a la privacidad, la responsabilidad
de los usuarios y el uso personal tanto del equipo como de las redes de la
compaa. Una buena AUP define las acciones inaceptables y aceptables para cada
usuario, adems de especificar las consecuencias si no se lleva a cabo. Por ejemplo,
la poltica de seguridad en Unilever, la gigantesca compaa multinacional de
productos para el consumidor, requiere que cada empleado equipado con una
laptop o dispositivo mvil de bolsillo utilice un dispositivo especificado por la
compaa y emplee una contrasea u otro mtodo de identificacin al iniciar sesin
en la red corporativa.
La poltica de seguridad tambin comprende de provisiones para administrar la
identidad.
La administracin de identidad consiste en los procesos de negocios y las
herramientas de software para identificar a los usuarios vlidos de un sistema, y
para controlar su acceso a los recursos del mismo. Involucra las polticas para
identificar y autorizar a distintas categoras de usuarios del sistema, especificar los
sistemas o partes de los mismos a los que cada usuario puede acceder, adems de
los procesos y las tecnologas para autenticar usuarios y proteger sus identidades
PLANIFICACIN DE RECUPERACIN DE DESASTRES Y PLANIFICACIN DE
LA CONTINUIDAD DENEGOCIOS
La planificacin de recuperacin de desastres idea planes para restaurar los
servicios de cmputo y comunicaciones despus de haberse interrumpido. El
principal enfoque de los planes de recuperacin de desastres es en los aspectos
tcnicos involucrados en mantener los sistemas en funcionamiento, tales como qu
archivos respaldar y el mantenimiento de los sistemas de cmputo de respaldo o
los servicios de recuperacin de desastres.