CONTROLES DE ACCESO

Los controles de acceso a la información restringen el uso indiscriminado o no

autorizado de la información, y debe contemplar lo siguiente:

 Debe considerarse que los programas que procesan información contable

estén protegidos de cambios no autorizados.
 Deben ser accesados los programas, sólo por usuarios con necesidades
legítimas.
 Deben establecerse controles de acceso a las bibliotecas.
 Deben definirse los perfiles de programadores y operadores,
especialmente los relativos al programador, debido a que frecuentemente
no se considera que deben tener acceso restringido.
 CONTEXTO DE APLICACIÓN DEL CONTROL
INTERNO CONTABLE DE PED

Los controles de acceso a la información restringen el uso indiscriminado o no

autorizado de la información, y debe contemplar lo siguiente:

El control interno contable de PED forma parte del ambiente de control

interno de los sistemas de información de la organización. El mismo, debe
implantarse tomando en consideración la naturaleza de los sistemas de
información, incluyendo el grado de mecanización del procesamiento de
transacciones, la complejidad de la tecnología utilizada y el grado en que la
información contable generada depende de PED.
 CONTEXTO DE APLICACIÓN DEL CONTROL
INTERNO CONTABLE DE PED
En la figura 18-1, se muestra la ubicación del control interno contable en el
contexto de los controles de toda la organización.
Control interno
de la organización

Control interno
de los Control interno
sistemas de los
de información sistemas
contables

Por otra parte, es necesario tener siempre presente que la cantidad de

controles que se establezcan deben estar siempre en relación directa con la
importancia de aquello que se desea controlar. Esta premisa fundamental debe
ser considerada al realizar cualquier análisis de costo/beneficio, para
determinar si se requiere que un con-trol específico sea implantado, o no.
 CONTROLES DE ACCESO AL SISTEMA

Los controles de acceso son aquellos que aseguran el uso autorizado de los
recursos de PED. Su objeto es restringir la disponibilidad de los recursos del
sistema -tanto de hardware romo de software- para que tales recursos, sólo
sean utilizados por los usuarios autorizados, y por otra parte, que éstos puedan
accesar aquellas funciones para las cuales han sido autorizados.

Para establecer un esquema de control de acceso, es necesario precisar el

significado de algunos términos utilizados anteriormente:

 Usuario o sujeto: Un usuario o sujeto es toda entidad que intenta realizar

alguna actividad dentro del sistema considerado, como por ejemplo,
personas, programas y dispositivos. Un usuario o sujeto inicia procesos que
tienen que ser verificados de alguna forma por los controles de PED que se
implanten.
 CONTROLES DE ACCESO AL SISTEMA
 Recurso u objeto: Un recurso u objeto es todo aquello susceptible de ser
accedido o utilizado, tales como programas, archivos o dispositivos. Por
ejemplo, un recurso que debe tener acceso restringido, es la documentación
de los programas, la cual constituye información valiosa y necesaria cuando
se van a efectuar cambios a programas que involucren acceso a los
archivos de datos. El uso inapropiado de esta información puede derivar en
violaciones a la seguridad de la información.

 Nivel de acceso: El nivel de acceso es el conjunto de capacidades que tiene

un usuario para realizar una función especifica con un recurso dado. En el
último nivel de análisis, una capacidad debe poseer una propiedad de
dicotomía, es decir, responder a la pregunta sobre si el usuario tiene o no la
autorización para realizar una función en particular. Por ejemplo, el acceso a
los archivos de datos debe permitirse a operadores que tienen la tarea o
asignación de procesar alguna aplicación. La restricción del acceso puede
ser orientada hacia los datos o hacia los programas.
 CONTROLES DE ACCESO AL SISTEMA
Es de hacer notar que dentro de las definiciones presentadas anteriormente,
los conceptos de usuario y recurso pueden comportarse de manera similar.
Efectivamente, el programa de cierre mensual de la contabilidad es un recurso
cuando es ejecutado por un operador, pero a su vez se comporta como usuario
cuando realiza una petición de lectura/escritura a una base de datos (recurso),
por ejemplo, según se muestra en la figura 18-2.
 POLITICA DE CONTROL DE ACCESO
Una política de control de acceso, consiste en establecer los niveles de
acceso que tendrán los diferentes recursos y relacionarlos con los usuarios,
por lo que independientemente de la manera en que se formule, debe
responder a las siguientes interrogantes:

 ¿Quién será el usuario de los recursos de sistema –y quien no lo será-?

 ¿Cuáles son los recursos a los cuales tendrá acceso –y a cuales no-?

 ¿Qué nivel de acceso le será otorgado a un usuario específico para un

determinado recurso?

Nótese que estas consideraciones deben ser tomadas en cuenta de manera

independiente de la instalación –en cuanto al tamaño, tecnología utilizada y
otros aspectos relacionados-, aún cuando la facilidad con la cual se implanten
los mecanismos de seguridad depende de las características propias de la
instalación.
 POLITICA DE CONTROL DE ACCESO
Seguidamente se dan varios ejemplos de controles de acceso que pueden ser
implantados en un ambiente de procesamiento de PED.

 La documentación de los programas de los sistemas, sólo debe permitirse a

personas que utilicen la documentación para el desempeño de sus
funciones. Esto se debe a que los programas son activos valiosos a los
cuales debe restringirse el acceso. Para llevar a cabo este control, se debe
tener un registro acerca del uso de tales registros.

 El uso y acceso de los equipos de cómputo, debe ser restringido

únicamente al personal autorizado para su uso.

 Los datos o archivos de datos almacenados en medios magnéticos

removibles deben ser resguardados contra el uso indebido de personal no
autorizado. Este control debe implantarse por cuanto la información es
susceptible de ser sustraída.