I. Introducción 1. Generalidades 1.1 Objetivo de la Reingeniería 1.2 Objetivo de los Controles 2. Seguridad Fisica 2.1 Objetivo de la Seguridad Física 2.2 Aspectos que involucran la Seguridad Física 2.2.1 Control de Acceso 2.2.2 Seguridad contra Incendios 2.2.3 Suministro de Energía 2.2.4 Aire Acondicionado 2.2.5 Detección de Agua 2.2.6 Guardias de Seguridad 2.2.7 Telecomunicaciones 3. Controles relativos a los sistemas 3.1 Controles de Acceso lógico 3.1.1 Necesidad de los controles 3.1.2 Identificación de Usuarios 3.1.3 Suspensión de Permisos 3.1.4 Acceso a Datos 3.1.5 Acceso a Programas y Utilitarios 3.1.6 Controles de Aplicación 3.1.7 Controles de Actividades del Programador de Sistemas 3.1.7.1 Casos Reales sobre accesos no autorizados a sistemas informáticos y, fraudes – El Pentágono, Citibank y Barings Bank of London, Universidad Spring Arbor de Michigan y Proinco de Ecuador. 3.2 Control de Cambios 3.2.1 Razones para establecer un Control de Cambios 3.2.2 Procedimiento de Control de Cambios 3.2.3. Modelo de Formato para Control de Cambios 3.3. Producción y Operaciones 3.3.2 Procedimientos de la función de Producción y Operaciones. 4. Respaldos y recuperacion de programas 4.1 Procedimiento de Respaldos y Recuperación de Programas 4.2 Procedimiento de Almacenamiento de Medios Magnéticos 4.3 Modelos de Formato para Control, Recuperación y Almacenamiento de Respaldos. 5. Controles aplicados en la administracion del personal 5.1 Objetivo de los Controles Administrativos 5.2 Contratación y término de Contratos 5.3 Políticas Administrativas 5.3.1 Vacaciones 5.3.2 Entrenamiento 5.3.3 Uso de Recursos Computacionales 6. Conclusiones 8. Bibliografia
En un proceso de Reingeniería luego de su implantación, los controles no quedan establecidos, por cuanto la Reingeniería se concentra básicamente en nuevos e innovadores diseños de los procesos, buscando un marcado, dramático y notorio incremento en la productividad, eficiencia y utilidades de las empresas, sin contar con el diseño de controles en los procesos. Por lo tanto debe someterse a un análisis para la Implementación de Controles básicos e indispensables y con mayor énfasis en el área de Procesamiento de Datos. El no hacerlo provocará seguramente fallas o desvíos en los nuevos procesos, sin que podamos determinarlos o auscultarlos oportunamente y evitar fallas o errores. Estos lineamientos una vez desarrollados, deben ser aplicados por toda la empresa y principalmente por el personal que labora en el área de sistemas.
El objeto de este trabajo no es enseñarle a hacer una reingeniería ni tampoco el de explicar su metodología. El objeto de este trabajo es el de mostrarle que hay un "más allá" luego de una reingeniería y estos son los controles y seguridades sobre los cuales se centra este trabajo. Mi intención es mostrarle los puntos de alerta de las áreas que corren " mayormente " un peligro inminente, y una forma lo menos técnica posible para explicar al administrador de empresas, las formas de prevenirlos mediante la Implementación de los controles y seguridades de los datos.
Es importante dar a conocer también al administrador de empresas que si bien aunque no sea un experto en sistemas computacionales, debe "conocer" cuales son básicamente los puntos que debiera concentrarse y obtener información detallada del experto en sistemas de su empresa.
Finalmente, si el administrador de empresas lidera un colegio, universidad, industria, banca o empresa comercial, este trabajo le ayudará en mucho, ya que aplica para cualquier tipo de empresa. Su enfoque está dado mayormente al área de procesamiento y afines, pero sus conceptos pueden extenderse inclusive al resto de áreas.
1.1 Objetivo de la Reingeniería
Mucho se ha dicho sobre lo que es y no es la reingeniería. Entre lo que se ha dicho que es la reingeniería, tenemos que es un programa o una metodología que busca un cambio radical, no buscan mejoras incrementales, ni tampoco solo la automatización, ni sólo la organización, ni solo la reducción de tamaño, ni solo la calidad.
Se define a la Reingeniería de Procesos como un enfoque "equilibrado" que contiene elementos de los programas más tradicionales de mejoras, aunque no es un programa "más" de mejora, ya que la reingeniería es mucho más. Busca avances decisivos en medidas importantes que afectan el rendimiento. Busca metas multifacéticas, tanto en calidad, costos, rapidez, flexibilidad, satisfacción del cliente, precisión; todas ellas simultáneamente y no una en especial. La Reingeniería toma como punto de vista los "procesos" y se centra en ellos para re-diseñarlos y por tanto su perspectiva no es funcional ni organizacional.
Por lo antes explicado y por lo que ya ustedes deben conocer de Reingeniería, esta busca enderezar el proceso, quitándole lo serpentino del mismo. Para ello define que un proceso tiene fronteras y que en cada frontera tiene al menos un control, por lo tanto tendrá mínimo dos controles en el proceso, uno para la persona que hace el traspaso y otra para la que recibe lo cual para la Reingeniería es inconcebible. El establecimiento de controles a su manera de ver, perjudica el flujo del proceso ya que incorporan actividades que al punto de esta metodología, No agregan valor.
La definición de reingeniería espera producir la optimización del flujo del trabajo y de la productividad en una organización midiendo ambas en función de los resultados del negocio: incremento de rentabilidad, participación de mercados, rendimiento sobre la inversión, capital social y activos. También la reingeniería se puede medir por reducción de costo total o unitario.
La Reingeniería de procesos establece una correlación explícita entre los resultados del negocio (que son de interés para los altos ejecutivos que optan por este programa), y los resultados del proceso: rapidez, precisión y reducción del tiempo del proceso (que el equipo de reingeniería trata de optimizar).
Sin establecer este vínculo deliberado, cuantificable, entre el fin y los medios, es decir, entre los resultados del negocio y los resultados del proceso; los programas de reingeniería estarían condenados al fracaso.
Finalmente la Reingeniería responde a la evolución de las tendencias en el ambiente de los negocios donde fallan programas de mejora incremental más tradicionales. En muchos casos, sólo la reingeniería promete un cambio suficientemente rápido y radical para mantenerse a tono con el cambiante ambiente de los negocios.
1.2 Objetivo de los Controles
El Control es uno de los pilares en que se fundamenta la administración. Un concepto simple de lo que significa el control sería el de la "medición de resultados actuales y pasados, en relación con los esperados, ya sea total o parcialmente, con el fin de corregir, mejorar y formular nuevos planes". En sí el control busca recolectar sistemáticamente datos para conocer la realización de los planes.
Con los avances tecnológicos y el éxito que tienen los sistemas de comunicación, es posible en muchos casos obtener una "retroalimentación" de las informaciones que resultan del control mismo, y utilizarlas para que la acción correctiva se inicie de forma automática, con lo cual, no hay que esperar hasta que se produzcan íntegramente los resultados para poner en obra la acción correctiva: un procedimiento previamente establecido, va corrigiendo la acción constantemente, con base en esos resultados, sin necesidad de detenerla.
Los controles pueden ser automáticos, manuales o una combinación de ambos. Para tener una idea de las formas en que se presentan los controles tenemos el siguiente ejemplo: Se ha fijado como estándar de temperatura en un local determinado que ésta debe sostenerse entre los 20° y 22° centígrados. En un sistema de control manual hay que visualizar en qué momento el termómetro baje de los 20°C o pase de los 22°C para ajustar la ventilación a fin de cumplir con los estándares señalados.
En un sistema de control automático, al llegar la temperatura a menos de 20° o a más de 22°C automáticamente cambia la calefacción, manteniendo así constantemente la temperatura en el nivel deseado.
En el campo administrativo es posible obtener las mismas aplicaciones, por ejemplo: en inventarios que se requieren puntos de reposición, al llegar al mismo automáticamente se generan los pedidos necesarios para que no falten los elementos indispensables mientras se consume la existencia. Este ejemplo realizado en forma manual, requiere de igual forma un control manual de los niveles de existencias y puntos de reposición.
Luego de esta breve explicación de lo que es el "control", definimos entonces que el objetivo de los controles es el de proporcionar a la empresa, un elemento de seguimiento y detección de desvíos o fallas en los procesos. Se crean con el fin de asegurar los elementos tales como:
–Seguridad, oportunidad y exactitud de la información de acuerdo a los requerimientos de la empresa.
-Aplicación de medidas de protección y control sobre los datos almacenados o de los programas utilizados en el centro de procesamiento como son los microcomputadores de la empresa.
-El diseño de seguridades físicas y administrativas que conlleven al apoyo de las medidas de control para el centro de procesamiento y otros entes que operen con datos oficiales.
-Que los datos oficiales de la empresa sean accesados por personal autorizado expresamente y con atribuciones específicas, mediante la ejecución de un proceso autorizado que refleje un producto final confiable con base a la aplicación de los procesos diseñados.
-El personal con atribuciones, los datos oficiales (datos formales) y procesos autorizados forman parte de todo un sistema de formalidad de la institución, los cuales son continuamente examinados, revisados y aprobados por los mecanismos de control de la empresa y que operan recurrentemente bajo los esquemas de seguridad y control que se apliquen.
-Los procesos, datos y programas que funcionen en una empresa deben llevar siempre una tendencia hacia la formalización (ya sea por los usuarios, auditoría interna, sistemas, control interno, capacitación y otros) cuando estos sean relevantes para la empresa, y cuando su procesamiento ocurra continuamente así como su permanencia. De esta forma se asegura el cumplimiento de todas las normas, políticas y procedimientos y controles establecidos en la Institución.
-Analizar las posibles inversiones necesarias para dar cumplimiento a las normas y procedimientos destinados para seguridad y control de datos; evaluándose con criterio de los beneficios que serían obtenidos por la inversión, y contemplando en todo momento los intereses de la empresa que deben ser salvaguardados.
2.1 Objetivo de la Seguridad Física
El objetivo es el de proteger los sistemas tanto en la parte de hardware, software, documentación y medios magnéticos de los riesgos por pérdidas, extravíos o por daños físicos. Así mismo de los potenciales riesgos se pueden dar en el acceso de personal no autorizado sin los controles adecuados de seguridad física; en los incendios; en las interrupciones de energía eléctrica; en inundaciones por filtraciones de agua y, en los controles de acceso lógico.
2.2 Aspectos que involucran la Seguridad Física
La seguridad física involucra como mínimo los siguientes aspectos:
- Control de Acceso
- Seguridad contra Incendios
- Suministro de Energía
- Aire Acondicionado
- Detección de Agua
- Guardias de Seguridad
- Telecomunicaciones
Aunque la inversión en sistemas de control de acceso no debe ser necesariamente onerosa como la implantación de vidrios a pruebas de balas, guardias armados las 24 horas del día o cámaras de video; las empresas si deben contemplar controles adecuadamente razonables para evitar el acceso de individuos e incluso de personal "no autorizado" al centro de procesamiento o a las áreas de manejo de datos o información oficial y exclusiva.
|
Estos sistemas de Seguridad deben contemplar el uso de claves de seguridad a ser ingresadas a través de un componente electrónico ubicada en cada área o por medio del uso de una tarjeta plástica codificada. La asignación de claves debe estar dada por el representante del área de sistemas y deberán ser modificadas periódicamente para evitar cualquier infiltración dentro del archivo maestro de claves o el otorgamiento de las mismas entre usuarios.
|
Cabe indicar que debe haber para el efecto una interrelación entre cada área que responsabiliza a un individuo a través del uso de una clave, y el área de control que asigna y controla las claves emitidas a los usuarios. El no conocer sobre el despido, renuncia o ausencia de un personal determinado durante un tiempo específico o permanente provocaría que el proceso de control de acceso no tenga éxito por daños provocados por actos de sabotaje, robos, asaltos, etc.
Los accesos también deben ser otorgados sobre la base de la necesidad mínima y dependiendo de los casos bajo la supervisión del Responsable de Sistemas.
Cuando se reasigne personal a otras funciones en las que no requieran del acceso que tenían previamente autorizado; el permiso debe ser revocado una vez que la persona sea reasignada en sus funciones. Así mismo en el periodo de vacaciones del personal debe aplicarse este mismo concepto.
Las movilizaciones de equipos o medios magnéticos deben ser realizadas sólo por personal autorizado y deben seguir el procedimiento de control de movilizaciones de equipos. El guardia de seguridad debe asegurarse que las movilizaciones de equipos o medios magnéticos tanto de ingreso como de egreso se efectúen con las autorizaciones del caso.
El personal que corresponda a la categoría de visitantes y que requieran movilizarse por el centro de procesamiento o afines deberán utilizar una tarjeta que indique su calidad de "visitantes" y estar siempre escoltados o supervisados por personal de la institución y su ingreso y salida debe quedar registrado en una bitácora del área.
La limpieza y aseo del centro de procesamiento y afines debe efectuarse en presencia del personal de la institución. Dicho personal de limpieza debe ingresar previo a la identificación ante el guardia de seguridad quien debe constatar su
nombre dentro del registro del personal externo a la empresa y el horario autorizado para su acceso.
Debe prohibirse el ingreso de personal con maletas o bolsos u objetos que no fueran los que constituyan o sirvan para su labor de limpieza y aseo.
Las tarjetas de acceso a áreas restringidas así como las tarjetas de visitantes deben ser reportadas inmediatamente en el caso de perdidas, al personal de seguridad y al Responsable de sistemas a fin de revocar el uso de dichas tarjetas.
Para casos de emergencia, el personal de seguridad debe tener las llaves del centro de procesamiento y de las oficinas. Estas deben conservarse en sobre sellado, bajo seguridad y revisado periódicamente por Auditoría.
Los horarios de ingreso y salida del personal así como de equipos y medios magnéticos debe ser revisados por el personal de Auditoría periódicamente y comprobado que los movimientos de equipos se hayan efectuado de acuerdo a los controles establecidos y que, el ingreso y salida del personal se haya efectuado en el horario establecido y con los permisos respectivos para entradas o salidas fuera de horario.
Es importante que las empresas prevean la obtención de una póliza que resguarde pérdidas o daños de sus activos fijos.
2.2.2 Seguridad contra Incendios
El centro de procesamiento y afines debe poseer detectores de humo los cuales deben activarse de forma automática al momento de una emanación considerable de humo. Estos dispositivos deben probarse regularmente para corroborar su funcionamiento. En caso de ser detectores de incendios con prolongación automática de agua, deben ubicarse en áreas lejos de los equipos y material no recuperable por contacto con agua.
| |
|
|
El centro de procesamiento debe disponer de suficientes extintores de incendios portables y que deben ser probados periódicamente a fin de que estos puedan funcionar en los casos de emergencias.
|
Debe hacerse una revisión visual de su presurización procediendo a enviar a cargar o descargar el extintor al centro de mantenimiento respectivo.
Así mismo debe señalizarse el área de tal forma que se especifique las áreas en que se prohibe fumar o utilizar material combustible.
Los extintores a ser usados varían de acuerdo a la clase de incendio que se presenten. Tenemos para ello incendios tipo A, B, C y D. Los incendios de Tipo A, se producen en combustibles sólidos corrientes como la madera, textiles, basura, etc. El fuego de esta clase, agrieta el material, origina brasas, deja ceniza y se propaga de afuera hacia adentro. Se le combate preferentemente con agentes de extinción a base de agua.
Los incendios de tipo B se producen en líquidos inflamables: gasolina, aceites, pinturas, grasa, etc. Se caracteriza porque el fuego se produce sólo en superficie. Para combatirlos debemos, preferentemente eliminar el oxígeno que está en contacto y se requiere de agentes de extinción que cumplan ese fin.
Los incendios de tipo C, se producen en equipos eléctricos conectados, aunque este tipo de incendios se produce en materiales sólidos o líquidos, han merecido clasificación especial por el peligro que implica la corriente eléctrica. Se emplean agentes de extinción NO CONDUCTORES DE ELECTRICIDAD.
Los incendios de tipo D se producen en metales livianos, productos químicos, farmacéuticos, etc. Al entrar en combustión estos materiales generan su propio oxígeno; al ser atacados con agentes extintores ordinarios producen violentas reacciones, llegando inclusive a la explosión. Se los combate, preferentemente con agentes extintores especiales como el polvo químico.
A continuación un cuadro explicativo de los tipos de fuegos y tipos de extintores a usarse en cada uno.
CLASE DE FUEGO | EXTINTOR | |||||||
CLASE | TIPO DE MATERIAL COMBUSTIBLE | AGUA | ESPUMA | CO2 | POLVO BC | POLVO ABC | AGENTES ESPECIALES | |
A | Madera, trapos, papel, etc. Sólidos en general | n | n | ê | ê | n | r | |
B | Líquidos inflamables o sólidos de bajo punto de fusión. | r | n | n | n | n | ê | |
C | Equipo eléctrico vivo o conectado | r | r | n | n | n | ê | |
D | Materiales, productos químicos, etc. | r | r | r | ê | ê | n | |
n Adecuado para el tipo/ incendio | ê Puede usarse | r No debe usarse en este tipo /incendios | ||||||
El centro de procesamiento y afines debe ser estructurado con equipos, muebles y material no inflamable. Es preferible la no-utilización de cortinas en el centro de procesamiento. El equipamiento eléctrico como cables, deberá ser instalado y elaborado por personal altamente calificado.
Los interruptores de energía deben estar separados por secciones y uno que permita el corte completo del suministro de energía para casos de emergencia, los mismos que deben estar protegidos para evitar su manipulación accidental.
Por ningún motivo se debe fumar en el área de procesamiento. Cualquier material de fácil combustión, como hojas, manuales, formularios, deberá estar ubicados lejos de las zonas calientes y del posible contacto con elementos inflamables.
| Página siguiente |