El documento describe los aspectos clave de una buena gestión de sistemas informáticos, incluyendo la seguridad de datos, el mantenimiento de servidores y la documentación de sistemas. También cubre controles internos como la división de tareas y la asignación de responsabilidades, así como la identificación de riesgos y la factibilidad de posibles soluciones.

1. Identificar una buena gestión de los sistemas

2.  Responsables: departamento de informática,
jefe de informática o CIO (Chief Information
Officer).
 Establece como prioridad la seguridad y
protección de la información
 Proveer la confiabilidad y veracidad de los
datos.
 Establece las acciones necesarias para el
adecuado desempeño de los sistemas.

3.  Servidores de almacenamiento de datos con
mecanismos de redundancia, discos duros
múltiples (RAID).
 Validación de los datos por medio de
software, contraseñas, datos lógicos y
preguntas de seguridad.
 Contar con la documentación de los sistemas,
manuales de operación y mantenimiento.

4.  Controles internos de la organización:
 Dirección (debe tener un encargado)
 División del trabajo (personal asignado para cada
tarea, especialización)
 Asignación de responsabilidades
 Establecimientos de estándares (manuales de
procedimientos para cada puesto)
 Perfiles de puestos (requisitos mínimos de
estudios / experiencia)

5.  Estandarización de metodologías de desarrollo
de proyectos (ej. ciclo de vida clásico)
 Asegurar el beneficio del sistema (uso vs. costo)
 Elaborar estudio de factibilidad (se pueden
pagar u obtener los recursos necesarios)
 Garantizar la eficacia y eficiencia del diseño (es
lo que se pidió? El sistema puede colapsar?)
 Vigilar la eficiencia y eficacia de la
implementación (ej. tiempo de instalación)
 Optimización del uso del sistema por medio de
la documentación (manuales fáciles y prácticos)

6.  Prevenir y corregir los errores de operación
(ej. capacitar a los usuarios)
 Prevenir la manipulación fraudulenta de
datos (ej. Establecer niveles de usuario:
operador, administrador, etc.)
 Implementar y mantener la seguridad en la
información (ej. Copias de seguridad
programadas)

7.  Controles para prevenir y evitar
contingencias
 Controles sobre la seguridad lógica del área
de sistemas
 Control sobre la seguridad física del área de
sistemas
 Controles de seguridad de la BD
 Controles sobre la seguridad del personal
 Controles sobre la telecomunicación de datos
 Controles sobre la seguridad de redes

8.  Manuales de operación por medio de diagramas
de bloques o flujos.
 Designar al personal que será responsable de
equipos de red y servidores.
 El cuarto de servidores cuenta con cerradura
tradicional o cerradura eléctrica con tarjetas de
cinta magnética.
 Direcciones IP de los servidores o rutas de
información deben ser confidenciales.
 Políticas de seguridad en el Sistema Operativo
 Implementación de VPN o redes privadas
virtuales.

9. Identificando riesgos en el sistema

10.  Lugar o momento donde existe riesgo o
posibilidad falla o error.
 Puntos de control básicos:
 Ingreso de datos
 Creación de archivos
 Manipulación de datos
 Actualización de datos
 Almacenamiento

11.  Analizar el sistema (la lógica del sistema)
 Estudiar cada una de las pantallas (o procesos)
del sistema y determinar si existe riesgo
 Si existe riesgo, comprobar la relación de
entradas y salidas.
 Evaluar la incidencia de la posible falla o error
(cuan posible es introducir un entrada invalida)
 Establecer el mecanismo de control (la solución)
 Establecer la factibilidad del punto de control

12.  Identificar si la organización es capaz de cumplir
las metas o establecer nuevas soluciones con los
recursos actuales de la organización.
 Factibilidades:
 Técnica, mejorar directamente la tecnología.
 Económica, costo de implementar mejora vs.
Desempeño + financiamiento.
 Factibilidad operativa, la solución
implementada, mejora o dificulta el uso del
sistema? Hará mas lentas las operaciones?

13.  En la Cooperativa Xelaju se detectaron entradas ilegales (no
intencionales) en la base de datos por personal no autorizado
 Las soluciones propuestas son:
 Que el operador ingrese su numero de trabajador, su nombre de
usuario y su contraseña en cada operación, la contraseña alfanumérica
es de 10 dígitos.
 Costo de modificación Q3500.00 que incluye mejora de código y 1
hora para reinstalación.
 Retrasa la operación aprox. 30 segundos.
 Promedio tiempo/transacción 5 min
 6 horas de jornada de trabajo
 6x60 min / 5 min = # operaciones por jornada
 6x60 min / 5.5 min = # operaciones por jornada con modificación
 # operaciones jornada - # operaciones modificación = # operaciones
perdidas (x semana? Y x mes?)

14.  En cada estación de trabajo se debe de instalar un
lector de huellas digitales por medio del cual se realiza
la autenticación de operaciones.
 Hay 8 estaciones de trabajo y el lector cuesta Q150.00,
en total son Q1200.00
 Implementar el software de lectura de huella tiene un
costo de Q4000.00 y la reinstalación dura 2 horas.
 Prácticamente no retrasa la operación por lo que los
tiempos de operación se mantienen iguales
 6x60 min / 5 min = # operaciones diarias con
modificación y sin modificación
 QUE SOLUCIÓN ES LA MEJOR?

15.  Analice el sistema de “Control Web De Alumnos”
de la Universidad Mesoamericana en base a su
propia experiencia y establezca los puntos de
control en base al siguiente esquema:
1) Punto de Control*
1. Falla o Error
2. Daños
3. Justificación de la falla o error
4. Mecanismo propuesto (solución)
*El punto de control puede ser tanto software como
proceso administrativo.