2.
Responsables: departamento de informática,
jefe de informática o CIO (Chief Information
Officer).
Establece como prioridad la seguridad y
protección de la información
Proveer la confiabilidad y veracidad de los
datos.
Establece las acciones necesarias para el
adecuado desempeño de los sistemas.
3.
Servidores de almacenamiento de datos con
mecanismos de redundancia, discos duros
múltiples (RAID).
Validación de los datos por medio de
software, contraseñas, datos lógicos y
preguntas de seguridad.
Contar con la documentación de los sistemas,
manuales de operación y mantenimiento.
4.
Controles internos de la organización:
Dirección (debe tener un encargado)
División del trabajo (personal asignado para cada
tarea, especialización)
Asignación de responsabilidades
Establecimientos de estándares (manuales de
procedimientos para cada puesto)
Perfiles de puestos (requisitos mínimos de
estudios / experiencia)
5. Estandarización de metodologías de desarrollo
de proyectos (ej. ciclo de vida clásico)
Asegurar el beneficio del sistema (uso vs. costo)
Elaborar estudio de factibilidad (se pueden
pagar u obtener los recursos necesarios)
Garantizar la eficacia y eficiencia del diseño (es
lo que se pidió? El sistema puede colapsar?)
Vigilar la eficiencia y eficacia de la
implementación (ej. tiempo de instalación)
Optimización del uso del sistema por medio de
la documentación (manuales fáciles y prácticos)
6.
Prevenir y corregir los errores de operación
(ej. capacitar a los usuarios)
Prevenir la manipulación fraudulenta de
datos (ej. Establecer niveles de usuario:
operador, administrador, etc.)
Implementar y mantener la seguridad en la
información (ej. Copias de seguridad
programadas)
7.
Controles para prevenir y evitar
contingencias
Controles sobre la seguridad lógica del área
de sistemas
Control sobre la seguridad física del área de
sistemas
Controles de seguridad de la BD
Controles sobre la seguridad del personal
Controles sobre la telecomunicación de datos
Controles sobre la seguridad de redes
8. Manuales de operación por medio de diagramas
de bloques o flujos.
Designar al personal que será responsable de
equipos de red y servidores.
El cuarto de servidores cuenta con cerradura
tradicional o cerradura eléctrica con tarjetas de
cinta magnética.
Direcciones IP de los servidores o rutas de
información deben ser confidenciales.
Políticas de seguridad en el Sistema Operativo
Implementación de VPN o redes privadas
virtuales.
10.
Lugar o momento donde existe riesgo o
posibilidad falla o error.
Puntos de control básicos:
Ingreso de datos
Creación de archivos
Manipulación de datos
Actualización de datos
Almacenamiento
11. Analizar el sistema (la lógica del sistema)
Estudiar cada una de las pantallas (o procesos)
del sistema y determinar si existe riesgo
Si existe riesgo, comprobar la relación de
entradas y salidas.
Evaluar la incidencia de la posible falla o error
(cuan posible es introducir un entrada invalida)
Establecer el mecanismo de control (la solución)
Establecer la factibilidad del punto de control
12. Identificar si la organización es capaz de cumplir
las metas o establecer nuevas soluciones con los
recursos actuales de la organización.
Factibilidades:
Técnica, mejorar directamente la tecnología.
Económica, costo de implementar mejora vs.
Desempeño + financiamiento.
Factibilidad operativa, la solución
implementada, mejora o dificulta el uso del
sistema? Hará mas lentas las operaciones?
13. En la Cooperativa Xelaju se detectaron entradas ilegales (no
intencionales) en la base de datos por personal no autorizado
Las soluciones propuestas son:
Que el operador ingrese su numero de trabajador, su nombre de
usuario y su contraseña en cada operación, la contraseña alfanumérica
es de 10 dígitos.
Costo de modificación Q3500.00 que incluye mejora de código y 1
hora para reinstalación.
Retrasa la operación aprox. 30 segundos.
Promedio tiempo/transacción 5 min
6 horas de jornada de trabajo
6x60 min / 5 min = # operaciones por jornada
6x60 min / 5.5 min = # operaciones por jornada con modificación
# operaciones jornada - # operaciones modificación = # operaciones
perdidas (x semana? Y x mes?)
14. En cada estación de trabajo se debe de instalar un
lector de huellas digitales por medio del cual se realiza
la autenticación de operaciones.
Hay 8 estaciones de trabajo y el lector cuesta Q150.00,
en total son Q1200.00
Implementar el software de lectura de huella tiene un
costo de Q4000.00 y la reinstalación dura 2 horas.
Prácticamente no retrasa la operación por lo que los
tiempos de operación se mantienen iguales
6x60 min / 5 min = # operaciones diarias con
modificación y sin modificación
QUE SOLUCIÓN ES LA MEJOR?
15.
1)
Analice el sistema de “Control Web De Alumnos”
de la Universidad Mesoamericana en base a su
propia experiencia y establezca los puntos de
control en base al siguiente esquema:
Punto de Control*
Falla o Error
Daños
Justificación de la falla o error
Mecanismo propuesto (solución)
*El punto de control puede ser tanto software como
proceso administrativo.
1.
2.
3.
4.