clase diecisiete 2011

Tecnología de la Tecnología de la InformaciónInformación

ControlControl

Tecnología de la Información 2011 Prof. Tecnología de la Información 2011 Prof. Norma MoralesNorma Morales

33

Si vale la pena procesar y transmitir Si vale la pena procesar y transmitir la información, vale la pena la información, vale la pena procesarla y transmitirla correcta y procesarla y transmitirla correcta y eficientemente y protegerla contra eficientemente y protegerla contra una diversidad de peligros y abusos.una diversidad de peligros y abusos.

Los controles aseguran la protección Los controles aseguran la protección de los Sistemas de Información de los Sistemas de Información contra una variedad de peligros y contra una variedad de peligros y abusos potenciales y en casos abusos potenciales y en casos extremos aseguran la supervivencia extremos aseguran la supervivencia de la organizaciónde la organización


44

El centro de datos o sistema de El centro de datos o sistema de información es un recurso información es un recurso importante y muy valioso para la importante y muy valioso para la organización. Desde que se está organización. Desde que se está diseñando este centro de datos, se diseñando este centro de datos, se va estableciendo la garantía que va estableciendo la garantía que este recurso funcionará como es este recurso funcionará como es debido, y que estará protegido debido, y que estará protegido contra el mal uso interno y externo.contra el mal uso interno y externo.


55

Para lograr el manejo y el control Para lograr el manejo y el control efectivos de un sistema de efectivos de un sistema de información, es necesario diseñar información, es necesario diseñar e implementar un conjunto de e implementar un conjunto de procedimientos de control que procedimientos de control que ayuden a controlar los recursos, ayuden a controlar los recursos, confiabilidad de las operaciones y confiabilidad de las operaciones y la integridad general del sistema. la integridad general del sistema.


66

Control de ProcesamientoControl de Procesamiento

Controles de entrada :Controles de entrada : Las Las actividades de recopilación de actividades de recopilación de datos representan un subsistema datos representan un subsistema vital en las operaciones generales vital en las operaciones generales del sistema de información. Los del sistema de información. Los controles de entrada se dividen controles de entrada se dividen en: verificación, diseño de formas, en: verificación, diseño de formas, totales de control. totales de control.


77

Verificación :Verificación : Los documentos Los documentos fuente formulados por un solo fuente formulados por un solo empleado los puede verificar empleado los puede verificar otro empleado, con el fin de otro empleado, con el fin de mejorar la exactitud. mejorar la exactitud.

Diseño de formasDiseño de formas : Cuando : Cuando se requiere algún documento se requiere algún documento fuente para recopilar datos.fuente para recopilar datos.


88

Totales de controlTotales de control:: ParaPara reducir la pérdida de datos reducir la pérdida de datos cuando se transportan de un cuando se transportan de un lugar a otro y para comprobar lugar a otro y para comprobar los resultados de diferentes los resultados de diferentes procesos, se preparan totales procesos, se preparan totales de control para cada lote de de control para cada lote de datos. datos.


99

Otros controlesOtros controles:: Durante el diseño del Durante el diseño del sistema de recopilación de datos de sistema de recopilación de datos de entrada, se debe considerar el empleo entrada, se debe considerar el empleo de dígitos de comprobación para los de dígitos de comprobación para los códigos más importantes, como el códigos más importantes, como el número de cuenta del cliente, el número de cuenta del cliente, el número de producto, el número del número de producto, el número del empleado. La rotulación de archivos de empleado. La rotulación de archivos de datos es otro punto de control muy datos es otro punto de control muy importante, esto es como el nombre del importante, esto es como el nombre del archivo, la fecha de creación, la fecha archivo, la fecha de creación, la fecha de actualización, el período de de actualización, el período de expiración.expiración.


1010

Controles de programación: Controles de programación: Se Se establecen con el objeto de evitar establecen con el objeto de evitar el ingreso de errores a las el ingreso de errores a las actividades de procesamiento. Por actividades de procesamiento. Por medio de la programación es medio de la programación es posible hacer que la computadora posible hacer que la computadora ayude a detectar los errores de ayude a detectar los errores de entrada y los que pueden entrada y los que pueden producirse al procesar los datos.producirse al procesar los datos.


1111

Identificación : Identificación : Es posible Es posible diseñar varias técnicas de diseñar varias técnicas de identificación para asegurarse que identificación para asegurarse que los datos que se procesan son los datos que se procesan son válidos. Comparando los campos válidos. Comparando los campos del archivo de transacciones con del archivo de transacciones con los archivos maestros, o con tablas los archivos maestros, o con tablas de constantes, almacenadas ya de constantes, almacenadas ya sea en el programa mismo o en un sea en el programa mismo o en un dispositivo periférico.dispositivo periférico.


1212

Comprobación de secuencia : Comprobación de secuencia : Las Las instrucciones del programa instrucciones del programa comparan el campo de secuencia de comparan el campo de secuencia de cada registro o transacción con el cada registro o transacción con el campo de secuencia del registro o campo de secuencia del registro o transacción que le anteceden, se transacción que le anteceden, se puede detectar cualquier registro puede detectar cualquier registro fuera de secuencia, evitándose que fuera de secuencia, evitándose que el archivo se procese el archivo se procese incorrectamente.incorrectamente.


1313

Otros controles de Otros controles de programación: programación: Los códigos que Los códigos que utilizan dígitos de verificación se utilizan dígitos de verificación se pueden generar y validar con los pueden generar y validar con los controles de programación. Los controles de programación. Los totales de control se pueden totales de control se pueden mantener y tomar para referencia mantener y tomar para referencia en cada etapa del procesamiento en cada etapa del procesamiento empleando la lógica de empleando la lógica de programación. programación.


1414

Controles del banco de datos: Controles del banco de datos: es es necesario establecer y observar necesario establecer y observar procedimientos para proteger los procedimientos para proteger los bancos de datos y los programas bancos de datos y los programas contra la pérdida y destrucción. A contra la pérdida y destrucción. A veces los archivos y los programas veces los archivos y los programas permanecen almacenados en un permanecen almacenados en un depósito, en espera de ser depósito, en espera de ser procesados, allí es cuando deben procesados, allí es cuando deben tomarse las medidas necesarias para tomarse las medidas necesarias para asegurarse que no se dañarán ni se asegurarse que no se dañarán ni se usarán indebidamente. usarán indebidamente.


1515

Las precauciones son las siguientes :Las precauciones son las siguientes : El lugar de almacenamiento debe estar El lugar de almacenamiento debe estar

construido a prueba de incendios. construido a prueba de incendios. Los factores ambientales se deben Los factores ambientales se deben

controlar adecuadamente. controlar adecuadamente. El lugar de almacenamiento debe ser El lugar de almacenamiento debe ser

seguro. seguro. La empresa puede construir o rentar La empresa puede construir o rentar

lugares de almacenamiento fuera del lugares de almacenamiento fuera del lugar de operación, con el fin de dar lugar de operación, con el fin de dar protección adicional a los archivos y protección adicional a los archivos y programas importantes. programas importantes.


1616

Controles de salida : Controles de salida : Se Se establecen como una comprobación establecen como una comprobación final de la precisión e integridad de final de la precisión e integridad de la información procesada. Estos la información procesada. Estos procedimientos son los siguientes: procedimientos son los siguientes: La comunicación de los resultados La comunicación de los resultados

se debe controlar, para asegurarse se debe controlar, para asegurarse que sólo los reciben las personas que sólo los reciben las personas autorizadas.autorizadas.


1717

Los totales de control de salida Los totales de control de salida se deben conciliar con los totales se deben conciliar con los totales de control de entrada, para de control de entrada, para asegurarse que no se han asegurarse que no se han perdido ni agregado datos. perdido ni agregado datos.

Una inspección inicial, para Una inspección inicial, para detectar los errores más obvios.detectar los errores más obvios.


1818

Todas las formas fundamentales se Todas las formas fundamentales se deben numerar previamente y deben numerar previamente y controlar. controlar.

El principal punto de control para El principal punto de control para detectar los errores lo constituye el detectar los errores lo constituye el usuario, se debe establecer un usuario, se debe establecer un procedimiento para crear un canal de procedimiento para crear un canal de comunicación entre el usuario y el comunicación entre el usuario y el grupo de control, con vistas al reporte grupo de control, con vistas al reporte sistemático de errores e sistemático de errores e incongruencias. incongruencias.


1919

Control del equipo: Control del equipo: Los Los controles del equipo se instalan controles del equipo se instalan con el propósito de detectar las con el propósito de detectar las fallas eléctricas y mecánicas fallas eléctricas y mecánicas que ocurren en la computadora que ocurren en la computadora y en los dispositivos periféricos. y en los dispositivos periféricos.


2020

Revisiones de mantenimiento Revisiones de mantenimiento preventivopreventivoAsegurar el control apropiado y Asegurar el control apropiado y

constante de los factores ambientales: constante de los factores ambientales: calor, humedad, energíacalor, humedad, energía

Prevenir el deterioro del rendimiento o Prevenir el deterioro del rendimiento o la falla de los componentes de la la falla de los componentes de la computadora, mediante un sistema en computadora, mediante un sistema en marcha de detección, ajuste y marcha de detección, ajuste y reparación.reparación.


2121

Controles de Controles de SeguridadSeguridad

Todo SI debe contar con ciertas Todo SI debe contar con ciertas medidas de seguridad, sobre todo los medidas de seguridad, sobre todo los sistemas integrados basados en la sistemas integrados basados en la computadora que cuentan con computadora que cuentan con dispositivos de comunicación de datos, dispositivos de comunicación de datos, situados en línea y accesibles a los situados en línea y accesibles a los usuarios de toda la organización. usuarios de toda la organización.

Dichos sistemas permiten el acceso al Dichos sistemas permiten el acceso al sistema central de computación a sistema central de computación a usuarios que no tenían el mismo grado usuarios que no tenían el mismo grado de accesibilidad.de accesibilidad.


2222

Determinados programas y archivos de Determinados programas y archivos de datos deben estar disponibles sólo para datos deben estar disponibles sólo para personas autorizadas y especialistas personas autorizadas y especialistas del sistema de información. del sistema de información.

Es necesario diseñar medidas Es necesario diseñar medidas adicionales de seguridad para adicionales de seguridad para asegurarse que únicamente las asegurarse que únicamente las personas autorizadas tengan acceso a personas autorizadas tengan acceso a determinados dispositivos, archivos, determinados dispositivos, archivos, programas e informes.programas e informes.


2323

El grupo de El grupo de SeguridadSeguridad

En los sistemas de información más En los sistemas de información más grandes y complejos, puede ser grandes y complejos, puede ser necesario que un grupo formado necesario que un grupo formado por parte del personal de sistemas, por parte del personal de sistemas, o un grupo independiente de o un grupo independiente de especialistas en cuestiones de especialistas en cuestiones de seguridad, asuma la seguridad, asuma la responsabilidad de implantar, responsabilidad de implantar, vigilar y hacer cumplir los diversos vigilar y hacer cumplir los diversos procedimientos de seguridad.procedimientos de seguridad.


2424

Dicho grupo será responsable del Dicho grupo será responsable del acceso de los usuarios, del control de acceso de los usuarios, del control de dicho acceso, de la seguridad en la dicho acceso, de la seguridad en la transmisión de datos, de la transmisión de datos, de la integridad del programa y de la integridad del programa y de la recuperación en caso de siniestro. recuperación en caso de siniestro.

Los puntos de control de la seguridad Los puntos de control de la seguridad se deben evaluar cuando se está se deben evaluar cuando se está diseñando el sistema. diseñando el sistema.


2525

El acceso por parte del Usuario: El acceso por parte del Usuario: Una forma convencional de autorizar Una forma convencional de autorizar el acceso a los archivos y programas el acceso a los archivos y programas del sistema central de computación, del sistema central de computación, consiste en asignar a cada usuario un consiste en asignar a cada usuario un número y un código especial. Tanto número y un código especial. Tanto el número y código del usuario, como el número y código del usuario, como la tarjeta suministrada al empleado, la tarjeta suministrada al empleado, sirven de contraseña y clave para sirven de contraseña y clave para obtener acceso a ciertos archivos, obtener acceso a ciertos archivos, programas y otras partes del sistema programas y otras partes del sistema previamente especificados.previamente especificados.


2626

Accesos controlados:Accesos controlados: control en el control en el acceso, ya se trate de un sistema con acceso, ya se trate de un sistema con terminales o de uno que procesa por terminales o de uno que procesa por lotes. El daño pueden provenir de lotes. El daño pueden provenir de visitantes casuales que sin mala visitantes casuales que sin mala intención meten mano en el sistema, intención meten mano en el sistema, de empleados descontentos, sabotaje, de empleados descontentos, sabotaje, fraude. fraude.

Se deben tomar ciertas precauciones Se deben tomar ciertas precauciones como la colocación de vigilantes y la como la colocación de vigilantes y la implantación de procedimientos de implantación de procedimientos de entrada.entrada.


2727

Plan de recuperación ante Plan de recuperación ante desastresdesastres

Un plan de recuperación ante Un plan de recuperación ante desastres es requerido por las desastres es requerido por las compañías de seguros. Se compañías de seguros. Se identifican las tareas que podrían identifican las tareas que podrían realizarse mejor y las tareas que no realizarse mejor y las tareas que no deberían realizarse en absoluto.deberían realizarse en absoluto.

Los incendios, las explosiones, las Los incendios, las explosiones, las inundaciones, los terremotos y otros inundaciones, los terremotos y otros desastres pueden provocar una falla desastres pueden provocar una falla a los sistemas de información.a los sistemas de información.


2828

El objetivo principal de un plan de El objetivo principal de un plan de recuperación es el de mantener recuperación es el de mantener funcionando el negocio. Incluye funcionando el negocio. Incluye controles necesarios para controles necesarios para mantener funcionando por sí mantener funcionando por sí mismo al sistema de información mismo al sistema de información basado en computadoras.basado en computadoras.


2929

Componentes del plan de recuperación Componentes del plan de recuperación ante desastres:ante desastres:

1. Plan de prevención. Los analistas 1. Plan de prevención. Los analistas preparan un reporte de evaluación y preparan un reporte de evaluación y justificación de controles. Este plan justificación de controles. Este plan detalla cómo protegerlo. detalla cómo protegerlo.

2. Plan de contención. Identifica y describe 2. Plan de contención. Identifica y describe la forma en que debe reaccionar el la forma en que debe reaccionar el personal cuando está ocurriendo un personal cuando está ocurriendo un desastre.desastre.


3030

3. 3. Plan de recuperación. Detalla el Plan de recuperación. Detalla el restablecimiento del sistema a su restablecimiento del sistema a su operación normal.operación normal.

4. Plan de contingencias. Identifica y 4. Plan de contingencias. Identifica y describe la forma en que la describe la forma en que la compañía operará y conducirá el compañía operará y conducirá el negocio mientras se realizan los negocio mientras se realizan los esfuerzos de recuperación.esfuerzos de recuperación.


3131

Determinar las funciones vitales y Determinar las funciones vitales y necesarias para mantener necesarias para mantener funcionando a la compañía: funcionando a la compañía: procesamiento de transacciones y procesamiento de transacciones y pedidos, cuentas por cobrar, pedidos, cuentas por cobrar, cuentas por pagar, control de cuentas por pagar, control de inventarios, asignación de precios y inventarios, asignación de precios y facturación. Mantener fuera de las facturación. Mantener fuera de las instalaciones copias de estas instalaciones copias de estas aplicaciones. Examinar la aplicaciones. Examinar la interdependencia para ver si una interdependencia para ver si una falla en un área afecta a otra área.falla en un área afecta a otra área.


3232

Controles de la Base de Controles de la Base de DatosDatos

El alma de las organizaciones está en El alma de las organizaciones está en los archivos y la base de datos del los archivos y la base de datos del sistema de información. Se debe tener sistema de información. Se debe tener mucho cuidado para asegurar su mucho cuidado para asegurar su exactitud y su seguridad. exactitud y su seguridad.

Los siguientes controles proporcionan Los siguientes controles proporcionan este seguro:este seguro:Controles FísicosControles FísicosControl BibliotecarioControl BibliotecarioControles de concurrencia de la Base de Controles de concurrencia de la Base de

DatosDatos


3333

Controles FísicosControles Físicos. Para soportar los . Para soportar los desastres se debe contar con una desastres se debe contar con una bóveda de almacenamiento fuertemente bóveda de almacenamiento fuertemente construída para almacenar los archivos y construída para almacenar los archivos y los documentos que se están utilizando. los documentos que se están utilizando. Los archivos de respaldo, los programas Los archivos de respaldo, los programas y otros documentos importantes se y otros documentos importantes se deberán almacenar en lugares seguros deberán almacenar en lugares seguros fuera de las instalaciones. Los incendios, fuera de las instalaciones. Los incendios, inundaciones, robos, empleados inundaciones, robos, empleados desconformes, alborotos, alimañas, desconformes, alborotos, alimañas, representan peligros para los registros representan peligros para los registros vitales de una organización. vitales de una organización.


3434

Control Bibliotecario.Control Bibliotecario. Todos los Todos los archivos se deberán almacenar en la archivos se deberán almacenar en la biblioteca cuando no se están biblioteca cuando no se están utilizado. El bibliotecario debe utilizado. El bibliotecario debe levantar un inventario de todos los levantar un inventario de todos los archivos y documentos, haciendo una archivos y documentos, haciendo una lista de las personas a quienes se les lista de las personas a quienes se les asignan, su estado y la fecha y hora asignan, su estado y la fecha y hora en que deben ser devuelto. Todos los en que deben ser devuelto. Todos los archivos deben contener etiquetas archivos deben contener etiquetas externas para su identificación.externas para su identificación.


3535

Controles de concurrencia de la Controles de concurrencia de la Base de Datos.Base de Datos. Cuando se comparten Cuando se comparten datos entre usuarios, se deben datos entre usuarios, se deben establecer controles de concurrencia establecer controles de concurrencia para asegurar la consistencia en la para asegurar la consistencia en la actualización y lectura de la base de actualización y lectura de la base de datos. Una solución consiste en datos. Una solución consiste en impedir el acceso a la base de datos a impedir el acceso a la base de datos a un usuario o proceso mientras está un usuario o proceso mientras está siendo accesada por otro usuario. siendo accesada por otro usuario.


3636

Controles De SalidaControles De Salida

Los controles de salida se instalan Los controles de salida se instalan para asegurar la exactitud, para asegurar la exactitud, integridad, oportunidad, y integridad, oportunidad, y distribución correcta de la salida, distribución correcta de la salida, ya sea que se dé en pantalla, en ya sea que se dé en pantalla, en forma impresa o en medios forma impresa o en medios magnéticos. magnéticos.


3737

Los siguientes procedimientos de control se Los siguientes procedimientos de control se refieren a la salida: refieren a la salida:

1.1. La salida deberá dirigirse inmediatamente La salida deberá dirigirse inmediatamente a un área controlada solamente por a un área controlada solamente por personas autorizadas. personas autorizadas.

2.2. Los totales de control de salida deberán Los totales de control de salida deberán compararse con lo totales de control de compararse con lo totales de control de entrada para asegurar que ningún dato entrada para asegurar que ningún dato haya sido modificado, perdido o agregado haya sido modificado, perdido o agregado durante el procesamiento o la durante el procesamiento o la transmisión. transmisión.


3838

4.4. Cualquier salida que no deba ser vista por Cualquier salida que no deba ser vista por el personal del centro de cómputo deberá el personal del centro de cómputo deberá ser generada por un dispositivo de salida ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de en un lugar seguro alejado de la sala de computación. computación.

5.5. A pesar de todas las precauciones tomadas, A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de se presentarán algunos errores. El punto de control principal para la detección de control principal para la detección de dichos errores es el usuario. Se debe dichos errores es el usuario. Se debe establecer un canal entre el usuario y el establecer un canal entre el usuario y el grupo de control para el reporte sistemático grupo de control para el reporte sistemático de la ocurrencia de errores o de de la ocurrencia de errores o de incongruencias. incongruencias.


3939

Controles de Operación de la computadoraControles de Operación de la computadora

Todo el personal del centro de cómputo Todo el personal del centro de cómputo deben tener una supervisión directa. deben tener una supervisión directa.

Los operadores deberán firmar la Los operadores deberán firmar la bitácora de operación de la computadora bitácora de operación de la computadora al inicio y al final de cada turno. al inicio y al final de cada turno.

El supervisor deberá solicitar reportes de El supervisor deberá solicitar reportes de todas las operaciones realizadas dentro todas las operaciones realizadas dentro de su área durante el día y el auditor de su área durante el día y el auditor deberá revisar los reportes deberá revisar los reportes periódicamente. periódicamente.


4040

Se debe tener un control sobre los Se debe tener un control sobre los operadores cuando estos tengan accesos a operadores cuando estos tengan accesos a discos, programas o documentos discos, programas o documentos importantes. importantes.

El acceso al área de computadoras deberá El acceso al área de computadoras deberá estar restringido, con el fin de tener un estar restringido, con el fin de tener un control más exacto de las operaciones control más exacto de las operaciones realizadas y las personas que las realizan. realizadas y las personas que las realizan.

Se debe dar mantenimiento periódico al Se debe dar mantenimiento periódico al equipo de cómputo así como a las equipo de cómputo así como a las instalaciones.instalaciones.


4141

clase diecisiete 2011

Documents