1 pág.

Fundamentos de seguridad de una empresa

La seguridad informática

  Es la disciplina que se encarga de proteger la integridad, disponibilidad y

confidencialidad de la información y los sistemas informáticos que la contienen,
expresa la condición de aplicar la protección hacia la rama computacional y la
teleinformática, la cual busca, ante todo, prevalecer el cuidado y la prevención
de la información que se maneja y circula en estos medios informáticos.

De igual forma emplea diferentes procesos (métodos o técnicas), políticas,

normas, procedimientos y estrategias para salvaguardar, mitigar y minimizar
potenciales riesgos, amenazas o vulnerabilidades en que la información está
expuesta (físico y lógico) y pueda así asegurar sus principios básicos
asociados como confidencialidad, integridad y disponibilidad, lo que contribuye
a mantener un sistema de información (SI) de forma segura y confiable.

La protección de datos

Es una disciplina a nivel jurídico que se encarga de proteger la intimidad y

demás derechos fundamentales de las personas frente al riesgo que supone la
exposición de su datos o información en el uso de medios tecnológicos,
inclusive si estos están reposados de forma física. La protección de datos
ampara la información, la recopilación, divulgación y el uso indiscriminado de
los datos personales, ya que forma parte de su contexto privado y que puede
ser utilizada para evaluar determinados aspectos de su personalidad como
historial de salud, antecedentes judiciales, hábitos de compra, relaciones
personales, creencias, entre otros

Es importante destacar que el papel de la informática es recoger, ordenar,

utilizar y transmitir información, por ello, se ha generado la necesidad de
desarrollar normas destinadas a limitar el uso de los datos mediante la
aplicación de la seguridad informática.

política de seguridad

es la que permite definir los diferentes procedimientos, métodos o técnicas y

herramientas necesarias para cumplir con normas y controles que expresan
los directivos de la organización y que establecen el conjunto de reglas,
leyes, y buenas prácticas que estandarizan la manera de dirigir, proteger y
distribuir recursos en una organización, alineados a los objetivos de
seguridad informática dentro de la empresa. Las políticas de seguridad
están ligadas a la norma ISO 27001 SGSI (Sistema de Gestión de
Seguridad de la Información).

Tríada de Componentes de la Seguridad Informática CID

Fuente: 

2 pág. Uso de las tecnologías de información en una empresa

En esta era de información, el conocimiento está asumiendo el rol del capital

como fuente impulsora de las empresas. Hoy en día el conocimiento es el
recurso primario de las personas y organizaciones, donde las tecnologías de
hardware, software y redes comunicacionales pasan a tener un rol vital como
habilitantes de una nueva manera de hacer gestión donde la Data se vuelve el
patrimonio más importante de la organización

.En primer lugar, para la implementación de tecnología informática, la empresa

debe realizar un análisis costo- beneficio, de manera que la adquisición de esta
resulte productiva.

En el uso de esta tecnología informática es necesario incorporar computadores

con una serie de características, que al estar interconectados entre sí, facilitan
la rapidez y calidad de la información, gestión y posterior toma de decisiones.

En el poder de la decisión las empresas se encuentran organizadas en grupos

relativamente autónomos, comunicados por tecnología computacional que
manejan descentralizadamente con gran efectividad y eficiencia en los
procesos claves de la empresa.

La mayoría de las personas tendrán equipos conectados a redes

computacionales, tanto en las empresas como en el hogar. Estas redes son de
carácter global, ya que permiten la conexión entre empresas y personas
cualesquiera.

Las redes comunicacionales producen la contracción del tiempo y el espacio,

por la facilidad que tienen las personas de realizar acciones efectivas en un
grupo social y en particular en una empresa.

Es importante hoy en día que las personas que realizan gestión conozcan
acerca de las tecnologías de información y así mismo, deben saber como
enfocar el uso de estas para que las empresas tengan una transición suave
hacia los nuevos estilos de gestión.
3 pág. Papel del analista de sistema

El analista de sistemas como consultor.

El analista de sistemas frecuentemente actúa como consultor y, por lo tanto,

puede ser contratado específicamente para que se encargue de los asuntos de
los sistemas de información dentro de un negocio. Esto puede ser una ventaja,
debido a que los consultores externos pueden llevar con ellos una perspectiva
fresca que no poseen otros miembros de la organización. Pero también puede
decirse que los analistas externos están en desventaja, debido a que la
verdadera cultura organizacional nunca puede ser conocida por un extraño. El
analista de sistemas como experto de soporte.

Otro papel que tal vez requiera desarrollar es el de experto de soporte en un

negocio donde se está empleado regularmente en alguna actividad de
sistemas. En este papel el analista se apoya en su experiencia profesional
relacionada con el hardware y software de computadora y su uso en el
negocio. Este trabajo frecuentemente no es un proyecto de sistema completo,
sino solamente pequeñas modificaciones o decisiones que afectan a un solo
departamento.

El analista de sistemas como agente de cambio.

El papel más comprensivo y responsable que toma un analista de sistemas es
el de agente de cambio, ya sea interno o externo al negocio. Como analista se
es un agente de cambio cada vez que se ejecuta cualquiera de las actividades
del ciclo de vida del desarrollo de sistemas (tratado en la siguiente sección) y
se está presente en el negocio por un periodo extendido (desde dos semanas
hasta más de un año). Un agente de cambio puede ser definido como una
persona que sirve de catalizador para el cambio, desarrolla un plan para el
cambio y trabaja junto con otros para facilitar ese cambio.

4 pág. Mejora de la comunicación del analista-usuario.

Para que el sistema propuesto se convierta en realidad y sea usado de hecho,

es esencial una comunicación excelente entre los analistas y usuarios a lo
largo del ciclo de vida del desarrollo del sistema. El éxito de una eventual
implementación del sistema depende de la Capacidad de los analistas y
usuarios para comunicarse en una forma significativa. Hasta ahora los
analistas que actualmente usan las nuevas herramientas CASE han
experimentado que su uso promueve una comunicación mayor y más
significativa entre usuario y analistas.
 Fundamentos de auditorias de sistemas

Auditoría

La auditoria normalmente es realizada en sistemas manuales “después del

hecho”. Los auditores son llamados periódicamente para examinar las
transacciones recientes de una organización y  para determinar si ha ocurrido
actividad fraudulenta. 

El registro de auditoria es un registro permanente de acontecimientos de

importancia que ocurren en el sistema de computación. Se produce
automáticamente cada vez que ocurren los eventos y es almacenado en un
área protegida del sistema. 

Las auditorias periódicas prestan atención regularmente a problemas de

seguridad; las auditorias al azar ayudan a detectar intrusos.

 Controles de acceso

Los derechos de acceso definen qué acceso tienen los sujetos sobre los
objetos. Los objetos son entidades que contienen información, pueden ser
físicos o abstractos. Los sujetos acceden a los objetos, y pueden ser usuarios,
procesos, programas u otras entidades. 

Los derechos de accesos más comunes son: acceso de lectura, acceso de

escritura y acceso de ejecución. Estos derechos pueden implementarse
usando una matriz de control de acceso.

Seguridad del procesador

Los mecanismos de protección del procesador son  a nivel de 

 Estados protegidos (Kernel) o no protegido (Usuario).

 Reloj hardware para evitar el bloqueo del procesador.

Seguridad de la memoria

Se trata de mecanismos para evitar que un usuario acceda la información de

otro sin autorización. Entre ellos citaremos dos:

 Registros limites o frontera.

 Estado protegido y no protegido del procesador.
 

Seguridad de los archivos

La finalidad principal de las computadoras es la del tratamiento de la

información que se almacena permanentemente en los archivos. La pérdida o
alteración no deseada de dicha información causaría trastornos que podrían
ser irreparables en algunos casos. Por eso es necesario tomar las
correspondientes medidas de seguridad, que se deben enfocar desde dos
aspectos diferentes: la disponibilidad y la privacidad de los archivos. 
  Copias de seguridad (backup). 
 Archivos LOG.
 Privacidad de los archivos.

2 pág. Tipos más importantes de evidencia de auditoría

1.  Sistema de informe contable.

2.   Evidencia documental.

        a) Evidencia documental creada fuera de la empresa y transmitida

directamente a los auditores (estado de cuenta bancario);
         b) evidencia de fuera de la empresa y conservada por ellos. Ejemplo:
factura de un proveedor, declaración de impuestos.
         c) evidencia documental creada y conservada por el cliente. Ejemplo:
cheque pagado.
3. Declaraciones de terceros.
         a) Confirmaciones;
         b) Cartas de abogados;
         c) Informes de especialistas (peritos)
4. Evidencia física. Inventarios de mercancías y de activos fijos.
         a) Cálculos de la depreciación o de ganancias por acciones;
         b) Interrelaciones de datos. Costo de ventas, costo de producción;
          c) Declaraciones de los clientes. Orales y escritas.

3 pág. Procedimientos de auditoría

Permiten al auditor obtener evidencia para extraer conclusiones razonables de

si los estados financieros de su cliente se ajustan a las niif. Los procedimientos
permiten sortear el riesgo de error material en cuatro formas:

1. Conocer al cliente y su ambiente para evaluar los riesgos de error

material.

2. Conocer el control interno del cliente.

3. Diseñar y realizar pruebas de los controles para verificar su eficiencia

operativa en la prevención o detección de errores materiales.

4. Diseñar y realizar procedimientos importantes para probar las

afirmaciones contenidas en los estados financieros, o detectar
errores materiales, para ello se requiere de los siguientes procedimientos:

a) Procedimientos analíticos

b) Pruebas directas de las transacciones ejecutadas durante el

periodo

c) Pruebas directas de los saldos finales de los estados

financieros
4 pág. Reflexionando sobre el concepto universal de auditoria

No concebimos un mundo financiero sin auditoría de estados financieros, ya

que la opinión ejercida por el licenciado en contaduría, es un soporte de
confianza que le da el profesionista de la licenciatura en contaduría a todo
aquel usuario de los estados financieros, tanto al inversionista, quien con
pocos conocimientos de finanzas, se atreve a incursionar en el mundo de las
inversiones en la bolsa; como el acreedor o proveedor que confía en la opinión
del profesional de la contaduría, para otorgar créditos; o aquel inversionista
que desea ingresar como socio a la empresa o entidad auditada. Este soporte
de confianza ha sido ganado a través de muchos años de esfuerzo, dedicación
y profesionalismo, en sus trabajos de opinión de los estados financieros, para
las empresas o entidades listadas en bolsa o no, ya que el profesional de la
contaduría no tiene distingos con los clientes, al contrario, los orienta para su
ingreso en la bolsa.

No podemos olvidar que la profesión del licenciado en contaduría no se

encierra solamente en la opinión de los estados financieros de una empresa o
entidad, también ejerce amplias funciones de asesoría de tipo:

financiero, fiscal, operativo, administrativo, de tecnología de la información, de

análisis de riesgos, de sustentabilidad, y formando parte integrante del
gobierno corporativo de las empresas, sobre todo como presidente del comité
de auditoría, integrado en el gobierno corporativo de la empresa o entidad o del
grupo empresarial al que pertenezca la empresa o
entidad.