MANANUAL DE VISUAL
Enviado por loliz_13 • 1 de Diciembre de 2012 • 1.846 Palabras (8 Páginas) • 349 Visitas
4.3 ESTABLECIMIENTO DE UNA ESTRUCTURA PARA ELCONTROL Y SEGURIDAD
Desde hace años, los temas relacionados con los riesgos se vinculan con aspectos referidos a la privacidad, la seguridad, el terrorismo o las malas prácticas de los directivos. En la actualidad, las organizaciones modernas son altamente dependientes de las Tecnologías de Información y Comunicaciones (TIC) no sólo desde la perspectiva operativa, sino también desde la gestión y el aprovechamiento de la información para obtener ventajas competitivas. El riesgo relacionado con las TIC es un aspecto determinante para el entorno empresarial, siendo su gestión un área de creciente complejidad, frecuentemente afectada por el creciente número de factores y dependencias involucradas en su implantación y desarrollo.
La correcta gestión de riesgos conlleva una adecuada y precisa implantación de controles que aseguren que los objetivos de las organizaciones sean alcanzados y que incidentes no deseados puedan ser prevenidos, detectados y corregidos.
El contexto de control
Los procedimientos de control de las organizaciones persiguen diferentes objetivos y se aplican en el procesamiento de la información de los distintos niveles.
Estos procedimientos deben asegurar los siguientes objetivos:
• La debida autorización de las transacciones y los procesos.
• La adecuada segregación de las funciones y la correcta asignación de las responsabilidades.
• El diseño y el uso de los documentos y de sus correspondientes registros.
• El establecimiento de dispositivos de seguridad que protejan los activos.
• Auditorías independientes de las actuaciones y de la evaluación de las operaciones registradas.
El establecimiento y mantenimiento de una estructura de control interno que proporcione una seguridad razonable para el logro de los objetivos de una organización representa una importante responsabilidad de la alta dirección. El concepto de seguridad razonable busca que el coste de la estructura de control interno de una entidad no exceda los beneficios esperados tras su establecimiento.
La dirección debe vigilar constantemente la estructura de control interno para poder determinar si está operando debidamente y si se modifica oportunamente, de acuerdo con los cambios de las condiciones y las situaciones.
Tipos de control
Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los eventos no deseados que ponen en riesgo a los activos de una organización. También protege a las organizaciones frente a posibles pérdidas y corrige las desviaciones que se presentan en el desarrollo normal de las actividades.
Los controles deben ser suficientes, comprensibles, eficaces, económicos y oportunos y, para ello, es preciso conocer la naturaleza de los riesgos y su frecuencia, así como las consecuencias que implican para que las actividades y los procesos mantengan el rumbo trazado por la organización.
De forma genérica, según sea la aplicación de los controles, éstos pueden ser voluntarios, cuando la organización los diseña a fin de mejorar los procesos; obligatorios, si son impuestos por autoridades externas o reguladoras; manuales, cuando son ejecutados por personas; automáticos, si son llevados a cabo a través de sistemas de información automatizados; generales, cuando van dirigidos al ambiente donde operan otros controles; y de aplicación, cuando operan imbricados en el software.
Los controles se clasifican también en preventivos, detectivos y correctivos.
• Los preventivos actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los agentes generadores de riesgos.
• Los controles detectivos se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automáticos. Generalmente, sirven para supervisar la ejecución del proceso y se usan para verificar la eficacia de los controles preventivos. Constituyen la segunda barrera de seguridad y pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la operación de un sistema, monitorizar o alertar a las autoridades.
• Los controles correctivos permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actúan con los controles detectivos, implican reprocesos y son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
Ambiente de control
El ambiente de control es la piedra angular sobre la que se apoya toda la estructura de control de las organizaciones, e influye sobre el grado de conciencia de las personas.
La necesidad de contar con empleados capaces es obvia, especialmente en el entorno TIC. No se puede esperar que empleados con escasa capacitación o que no puedan resolver una situación de crisis apoyen y promuevan los controles. Es responsabilidad de la dirección especificar el grado de capacitación necesario para desempeñar los distintos cargos y proveer los recursos, conocimientos y habilidades mediante prácticas adecuadas de contratación, formación continua y otras acciones destinadas a la evolución de los empleados.
La participación de la alta dirección en el ambiente de control está ligada al estilo de actuación y filosofía corporativa, así como a la orientación que promueve el consejo de administración. En última instancia, el consejo de administración, el consejero delegado o el propietario, si se trata de una pequeña empresa, es el responsable general del sistema de control.
4.3.1Evaluación de Riesgos
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
• Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
• Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
• Se debe conocer qué se quiere proteger,
...