CONTROLES Y SEGURIDAD INFORMATICA

Introducción

El fin de esta actividad es conocer las funciones administrativas y los responsables

y las tareas que deben ser realizadas para cumplir con los objetivos
organizacionales de una empresa de una manera eficiente y rápida.

También se pretende evaluar las diferentes funciones administrativas relacionadas

con el área de sistemas de información de una empresa.

Con la siguiente actividad se logrará tener una visión sobre las auditorias que
pueden realizarse en diferentes áreas de la empresa.

Controles Administrativos.

Evaluación de la Función de Dirección

La dirección incluye coordinación de actividades, proveer liderazgo, guías y

motivación personal. Su propósito es que los objetivos individuales no estén en
conflicto con los objetivos de grupo.

El proceso está basado en tres principios:

 Unidad de comandos: Todo empleado debe tener un solo supervisor para

evitar conflictos en instrucciones y promover un mayor sentimiento de
responsabilidad para el logro de los resultados.
 Supervisión directa: La administración debe proporcionar métodos objetivos
para la supervisión con un contacto personal directo.
 Apropiada variación de las técnicas de supervisión para diferente personal,
tareas y ambiente organizacional

Se requiere que el auditor entienda las áreas fundamentales para una efectiva
dirección: como motivar a sus subordinados, como darles liderazgo y como
comunicar claramente los requerimientos de trabajo a sus subordinados.

Evaluar la Función de Organización.

Provee la estructura del personal, instalaciones y flujo de información para alcanzar

las metas y objetivos a ser cumplidos.
El departamento de servicios de información debe ser colocado en un nivel
suficientemente alto dentro de la estructura organizacional para así poder lograr
una independencia con los departamentos de los usuarios.

Una vez hecho esto se deben de evaluar el grado de independencia que se ha

logrado en esa posición.

Las responsabilidades del departamento de servicios de información deberán ser

delineadas y documentadas. Se deberán revisar los procedimientos para determinar
que las responsabilidades asignadas fueron descritas adecuadamente, así como
verificar que los estándares son los adecuados.

El director general (CEO) debe hacer una distribución de tareas, incluyendo al

departamento de servicios de información así como entre el desarrollo de sistemas,
operación, control de datos, administración de base de datos. Estas actividades
deberán ser auditadas para evaluar que sean las adecuadas y que se encuentre la
descripción del trabajo documentada.

El departamento de servicios de información tendrá que describir y delinear

claramente la autoridad y responsabilidad incluyendo la definición de las habilidades
técnicas requeridas para su evaluación. Estas funciones deberán ser evaluadas
analizando que tan bien descritas se encuentran.

Tradicionalmente dos tipos de estructura organizacional han sido adoptados en una

instalación computacional

 Forma Funcional: Analistas de sistemas son agrupados, programadores son

agrupados, etc.
 Forma de Proyecto: Analistas, programadores son agrupados bajo un
proyecto especifico o bajo un área de aplicación.

Centralización contra Descentralización.

Existen razones que llevan a la alta dirección y al director de informática a tomar la

decisión de centralizar o no las instalaciones computacionales:

 Si una instalación computacional centralizada continua en crecimiento, su

manejo se vuelve muy complicado.
 La alta administración puede haber tornado la decisión de centralizar o
descentralizar a la organización como un todo.
  Actualmente muchas organizaciones se encuentran confrontando dicha
decisión.

Con la disponibilidad de microcomputadoras a bajo costa es difícil detener la

compra de estas por parte de los propios departamentos usuarios. Por lo tanto la
descentralización del proceso de información se da aunque no se haya planeado.

El desarrollo, implementación y operación de sistemas debe ser controlado y

coordinado por guías formales de descentralización.

Planeación

La planeación en el área de informática no es un tema sencillo de tratar, ya que se

ve impactada con cinco tipos de planes que son básicos para garantizar un buen
funcionamiento. Aún y cuando el área de tecnología de información es un área en
donde se presentan cambios a la vuelta de pocos meses es necesario que la
planeación exista en todos los sentidos. A continuación se muestran los aspectos
básicos y relevantes a considerar en cada uno de estos planes.

Parte 1 - Caso de Estudio: Desarrollo y TI

Desarrollo y TI es una compañía que se dedica a la investigación y el desarrollo, se

dedica al desarrollo de proyectos a corto plazo, ya que a sus directivos les gusta
obtener resultados de forma rápida es decir en el corto plazo. Sus ventas han
alcanzado ventas por más de $100 millones de dólares lo cual la convierte en una
empresa muy exitosa. Desarrollo y TI ha contratado a una firma de auditores
externa en la cual tú estás trabajando. Cuando te dispones a trabajar comienzas
por recopilar algunos papeles entre los cuales buscas el plan maestro del área de
informática. Te das cuenta que la empresa hace uso extensivo de informática y
todos

Sus recursos para la realización de sus actividades por lo que en entrevista con el
administrador de informática le comentas sobre el punto, sin embargo el te expresa
que realmente no lo necesitan ya que es imposible su preparación debido al
ambiente de innovación en el que se desenvuelve la empresa.

Tú sabes que el departamento de informática cuenta con el uso de una

computadora mainframe para soportar muchas de sus operaciones de investigación
y de operación.
Tú como auditor te haces las siguientes preguntas

1. ¿Tiene razón el administrador sí o no y por qué?

El administrador no tiene razón ya que el plan maestro es un plan estratégico para

el área de informática, que establece los objetivos a largo plazo y tareas necesarias
para lograr esos objetivos. Es a largo plazo y el responsable es el comité de
manejo.

Es un plan estratégico para la instalación que define los requerimientos a largo

plazo y las tareas necesarias para cumplir los objetivos. Hay cuatro componentes:

 Resumen del plan estratégico organizacional: Provee un capitulo general

bajo

 el cual todas las unidades de la organización, inc1uyendo la función de SI.

 Plan estratégico de sistemas de información: El comité de manejo es
responsable de traducir el plan estratégico organizacional en el plan
estratégico de SI y debe determinar que implicaciones pueden existir.
 Plan de requerimientos del SI: Define la arquitectura de SI para el
departamento. La arquitectura especifica las principales funciones
organizacionales necesarias para dar soporte a la planeación, control y
actividades de operación y las clases de datos asociadas con cada función.

2. ¿Qué implicaciones tiene la ausencia del plan maestro en el área de

procesamiento de datos e informática?

La ausencia de este plan maestro en el área de informática implica que el área no

tenga unas metas claras y establecidas para trabajar, no se tengan establecidas las
actividades a desarrollar dentro del área, y de esta forma no se trabajaría
organizadamente y las personas no están encaminadas hacia un objetivo claro y en
común.

3. ¿Qué implicaciones tiene la ausencia del plan maestro para poder llevar a cabo la
auditoria?

Si no hay un plan maestro en la auditoria no tendría claro que es lo que se va a

revisar y a evaluar, puesto que no se van a saber cuáles son los objetivos
planteados, actividades, requerimientos y personas responsables de cada uno de
estos.
4. ¿Cuál es el procedimiento a seguir?

Plan de sistemas de Información e Instalación el procedimiento a seguir incluye los

siguientes puntos de acuerdo con los objetivos a largo plazo, requerimiento y
actividades a desarrollar:

 Desarrollo del sistema de aplicación específico y su plan de tiempo.

 Planeación de desarrollo/adquisición de hardware y software.
 Planeación de contratación y desarrollo de personal.
 Requerimientos de recursos financieros.
 Requerimientos de instalaciones.
 Requerimientos de cambios organizacionales.

Parte 2: Organización y Staff

Principales características de un líder dentro de la organización

Cuando hablamos de las características de un líder, siempre pensamos en que estas

pertenecen a personas con voz de mando y con rigidez en su forma de tratar, pero
en la realidad, estos conceptos predominantes no concuerdan con
las características de un líder aceptado, el cual tenga popularidad entre un
determinado grupo.  El autor Richard L. Daft, en su libro: La Experiencia del
Liderazgo, define el liderazgo como: La relación de influencia que ocurre entre los
líderes y sus seguidores, mediante la cual las dos partes pretenden llegar a cambios
y resultados reales que reflejen los propósitos que comparten.
En el pasado, un líder era visto como un personaje prepotente y autoritario, pero
este punto de vista ha ido cambiando poco a poco desde que entramos a la era de
la democracia moderna, donde las características de un líder son vistas de manera
colaborativa y participativa, y no de manera predominante y autoritaria.
Aunque las características de un buen líder pueden variar dependiendo de la cultura
de una sociedad y dependiendo de los puntos de vistas del grupo seguidor, en la
actualidad se concuerda con las mismas características principales, de las cuales
veremos algunas expuestas de la siguiente manera:     

EL LÍDER ES UN SER COMUNICATIVO: Esta característica es de las principales de

un líder  ya que mediante la comunicación logra mantener a su grupo de seguidores
fluyendo y trabajando en plena harmonía, de manera que todos concuerden en un
mismo orden y un mismo enfoque para lograr llegar juntos a una misma meta en
común.
EL LÍDER ES UN SER INTELIGENTE: La inteligencia permite, no solamente  que
el líder sea aceptado y valorado en su grupo, pero también permite que tome
decisiones coherentes y exactas, lo cual llevara al grupo por un camino correcto y
libre de obstáculos.
EL LÍDER CONOCE SUS FORTALEZAS Y DEBILIDADES: Sin esta característica,
el líder queda expuesto a juzgar de manera errónea sus propias habilidades.
El líder que no conoce sus debilidades llevara a su grupo por un camino equivocado
e iluso, pero al comprender cuáles son sus debilidades lograra ver claramente
cuáles son sus fortalezas, ya que es en las debilidades que se forjan las fortalezas.
EL LÍDER ES CREATIVO: Todo buen líder tiene un reto en su vida, y para lograr
conquistar cualquier reto, el líder debe de tener mucha creatividad para resolver los
inconvenientes y encaminar su rumbo hacia una situación más favorable.
La característica de la creatividad se vuelve como un manantial donde nacen
nuevas ideas para lograr subsistir y mantenerse a flote. Sin esta cualidad tan
importante, el líder seria vulnerable a todos los obstáculos que se le presenten, y
tarde o temprano fracasaría en todos sus intentos.
EL LÍDER ES PACIENTE: Debido a que debe de tratas con diversas clases de
personas en su carrera, el líder debe de saber escuchar y ser paciente con sus
seguidores. Debe ser comprensivo y no perder su serenidad a la hora de enfrentar
los problemas. También debe de ser paciente en todos sus proyectos y esperar a
que estos se desarrollen favorablemente a su debido tiempo.
EL LÍDER ES INTUITIVO: Esta característica de la intuición es un don con el cual
el líder aprende a tomar las decisiones correctas y no dejarse llevar por los
impulsos humanos, sino que por su lógica y su buen juicio.
EL LÍDER ES ORIENTADO A METAS: El líder debe de tener un enfoque contundente
y bien definido hacia todas sus metas por alcanzar. Sin esta característica, el grupo
no tendrá una motivación ni un sentido de competitividad, lo cual hace que todos
impulsen cualquier proyecto hacia un rumbo determinado.
EL LÍDER ES PERSISTENTE: Un líder de carácter no se rinde fácilmente, ya que
tienen dentro de sí mismo un sentido de lucha y un fuerte deseo de subsistencia;
esto le permite persistir hasta el final. Esta es una de característica de un líder que
lo distingue y lo hace llevar al grupo a alcanzar todas sus metas propuestas.  

Puntos a considerar cuando se hace contratación en el área de informática

Para contratar a la persona correcta, la administración y el aspirante al trabajo

deben entender claramente los requerimientos del puesto. Para cada posición en la
instalación, un documento formal de especificación debe de existir para definir la
naturaleza del trabajo, sus obligaciones y sus oportunidades de avance.
Se debe considerar un Compromiso de Confidencialidad, definir aspectos
inherentes a la Propiedad Intelectual del software que vayan a desarrollar, aclarar
las funciones y alcances de la labor a ser desempeñada; esos detalles, entre
muchos otros factores que se presentan en nuestro ámbito.

Cuando se realizan Auditorias Legales, sobre todo al área de TI – Tecnologías de

Información, o se revisa la parte de “Cumplimiento” como parte de una Auditoria de
Sistemas, varias instituciones privadas prevén ese aspecto haciendo firmar
Compromisos de Confidencialidad, cesiones de titularidad de derechos de autor de
Programas de Computación, exigen garantías, en la mayor parte de los casos
garantías reales, boletas de garantía, pagarés, letras de cambio, etc.

Conclusiones

Al momento de realizar una auditoría debemos tener bien claros cuales son los
planes que se están llevando a cabo en la empresa, estos planes son los que
definen la metas a corto y largo plazo y aclaran cuales son los requerimientos y
funciones que se están realizando en la empresa
Es necesario que en toda organización alguien asuma la función de líder. No existe
un consenso respecto a los deberes del líder, pero todos están de acuerdo en que
alguien necesita responsabilizarse de la guía y motivación de la gente que trabaja
en conjunto bajo se responsabilidad.
No todos los líderes pueden señalarse como lideres formales, pero aquellos que lo
son desempeñan una serie de tareas en el cumplimiento de sus obligaciones hacia
su patrón, hacia sus subalternos y hacia otros grupos con respecto a los cuales
puedan tener responsabilidades.
Cuando se hace la contratación de personal en el área de informática, el
Compromiso de Confidencialidad es uno de los puntos más importantes a
considerar.

Fuentes Bibliográficas

http://liderazgo-empresarial-ahora.blogspot.com/2012/05/caracteristicas-de-un-lider.html

http://clubensayos.com/Temas-Variados/Taller-Semana-2-Medicion-Iso/67819.html

http://www.gestiopolis.com/dirgp/adm/liderazgo.htm
http://clubensayos.com/Tecnolog%C3%ADa/ENSAYO-SEGURIDAD-INFORMATICA-
CONTROLES-ADMINISTRATIVOS/156870.html