Escrita por Freddy Márquez
Las bandas de delincuencia organizada en Venezuela están muy pendientes de los cambios que se efectuaran a partir de Enero 2008 relacionados a la nueva moneda los sectores públicos y privados deben considerar los riesgos asociados a garantizar la integridad y consistencia de la información que representa el activo mas importante ubicados en las tecnología de información y su infraestructura. Con el tiempo, la mayoría de la gente ha perdido la capacidad de identificar los signos, determinar la probabilidad, la validez, y el impacto de ciertas amenazas y riesgo. Muchas amenazas y riesgo son presentados de modos sutiles y por lo general los pasamos por alto.
Para ello se debe asegurar los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Para tal fin, las empresas deberán diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.
Este proceso deberá controlar los documentos fuentes (de donde se entran los datos), de manera que estén completos, sean precisos y se registren apropiadamente. Se deberán crear también procedimientos que validen los datos de entrada y corrijan o detecten los datos erróneos, como así también procedimientos de validación para transacciones erróneas, de manera que éstas no sean procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperación de datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas las transacciones y datos manejados por la organización, albergados tanto dentro como fuera de la empresa.
En nuestro país se anuncio a partir de Enero del 2008, se sustituirá la moneda oficial de la República Bolivariana de Venezuela, por una nueva denominada Bolivar Fuerte, cuyo valor equivale a mil bolívares actuales.
Esta es una medida esta orientada a controlar la inflación. Sin embargo los críticos de la medida indican que es simplemente una medida psicológica, que no tendrá mayores beneficios sin acompañarla de otras medidas de tipo fiscal y monetaria (como controlar el gasto público). Por otro lado, destacan su alto costo, en términos de costo (de sustituir monedas y billetes, y tener que adecuar los sistemas bancarios y relacionados), confusión y redondeo.
La industria del software se encuentran en apuros a fin de cumplir con esta medida en todas las organizaciones en Venezuela, sin embargo debemos de recordar que las estadísticas de fraude en nuestro país mencionan que existen compañías de delincuencia esperando descubrir debilidades en la administración de los sistemas y cometer hechos que impacten los balances de las empresas y clientes.
Por ello es necesario ubicar asesores que contribuyan asegurar el debido control en los sistemas informáticos lugar donde reside la información, incrementando los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello las empresas deberán establecer los estatutos para la función de auditoria, destacando la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándares profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades y conocimientos de eficiencia en la auditoria.
Administrar cambios.
Minimizar la probabilidad de ruptura, alteraciones no autorizadas y errores. Tener un sistema de manejo que provea análisis, implementación y seguimiento de todos los cambios pedidos e implementados en la infraestructura de TI
Entrega, Mantenimiento y soporte
Se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación
Integridad y valores éticos
Tiene como propósito establecer pronunciamientos relativos a los valores éticos y de conducta que se espera de todos los miembros de la Organización durante el desempeño de sus actividades, ya que la efectividad del control interno depende de la integridad y valores de la gente que lo diseña y lo establece.
Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores éticos y de conducta. La participación de la alta administración es clave en este asunto, ya que su presencia dominante fija el tono necesario a través de su empleo. La gente imita a sus líderes.
Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores éticos como pueden ser: controles débiles o requeridos; debilidad de la función de auditoria; inexistencia o inadecuadas sanciones para quienes actúan inapropiadamente.
Manejo de los Riesgos
Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos y se toma en consideración:
Ø Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable.
Ø Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de los riesgos.
Ø Actualización de evaluación de riesgos
Ø Metodología de evaluación de riesgos
Ø Medición de riesgos cualitativos y/o cuantitativos
Ø Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidas de seguridad económicas que mitiguen los riesgos en forma continúa.
Ø Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la política organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que tan económico resulte implementar protecciones y controles.
Administración de Proyectos
Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido y se toma en consideración:
Ø Definición de un marco de referencia general para la administración de proyectos que defina el alcance y los límites del mismo, así como la metodología de administración de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodología deberá cubrir, como mínimo, la asignación de responsabilidades, la determinación de tareas, la realización de presupuestos de tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
Ø El involucramiento de los usuarios en el desarrollo, implementación o modificación de los proyectos.
Ø Asignación de responsabilidades y autoridades a los miembros del personal asignados al proyecto.
Ø Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.
Ø Presupuestos de costos y horas hombre
Ø Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por las partes interesadas.
Ø Plan de administración de riesgos para eliminar o minimizar los riesgos.
Ø Planes de prueba, entrenamiento, revisión post-implementación.
Administración de la calidad
Para ello se realiza una planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización y se toma en consideración:
Ø Definición y mantenimiento regular del plan de calidad, el cual deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y cómo.
Ø Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad.
Ø Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de sistemas de información.
Ø Documentación de pruebas de sistemas y programas
Ø Revisiones y reportes de aseguramiento de calidad
1 comentario:
Muy bueno
Publicar un comentario