Anda di halaman 1dari 30

UNIVERSIDAD NACIONAL

“JOSÉ FAUSTINO SÁNCHEZ CARRIÓN”

FACULTAD DE CIENCIAS ECONÓMICAS CONTABLES Y FINANCIERAS


ESCUELA PROFESIONAL DE CIENCIAS CONTABLES

SISTEMA DE INFORMACIÓN EMPRESARIAL Y


SEGURIDAD DE INFORMACIÓN

ÁREA: Auditoria de Sistemas

DOCENTE: CPCC. ROMERO, Vilma

INTEGRANTES:
 ATANACIO ASENCIOS, Rosmery
 BALAREZO BALAREZO, Fritzinho
 CASTRO TENA, Ana
 CHANGANAQUI SAMANAMUD, Anthony
 GARRIDO SANDOVAL, Carla
 LÓPEZ OSORIO, Verónica
 LUIS BRAVO, Sandy

CICLO: X – “A”

HUACHO - 2018
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

DEDICATORIA
A Dios, nuestros padres y
nuestra docente del área

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

INTRODUCCIÓN

En cualquier empresa, la información es un punto muy fundamental ya que va


aportar a que la empresa tenga un correcto funcionamiento. Pues la información
tiene un valor muy alto para la gestión de la empresa. Tener la recopilación de
información de los diferentes tipos de departamentos de la empresa a la
disponibilidad acrecentará los distintos aspectos de cada área, habiendo así
mayor proceso productivo en todo ámbito. Esta información conjunta debe estar
organizados en sistemas en el cual no podría ser organizado manualmente, sino
tendríamos que emplear la tecnología, para un preciso análisis de la situación de
la empresa y las distintas técnica o estrategias que se puedan emplear para
mejorar el rendimiento cumpliendo con los objetivos de la empresa. Otro punto
importante es la seguridad de información que está ligado al tema antes
mencionado, que va a permitir que la información se mantenga correctamente y
se utilice de la manera que se decidió y controlar el acceso a la información
restringiéndose a todo aquello que carezca de autorización. La seguridad
informática tiene técnicas o herramientas llamados mecanismos que se utilizan
para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un
sistema informático. Es por ello que para el lector le proporcionamos estos temas
de mucha importante como son Los Sistemas de Información Empresarial y La
Seguridad de la Información.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

SISTEMA DE INFORMACIÓN EMPRESARIAL

El sistema de información empresarial (SIE), constituye el conjunto de recursos


de la empresa que sirven como soporte para el proceso básico de captación,
análisis, tratamiento y utilización sistemática de la información.

Un sistema de información debe ser eficaz y eficiente. Es eficaz si facilita la


información necesaria, y es eficiente si lo realiza con los menores recursos
posibles.

Un SIE debe adaptarse a las necesidades concretas de cada organización y a


su estructura organizativa. Cuando se piensa en una implantación nunca se parte
de cero pues todas las empresas disponen de algún tipo de información, más o
menos rudimentario, con distintos grados de calidad/fiabilidad y con niveles de
accesibilidad mayores o menores, etc. Esa información debe contemplarse como
parte del SIE.

La información es un elemento clave y fundamental para el buen funcionamiento


de cualquier tipo de organización. Determina la consecución de los objetivos de
la empresa repercutiendo en el éxito o fracaso del negocio.

OBJETIVOS:

Los objetivos de los Sistemas de Información van a depender del nivel de la


organización en el que se apliquen para resolver determinados problemas.
Cumplirán tres objetivos básicos dentro de las organizaciones:

1. Automatizar los procesos operativos.


2. Proporcionar información que sirva de apoyo a la toma de decisiones.
3. Lograr ventajas competitivas a través de su implantación y uso.

CARACTERÍSTICAS:

 Debe ser relevante: tiene que ser importante, que sea la información que
nosotros necesitamos.
 Debe estar actualizada: debe utilizarse en el momento de ser generada.
 Debe ser rápida: el acceso a la información debe realizarse de forma
rápida y sencilla.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 Debe ser económica: la obtención de la información no debe generar un


coste elevado para la empresa.
 Debe ser de calidad: es importante que la información carezca de errores
 Debe ser objetiva: no cabe opción a subjetividades.
 Debe ser completa: debe contener toda la información necesaria
 Debe ser aplicable: la información debe ser adecuada para la toma de una
decisión, además de ser importante y pertinente.

FUNDAMENTOS

Se denomina sistema de información a un conjunto de elementos que, partiendo


de datos externos o internos, genera información útil para la organización.

Las empresas utilizan fundamentalmente los sistemas de información


automatizados. Sin embargo, cualquier sistema que no funcione correctamente
de forma manual, tampoco lo va a hacer por el hecho de estar automatizado.

1. Sistema de información automatizado: conjunto integrado de procesos


desarrollados en un entorno usuario-computadora que, operando sobre
unos datos, recopilan, procesan y distribuyen la información necesaria
para facilitar la actividad habitual de la organización, la dirección y control
de la misma, la toma de decisiones, la coordinación y el análisis.
2. Entrada: datos que vamos a introducir.
3. Proceso: es toda la gestión de esa información (manipulación y
transformación de los datos) para la organización.
4. Salida: es el resultado que obtenemos.
5. Almacenamiento: donde guardamos la información y podemos
recuperarla en cualquier momento. La información almacenada debe
mantenerse mediante un proceso de actualización.
6. Retroalimentación: hay casos en que la entrada de información puede
ser la salida de otro. Hay que tener en cuenta si existen fallos en el sistema
(tiene que detectarlos). Es la salida que se utiliza para efectuar cambios
en actividades de entrada o procesamiento. Debe evaluarse.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

RETROALIMENTACIÓN

ENTRADA PROCESO SALIDA

ALMACENAMIENTO

COMPONENTES DEL SIE

1) Personal: personas que participan en los sistemas de información.


2) Especialista en informática: desarrollan el sistema.
3) Usuarios finales: utilizan el sistema de información, introduciendo datos
y usando la información que éste genera.
4) Software y Hardware: software se refiere al equipamiento lógico o
soporte lógico de un computador digital, y comprende el conjunto de los
componentes lógicos necesarios para hacer posible la realización de una
tarea específica, en contraposición a los componentes físicos del sistema
(hardware).
Tales componentes lógicos incluyen aplicaciones informáticas tales como
procesador de textos, que permite al usuario realizar todas las tareas
concernientes a edición de textos; software de sistema, tal como un
sistema operativo, el que, básicamente, permite al resto de los programas
funcionar adecuadamente, facilitando la interacción con los componentes
físicos y el resto de las aplicaciones.
 Programas: donde se encuentra el Software del sistema y el
Software de aplicación.
 Procedimientos: son las instrucciones operacionales utilizadas
por las personas que harán uso del sistema de información.
 Componente físico: está constituido por las computadoras y el
equipo periférico que pueda conectarse a ellas.
5) Bases de datos: Una base de datos o banco de datos (en inglés: data
base) es un conjunto de datos pertenecientes a un mismo contexto y
almacenados sistemáticamente para su posterior uso. En este sentido,

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

una biblioteca puede considerarse una base de datos compuesta en su


mayoría por documentos y textos impresos en papel e indexados para su
consulta. En la actualidad, y debido al desarrollo tecnológico de campos
como la informática y la electrónica, la mayoría de las bases de datos
están en formato digital (electrónico), que ofrece un amplio rango de
soluciones al problema de almacenar datos.

TIPOS DE SISTEMA DE INFORMACION EMPRESARIAL

A. SISTEMAS DE PROCESAMIENTO DE TRANSACCIONES (TPS):


Conocido popularmente por sus siglas en inglés, el Transaction
Processing System (TPS), registra y procesa toda la información
relacionada con las transacciones comerciales y operaciones de la
empresa. Esta información es utilizada, posteriormente, por los sistemas
de apoyo a la toma de decisiones.

CARACTERISTICAS:

 Ahorros significativos de mano de obra, debido a que automatizan


tareas operativas de la organización.
 Son intensivos en entrada y salida de información; sus cálculos y
procesos suelen ser simples y poco sofisticados.
 Son recolectores de información, pues a través de estos sistemas
se cargan las grandes bases de información para su explotación
posterior.
 Son fáciles de justificar ante la dirección general, ya que sus
beneficios son visibles y palpables.

B. SISTEMA DE APOYO EN LA TOMA DE DECISIONES

B.1. Sistemas de información administrativa (MIS): El Management


Information System (MIS) se encarga de proporcionar la información
relevante a la gerencia de la empresa, sobre la situación general de la
organización.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

B.2. Sistemas de apoyo a ejecutivos (EIS): Esta herramienta está


diseñada para extraer información clave para alcanzar los objetivos
estratégicos de la empresa.

B.3. Sistemas de soporte a la toma de decisiones (DSS): El Decision


Support Systems (DSS) es una herramienta de ayuda a la toma de
decisiones. Se basa en la combinación y análisis de datos que
proporcionan información relevante para ayudar a solucionar problemas
específicos.

B.4. Sistemas para la toma de decisiones en grupo (GDSS): A


diferencia del DSS, el Group Decision Support Systems permiten
compartir la información entre los miembros del equipo, para que puedan
trabajar en grupo y tomar decisiones conjuntas.

B.5. Sistemas expertos de soportes a la toma de decisiones (EDSS):


Estos sistemas se basan en el conocimiento de áreas específicas y actúan
como consultores expertos.

CARACTERISTICAS:

 Se introducen después de haber implantado los Sistemas


Transaccionales más relevantes de la empresa, ya que éstos
constituyen su plataforma de información.
 La información que generan sirve de apoyo a los mandos
intermedios y a la alta administración en el proceso de toma de
decisiones.
 Son intensivos en cálculos y escasos en entradas y salidas de
información. Así, por ejemplo, un modelo de planeación financiera
requiere poca información de entrada, genera poca información
como resultado, pero puede realizar muchos cálculos durante su
proceso.
 Son Sistemas de Información interactivos y amigables, con altos
estándares de diseño gráfico y visual, ya que están dirigidos al
usuario final.
 Apoyan la toma de decisiones que, por su misma naturaleza son
repetitivos y de decisiones no estructuradas que no suelen

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

repetirse. Por ejemplo, un Sistema de Compra de Materiales que


indique cuándo debe hacerse un pedido al proveedor o un Sistema
de Simulación de Negocios que apoye la decisión de introducir un
nuevo producto al mercado.
 Estos sistemas pueden ser desarrollados directamente por el
usuario final sin la participación operativa de los analistas y
programadores del área de informática.
 Este tipo de sistemas puede incluir la programación de la
producción, compra de materiales, flujo de fondos, proyecciones
financieras, modelos de simulación de negocios, modelos de
inventarios, etc.

C. SISTEMAS ESTRATEGICOS: El tercer tipo de sistemas, de acuerdo con


su uso u objetivos que cumplen, es de los Sistemas Estratégicos, los
cuales se desarrollan en las organizaciones con el fin de lograr las
ventajas competitivas, a través del uso de la Tecnología de Información
(TI).

CARACTERISTICAS:

 Su función es lograr ventajas que los competidores no posean,


tales como ventajas en costos y servicios diferenciados con
clientes y proveedores. En este contexto, los Sistema Estratégicos
son creadores de barreras de entrada al negocio. Por ejemplo, el
uso de cajeros automáticos en los bancos en un Sistema
Estratégico, ya que brinda ventaja sobre un banco que no posee
tal servicio. Si un banco nuevo decide abrir su puerta al público,
tendrá que dar este servicio para tener un nivel similar al de sus
competidores.
 Apoyan el proceso de innovación de productos y proceso dentro de
la empresa debido a que buscan ventajas respecto a los
competidores y una forma de hacerlo es innovando o creando
productos y procesos. Un ejemplo de estos Sistemas de
Información dentro de la empresa puede ser un sistema MRP
(Manufacturing Resoure Planning) enfocado a reducir

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

sustancialmente el desperdicio en el proceso productivo, o bien, un


Centro de Información que proporcione todo tipo de información;
como situación de créditos, embarques, tiempos de entrega, etc.
En este contexto los ejemplos anteriores constituyen un Sistema
de Información Estratégico si y sólo sí, apoyan o dan forma a la
estructura competitiva de la empresa.

SISTEMAS DE INFORMACIÓN

AUTOMATIZACIÓN APOYO TOMA VENTAJAS


PROCESOS OPERATVOS DECISIONES COMPETITIVAS

TPS MIS DSS EIS GDS EDSS SISTEMAS


S ESTRATÉGICOS

FUNCIONES DE SIE

Un sistema de información realiza las funciones de entrada, procesamiento y


salida e incluye funciones de retroalimentación y control.

 La salida de un sistema de información es un producto de información


de alguna clase, por ejemplo, un informe o algún otro tipo de documento.
 La entrada de un sistema de información son los datos, o hechos,
acerca de los subsistemas de la empresa u otros sistemas del entorno,
como las descripciones de las necesidades del cliente, los materiales
comprobados y las transacciones de ventas.
 La función de procesamiento organiza y ordena los datos de forma que
las personas puedan entender y utilizar. Un sistema de información
también tiene una función de almacenamiento para guardar datos y
productos de información para un uso futuro.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 La función de control asegura que las salidas del producto de


información son de alta calidad y que son útiles para los usuarios de
información para resolver problemas y tomar decisiones.

ACTIVIDADES BASICAS

Un Sistema de Información realiza cuatro actividades básicas:

1. Entrada de información: Proceso en el cual el sistema toma los datos


que requiere para procesar la información, por medio de estaciones de
trabajo, teclado, diskettes, cintas magnéticas, código de barras, etc.
2. Almacenamiento de información: Es una de las actividades más
importantes que tiene una computadora, ya que a través de esta
propiedad el sistema puede recordar la información guardad en la sesión
o proceso anterior.
3. Procesamiento de la información: Esta característica de los sistemas
permite la transformación de los datos fuente en información que puede
ser utilizada para la toma de decisiones, lo que hace posible, entre otras
cosas, que un tomador de decisiones genere una proyección financiera a
partir de los datos que contiene un estado de resultados o un balance
general en un año base.
4. Salida de información: Es la capacidad de un SI para sacar la
información procesada o bien datos de entrada al exterior. Las unidades
típicas de salida son las impresoras, graficadores, cintas magnéticas,
diskettes, la voz, etc.

VENTAJAS DE UTILIZAR SISTEMAS DE INFORMACION

 Control efectivo de las actividades de la organización.


 Integración de nuevas tecnologías y herramientas de vanguardia.
 Ayuda a incrementar la efectividad en la operación de las empresas.
 Proporciona ventajas competitivas y valor agregado.
 Disponibilidad de mayor y mejor información para los usuarios en tiempo
real.
 Elimina la barrera de la distancia trabajando con un mismo sistema en
puntos distantes.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 Disminuye errores, tiempo y recursos superfluos.


 Permite comparar resultados alcanzados con los objetivos programados,
con fines de evaluación y control.

DESVENTAJAS DE UTILIZAR SISTEMAS DE INFORMACION

 El tiempo que pueda tomar su implementación.


 La resistencia al cambio de los usuarios.
 Problemas técnicos, si no se hace un estudio adecuado, como fallas de
hardware o de software o funciones implementadas inadecuadamente
para apoyar ciertas actividades de la organización.

BENEFICIOS DE LOS SISTEMAS DE INFORMACIÓN

 Acceso rápido a la información y por ende mejora en la atención a los


usuarios.
 Mayor motivación en los mandos medios para anticipar los requerimientos
de las directivas.
 Generación de informes e indicadores, que permiten corregir fallas
difíciles de detectar y controlar con un sistema manual.
 Posibilidad de planear y generar proyectos institucionales soportados en
sistemas de información que presentan elementos claros y sustentados.
 Evitar pérdida de tiempo recopilando información que ya está almacenada
en bases de datos que se pueden compartir.
 Impulso a la creación de grupos de trabajo e investigación debido a la
facilidad para encontrar y manipular la información.
 Soluciona el problema de falta de comunicación entre las diferentes
instancias. A nivel directivo se hace más efectiva la comunicación
 Organización en el manejo de archivos e información clasificada por
temas de interés general y particular.
 Generación de nuevas dinámicas, utilizando medios informáticos como el
correo electrónico, multimedia, teleconferencia, acceso directo a bases de
datos y redes nacionales e internacionales.
 Acceso a programas y convenios e intercambios institucionales.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 Aumento de la productividad gracias a la liberación de tiempos en


búsqueda y generación de información repetida.
 Aumento de la utilidad
 Reducción de los costos
 Aumento en la participación del mercado
 Mejora en las relaciones con los clientes
 Mejor toma de decisiones
 Mejor cumplimento de la normatividad
 Menos errores
 Mejor seguridad

IMPORTANCIA DE LOS SISTEMAS DE INFORMACIÓN

Mediante la implementación de sistemas de información en una organización se


obtienen grandes ventajas, tal como ahorro de tiempo en gestión de procesos,
entre otros. Esto lleva a incrementar la capacidad de organización de la empresa
al momento de realizar sus actividades diarias.

Actualmente se torna importante y necesario contar con un sistema de


información en la empresa que trabaje eficazmente, permitiendo de esta manera
acceder a datos relevantes actualizados y en tiempo real.

Por lo tanto, la administración apropiada de los sistemas de información es un


desafío importante para los gerentes. Así la función de los SI representa:

 Un área funcional principal dentro de la empresa, que es tan


importante para el éxito empresarial como las funciones de contabilidad,
finanzas, administración de operaciones, marketing, y administración de
recursos humanos.
 Una colaboración importante para le eficiencia operacional, la
productividad y la moral del empleado, y el servicio y satisfacción del
cliente.
 Una fuente de información y respaldo importante para la toma de
decisiones efectivas por parte de los gerentes.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 Un ingrediente importante para el desarrollo de productos y servicios


competitivos que den a las organizaciones una ventaja estratégica en el
mercado global.
 Una oportunidad profesional esencial, dinámica y retadora para
millones de hombres y mujeres.

CONDICIONES PARA INPLANTAR UN SIE

Para implantar con éxito un SIE se tiene que cumplir una serie de condiciones
previas:

 Un SIE debe adaptarse a las necesidades concretas de cada organización


y a su estructura organizativa.
 Considerar que es una actividad integrada en el resto de actividades de
la empresa.
 Implicación total de la Dirección de la empresa.
 Como toda actividad, necesita unos recursos mínimos.
 Nombramiento de un responsable o animador-coordinador.
 Clima favorable a la comunicación y al trabajo en equipo que permita
compartir información y conocimiento entre los diferentes departamentos.

FASES PARA LA IMPLANTACION DEL SIE

FASE 1: PREDIAGNÓSTICO

Sus principales objetivos son:

 Recabar información general de la empresa.


 Valorar la conveniencia e interés de realizar un Diagnóstico.
 Visualizar las necesidades adicionales de información.
 Reflexionar sobre las posibles acciones de mejora que pueden
aplicarse al sistema de información del que ya disponen.
 Obtener la información necesaria para planificar el Diagnóstico
(alcance, plazo, personas a entrevistar, equipo de proyecto,
recursos disponibles para el proyecto, metodología, presupuesto.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

FASE 2: DIAGNÓSTICO

En esta fase se trata de hacer una radiografía del Sistema de Información


que ya tiene la organización.

Los objetivos de esta etapa son:

 Detectar las informaciones usadas en la empresa.


 Identificar aquellas que requieren una mejora sustancial.
 Visualizar las necesidades adicionales de información.
 Cualificar los flujos de información existentes: elaboradores de
informaciones, utilizadores, uso…
 Predisponer positivamente a las distintas figuras / cargos en
relación con el SIE.
 Identificar las áreas clave de vigilancia.
 Obtener conclusiones respecto a la factibilidad de abordar un
proceso de implantación de un SIE.

FASE 3: IMPLANTACIÓN DEL SIE

Teniendo en cuenta los objetivos estratégicos de la empresa, se


determina qué información / conocimientos le ayudarían a soportarlos. A
partir de ahí, valorando la información disponible y la no disponible pero
necesaria, se define el SIE y se pasa a su implantación y la del sistema
informático de apoyo que va a permitir gestionarlo.

Para ello se llevan a cabo las siguientes acciones:

 Identificar los retos estratégicos, las decisiones unidas a esos retos


y la información necesaria para la toma de decisión. Se detectan
posibles riesgos, factores de éxito y se propone una forma de
seguimiento.
 Desplegar los retos a los distintos departamentos de la empresa,
determinando las decisiones a tomar en cada uno de ellos y la
información que soporte dichas decisiones.
 Comparar la información anterior con la identificada para cada
proceso en la etapa de diagnóstico, seleccionando y priorizando la
información a incorporar al SIE.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

 Documentar la información indicando las fuentes, los responsables


de su captación, tratamiento y uso, y la periodicidad.
 Organizar la información de acuerdo con la estructura del SIE: área
de vigilancia-área temática-Información.
 Definir la organización de soporte.
 Planificar los aspectos relacionados con la implantación del SIE.
 Analizar, planificar e implantar el sistema informático de apoyo.
 Realizar las acciones necesarias para la instalación del SIE y del
soporte informático.
 Estructurar y llevar a cabo la evaluación y seguimiento del grado
de operatividad del SIE y de su eficiencia en función de los
indicadores elegidos.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

SEGURIDAD DE INFORMACIÓN EMPRESARIAL

SEGURIDAD

Se puede referir a la seguridad como la ausencia de riesgo o también a la


confianza en algo o alguien. Sin embargo, el término puede tomar diversos
sentidos según el área o campo a la que haga referencia.

La seguridad es un estado de ánimo, una sensación, una cualidad intangible. Se


puede entender como un objetivo y un fin que el hombre anhela constantemente
como una necesidad primaria.

INFORMACIÓN

CONCEPTO
Seguridad de información empresarial es bastante amplio y en el pasar del
tiempo ha ido creciendo principalmente por la aplicación de diferentes
herramientas tecnológicas que permiten una mejora constante y más acelerada,
teniendo que ser sometidas a diferentes medidas que garanticen su eficacia en
la protección de la información, es por estos motivos que la seguridad de
información empresarial consta de tres herramientas.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

Desde el aspecto tecnológico la seguridad de información empresarial no es algo


que se pueda garantizar totalmente sino es un proceso continuo de mejorar para
mantenerse y adaptarse a los diferentes riesgos.

CONFIDENCIALIDAD

DISPONIBILIDAD

INTEGRIDAD

 Integridad
Es una de las propiedades de la información que describe la “exactitud” de la
misma, es decir, que la información no ha sufrido ninguna modificación no
autorizada y se mantiene igual desde su origen.

Si una persona no autorizada ingresara al sistema de información de una


empresa y modificara la información de un registro se estaría vulnerando esta
propiedad, para este tipo de riesgos existen diferentes tipos de medidas
preventivas entre las que se destaca la firma digital.

 Disponibilidad
Una de las características de la información es la disponibilidad, se dice que
la información posee esta propiedad cuando puede ser accedida y obtenida
en completitud en cualquier momento que se requiera.

La tecnología ha generado que el acceso a la información sea fácil y rápido,


lo que hace unos años requería de una intensa consulta de archivos físicos,

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

hoy, por lo cual ha expandido este atributo y eliminado muchas de sus


limitantes a costo de ampliar sus riesgos.

Uno de los riesgos más grandes relacionados con la disponibilidad en el


campo de la informática son los ataques de denegación de servicio sumado
a las diferentes fallas tanto de software o hardware a los que está sujeto la
tecnología.

Para garantizar la disponibilidad y disminuir los riesgos existen todo tipo de


medidas como centros de datos con plantas de energía independientes,
servidores espejo, replicación de datos, redes de almacenamiento, enlaces
redundantes, etc. Dependiendo de los costos que una organización esté
dispuesta a asumir y la importancia que la disponibilidad suponga para la
misma.

 Confidencialidad

La información puede permanecer inalterada y ser accesible a quien


necesite, pero si al mismo tiempo alguien sin permiso puede acceder de
forma clandestina a la información esta propiedad se pierde.

La confidencialidad es la propiedad que impide la divulgación de información


a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso
a la información únicamente a aquellas personas que cuenten con la debida
autorización.

Existen muchísimas formas de vulnerar la confidencialidad de la información


desde métodos de ingeniería social, hasta métodos más complejos como un
ataque de inyección SQL para obtener credenciales de acceso.

 Riesgo-Vulnerabilidad-Amenaza

Existen muchos conceptos que se engloban en el campo de la seguridad


de la información empresarial, entre ellos los más comunes son riesgo,
vulnerabilidad y amenaza, los cuales podrían tomarse erróneamente
como sinónimos, pero en este contexto su diferencia es clave.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

a) Riesgo: Simboliza un hecho inesperado, no calculado o no


planeado que tiene un origen, que puede provocar la alteración
del resultado de un conjunto de actividades y que genera unas
pérdidas. De acuerdo con lo anterior los riesgos se pueden
clasificar como:
 Financieros. Organización – causa – peligro.
 Dinámicos. Factores externos en constante
cambio.
 Estáticos. Factor humano.
 Especulativos. Posibilidad de pérdida o ganancia.
 Puros. Situaciones específicas con posibilidades de
pérdida o ganancia.
 Fundamentales. impersonales.
 Particulares. Evento particular.
 El riesgo está asociado a un peligro o una
posibilidad de pérdida, cuando se habla de que
existe una posibilidad de que hay un factor latente
(quizá incontrolable) puede afectar un sistema se
dice que existe una amenaza.
b) Amenaza: Según el efecto que ésta presente puede ser
clasificada así:
 Intercepción. Acceso a una parte del sistema.
 Modificación. Cambio de valores o datos Interrupción.
 Mal funcionamiento de un proceso.
 Generación. Adición de elementos externos al sistema
con fines maliciosos.
Además, dependiendo del origen de la misma se clasifica como:
 Natural.
 Intencionada.
 Involuntaria.
c) Vulnerabilidad: ¿Porque existe una amenaza? Precisamente
porque no existe un sistema perfecto, todo sistema tiene algún
defecto donde un hecho puede provocar pérdidas. Dicho

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

“defecto en la armadura” se conoce como vulnerabilidad y


existen diferentes tipos:
 Vulnerabilidad física.
Se encuentra en el nivel del edificio o entorno físico del sistema.
Se relaciona con la posibilidad de entrar o acceder físicamente
al sistema para robar, modificar o destruir el mismo.
 Vulnerabilidad natural.
Se refiere al grado en que el sistema puede verse afectado por
desastres naturales o ambientales que pueden dañar el
sistema, tales como el fuego, inundaciones, rayos, terremotos,
o quizás más comúnmente, fallos eléctricos o picos de potencia.
También el polvo, la humedad o la temperatura excesiva son
aspectos a tener en cuenta.
 Vulnerabilidad del hardware y del software.
Desde el punto de vista del hardware, ciertos tipos de
dispositivos pueden ser más vulnerables que otros. Así, ciertos
sistemas requieren la posesión de algún tipo de herramienta o
tarjeta para poder acceder a los mismos. Ciertos fallos o
debilidades del software del sistema hacen más fácil acceder al
mismo y lo hacen menos fiable. En este apartado se incluyen
todos los bugs en los sistemas operativos, u otros tipos de
aplicaciones que permiten atacarlos.
 Vulnerabilidad de los medios o dispositivos.
Se refiere a la posibilidad de robar o dañar los discos, cintas,
listados de impresora, etc.
 Vulnerabilidad por emanación.
Todos los dispositivos eléctricos y electrónicos emiten
radiaciones electromagnéticas. Existen dispositivos y medios
de interceptar estas emanaciones y descifrar o reconstruir la
información almacenada o transmitida.
 Vulnerabilidad de las comunicaciones.
La conexión de los ordenadores a redes supone sin duda un
enorme incremento de la vulnerabilidad del sistema. Aumenta

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

enormemente la escala del riesgo a que está sometido, al


aumentar la cantidad de gente que puede tener acceso al
mismo o intentar tenerlo. También se añade el riesgo de
intercepción de las comunicaciones:
 Se puede penetrar al sistema a través de la red.
 Interceptar información que es transmitida desde o
hacia el sistema.
 Vulnerabilidad humana.
La gente que administra y utiliza el sistema representa la mayor
vulnerabilidad del sistema. Toda la seguridad del sistema
descansa sobre el administrador del mismo que tiene acceso al
máximo nivel y sin restricciones al mismo. Los usuarios del
sistema también suponen un gran riesgo al mismo. Ellos son los
que pueden acceder al mismo, tanto físicamente como
mediante conexión. Existen estudios que demuestran que más
del 50% de los problemas de seguridad detectados son debidos
a los usuarios de los mismos. Por todo ello hay una clara
diferenciación en los niveles de los distintos tipos de
vulnerabilidad y en las medidas a adoptar para protegerse de
ellos.

 Otros aspectos relacionados


Existen otros aspectos o características de la seguridad que pueden en
su mayor parte incluirse o asimilarse a uno de los tres aspectos
fundamentales, pero que es importante concretar en sí mismos.
1. Autenticidad
Esta propiedad permite asegurar el origen de la información. La identidad
del emisor puede ser validada, de modo que se puede demostrar que es
quien dice ser. De este modo se evita que un usuario envíe una
información haciéndose pasar por otro. Imposibilidad de rechazo (no-
repudio)
Esta propiedad permite asegurar que cualquier entidad que envía o recibe
información, no puede alegar ante terceros que no la envió o la recibió.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

Esta propiedad y la anterior son especialmente importantes en el entorno


bancario y en el uso del comercio digital.
2. Consistencia
Asegurar que el sistema se comporta como se supone que debe hacerlo
con los usuarios autorizados. Si el software o el hardware de repente
comienzan a comportarse de un modo radicalmente diferente al esperado,
puede ser un desastre. Por ejemplo, si la orden "ls" comenzara a borrar
los ficheros listados. Esta propiedad es amenazada por ejemplo por el uso
de los Caballos de Troya. Programas que no hacen lo que se supone que
deben hacer, o que además se dedican a otras tareas.
3. Aislamiento
Regula el acceso al sistema, impidiendo que personas no autorizadas
entren en él. Este aspecto está relacionado directamente con la
confidencialidad, aunque se centra más en el acceso al sistema que a la
información que contiene.
4. Auditoría
Capacidad de determinar qué acciones o procesos se han llevado a cabo
en el sistema, y quién y cuándo las han llevado a cabo. La única forma de
lograr este objetivo es mantener un registro de las actividades del sistema,
y que este registro esté altamente protegido contra modificación.

 Política de Seguridad

La política de seguridad es una declaración de intenciones de alto nivel que


cubre la seguridad de los SI y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y organizativas que se
requerirán.

La política se refleja en una serie de normas, reglamentos y protocolos a seguir,


donde se definen las distintas medidas a tomar para proteger la seguridad del
sistema, las funciones y responsabilidades de los distintos componentes de la
organización y los mecanismos para controlar su correcto funcionamiento. Son
los directivos, junto con los expertos en tecnologías de la información, quienes
deben definir los requisitos de seguridad, identificando y priorizando la
importancia de los distintos elementos de la actividad realizada, con lo que los

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

procesos más importantes recibirán más protección. La seguridad debe


considerarse como parte de la operativa habitual, no como un extra añadido.

El compromiso de la Dirección con la SSI debe tomar la forma de una política de


seguridad de los SI formalmente acordada y documentada. Dicha política tiene
que ser consistente con las prácticas de seguridad de otros departamentos,
puesto que muchas amenazas (incendio, inundación) son comunes a otras
actividades de la organización.

Algunas reglas básicas a la hora de establecer una política de seguridad:

 Toda política de seguridad debe ser holística, es decir, debe cubrir


todos los aspectos relacionados con el sistema.
 Debe proteger el sistema en todos los niveles: físico, humano, lógico
y logístico. Debe tener en cuenta no sólo los distintos componentes
del sistema, tales como el hardware, software, entorno físico y
usuarios, sino también la interacción entre los mismos.
 Debe tener en cuenta el entorno del sistema, esto es, el tipo de
compañía o entidad con que tratamos (comercial, bancaria,
educativa).
 La política de seguridad debe adecuarse a nuestras necesidades y
recursos, el valor que se le da a los recursos y a la información, el uso
que se hace del sistema en todos los departamentos.
 Deben evaluarse los riesgos, el valor del sistema protegido y el coste
de atacarlo. Las medidas de seguridad tomadas deben ser
proporcionales a estos valores.
 Toda política de seguridad debe basarse fundamentalmente en el
sentido común. Es necesario:
 Un conocimiento del sistema a proteger y de su entorno.
 Un conocimiento y experiencia en la evaluación de riesgos y el
establecimiento de medidas de seguridad.
 Un conocimiento de la naturaleza humana, de los usuarios y de
sus posibles motivaciones. A la hora de establecer una política
de seguridad debemos responder a las siguientes tres
preguntas:

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

o ¿Qué necesitamos proteger?


o ¿De qué necesitamos protegerlo?
o ¿Cómo vamos a protegerlo?

Lo que nos lleva a los siguientes pasos básicos:

1. Determinar los recursos a proteger y su valor.


2. Analizar las vulnerabilidades y amenazas de nuestro
sistema, su probabilidad y su coste.
3. Definir las medidas a establecer para proteger el sistema.
Estas medidas deben ser proporcionales a lo definido en los
pasos 1 y 2. Las medidas deben establecerse a todos los
niveles: físico, lógico, humano y logístico. Además, debe
definirse una estrategia a seguir en caso de fallo.
4. Monitorizar el cumplimiento de la política y revisarla y
mejorarla cada vez que se detecte un problema. Los pasos
1 y 2 se denominan Análisis de riesgos, mientras los pasos
3 y 4 se denominan Gestión de riesgos. La política de
seguridad es el conjunto de medidas establecidas en el paso
3.

IMPORTANCIA DE SEGURIDAD DE INFORMACION EMPRESARIAL

Muchas organizaciones tienen dentro de sus objetivos mejorar de manera


continua sus procesos, para esto gestionan y miden cada parámetro, lo que les
permite poder determinar cuándo una variación puede afectar la producción o
los servicios que brindan. Esto mismo se debe hacer con la seguridad de la
información.

Los incidentes de seguridad siempre van a existir sin importar los controles que
implementen las organizaciones. Sin embargo, poder tener claro cuáles son los
incidentes más comunes en la empresa, permite orientar las inversiones en
seguridad hacia las brechas que mayor impacto pueden generar en caso que un
incidente se materialice.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

Todos los sistemas de gestión de seguridad de la información que


empresarialmente se usan, priorizan la gestión de incidentes, con el objeto de
poder detectarlo en el menor tiempo posible y así poder actuar según la criticidad
del mismo en su mitigación y control.

CONTROL INFORMÁTICO

Cuando se habla de riesgos informáticos y de su impacto no se está hablando


de “incendios” que deben “apagarse”, se está hablando de la necesidad de que
existan medios para mantener a un sistema lo más seguro posible durante toda
su vida útil aprovechando las ventajas de las TI, minimizando los riesgos. Es
decir, que la seguridad informática es un elemento siempre presente que se
requiere para asegurar la calidad de la información. En este sentido se habla de
control. Mantener controlada una situación implica que se encuentre
constantemente vigilada.

Un control es un conjunto de normas, técnicas, acciones y procedimientos que


mantienen una organización segura, actuando en consecuencia de sus
objetivos.

Un ambiente de control es el resultado de la ejecución de buenos controles y


asegura que todos los elementos de la organización estén conscientes de la
importancia de mantener unos niveles estables de seguridad para lo cual es
necesario la aplicación de una serie de actividades como constante monitoreo,
valoración, comunicación, entre otros.

Hoy en día las empresas cuentan con una gran variedad de herramientas de
software para control informático, integran diferentes servicios de control para
diferentes contextos (educación, salud, financiero, etc.) algunas de estas
herramientas son incluso gratuitas.

La seguridad informática no solo puede ser asegurada por software. El control


completo informático incluye un cambio de actitud, inclusión de nuevas
herramientas y por supuesto algunos cambios en la política laboral.

Las políticas, a diferencia de otros muchos aspectos organizacionales, son


importantes porque pertenecen al más alto nivel y para realizar cambios en ellas
se requiere de una concientización a nivel gerencial, se clasifican en políticas

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

Laborales, de hardware y de software. Las políticas de seguridad informática son


definidas en conjunto por directivos y los encargados de los sistemas
informáticos.

SOLUCIONES PARA UN MANTENIMIENTO INFORMÁTICO

Para las empresas dicha seguridad es muy importante, por eso en el mercado
existen diferentes soluciones para un mantenimiento informático que asegure la
preparación de los sistemas ante posibles eventualidades que puedan afectar al
crecimiento de una empresa. Una de las soluciones que encontramos es un
sistema de gestión de seguridad de la información. Este sistema incluye
diferentes temas como políticas de seguridad en sistemas informáticos, el
aseguramiento de los recursos empresariales o la planificación de la seguridad,
y se compone de tres procesos diferenciados: la planificación, la implementación
y la verificación y actualización.

1. La planificación

Este proceso dentro del diseño de la arquitectura del sistema de gestión de


seguridad de la información, ayuda a establecer las políticas y soluciones
para lograr los objetivos empresariales relacionados con la seguridad y el
mantenimiento informático. El primer paso hacia una buena planificación es
determinar cuáles son los requerimientos de la seguridad. Estos se
establecen a través de la realización de servicios de seguridad, se analizan
los riesgos informáticos y se calculan los posibles impactos de los mismos, la
probabilidad de que ocurran y los recursos a proteger. Para realizar una
valoración de los sistemas informáticos se deben tener en cuenta dos
aspectos: la función de los sistemas y su coste. De esta manera el personal
especializado en el mantenimiento informático y la seguridad del sistema,
podrá determinar aquellos factores de mayor riesgo y ofrecer soluciones
adaptadas y personalizadas.

2. La implementación

El segundo proceso es la implementación del sistema de gestión de


seguridad de la información mediante la aplicación de controles y soluciones
de seguridad. Con este proceso nos aseguramos que el personal de la

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

empresa tenga el conocimiento y las habilidades mediante cursos de


formación. Estos programas de formación deben incluir aspectos como que
el personal debe conocer la importancia del sistema de seguridad mediante
la realización de un curso específico, éste por su parte, debe asegurar la
divulgación del conocimiento y su comprensión, así como capacitar a los
usuarios de las herramientas necesarias para solucionar las incidencias e
implementar las soluciones adecuadas. El personal, además, tiene que ser
consciente de los roles a cumplir dentro del sistema de gestión de seguridad
de la información y tiene que entender los procesos y requerimientos para
detectar y solucionar los incidentes de seguridad.

3. La verificación y actualización del sistema

El último proceso incluye la comprobación del rendimiento y la eficacia del


sistema de gestión de seguridad de la información, verificando de manera
periódica los riesgos residuales, es decir, los clientes deben realizar
auditorías internas y externas para lograr el objetivo empresarial. Por su
parte, el proceso de actualización comporta realizar los cambios necesarios
para asegurar al máximo el perfecto rendimiento del sistema de gestión.
Ambos procesos se suelen realizar de forma paralela e integran los trabajos
de mantenimiento informático del sistema.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

CONCLUSIONES

 Los sistemas de información hacen parte de los medios estratégicos para


la reformulación de las prácticas empresariales que promueven el
desarrollo de la organización, mejorar su posición competitiva y reorientan
el comportamiento de los negocios.
 En el diseño de un sistema de información empresarial hay dos factores
críticos hacia los que deben centrarse los esfuerzos, al margen del punto
de vista desde el que se trate que es la calidad de la información y la
satisfacción del usuario.
 Para que el sistema de información sea eficaz, deberá facilitar información
relevante para la empresa, además de adaptarse a las características y
necesidades concretas de la organización.
 Para nadie es un secreto la importancia de implementar un programa
completo de seguridad de información, Sin embargo, crea un programa
de seguridad con componentes "bloqueados de cookies” rara vez produce
resultados efectivos. Lo más efectivo es utilizar una metodología
comprobada que diseñe el programa de seguridad con base a las
necesidades de la Empresa, recuerde cada Empresa es diferente.
 La clave para desarrollar con éxito un programa efectivo de seguridad de
la información consiste en recordar que las políticas, estándares y
procedimientos de seguridad de la información son un grupo de
documentos interrelacionados.
 La seguridad de información es tanto una investigación como la ejecución
de políticas sobre la protección de datos en ordenadores con el fin de
proteger y resguardar su funcionamiento y la información en él contenida.

AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

BIBLIOGRAFÍA

http://www.eoi.es/blogs/scm/2013/02/21/sistemas-de-informacion-empresarial/

https://izamorar.com/importancia-de-los-sistemas-de-informacion/

https://www.gestiopolis.com/sistemas-informacion-importancia-empresa/

https://www.eaeprogramas.es/empresa-familiar/tipos-de-sistemas-de-
informacion-empresarial

http://tecno.unsl.edu.ar/redes%202008/seguridadinformatica.pdf

https://apen.es/2016/06/20/la-seguridad-de-la-informacion-de-una-empresa/

http://reportedigital.com/seguridad/importancia-gestionar-seguridad-
informacion/

http://cepymearagon.blogspot.pe/2008/09/metodologa-para-implantar-un-
sistema-de.html

AUDITORIA DE SISTEMAS