empresa?
Una estructura o sistema de control interno es una amalgama de las políticas y procedimientos
que implementa una pequeña empresa para garantizar que se logre cada uno de sus objetivos.
Asegura que cada empleado siga las directivas implementadas por el equipo de alta gerencia.
También asegura que todos los estados financieros sean precisos. Además, una estructura de
control interno asegura que la organización siga cumpliendo con las leyes u otras regulaciones
legales que controlan la industria. El Comité de Organizaciones Patrocinadoras de la Comisión
Treadway reconoce cinco componentes esenciales de este sistema: el ambiente de control,
evaluación de riesgos, actividades de control, información y comunicación y monitoreo.
Sistema de control:
El entorno de control, también llamado entorno de control interno, se refiere al valor que el
equipo de alta dirección de una pequeña empresa atribuye a la importancia de la función de
auditoría y gestión de riesgos para la empresa. Además, este componente aborda los métodos
y el estilo en que se implementan las iniciativas de control interno. Algunas organizaciones, por
ejemplo, mantienen un entorno de control increíblemente laxo en el que pocas políticas se
ponen en práctica y los empleados gozan de libertad. Este es a menudo el caso en las
industrias no reguladas. En industrias fuertemente reguladas, como los servicios financieros, el
entorno de control a menudo es increíblemente formal. Varios departamentos, incluidos los
legales, el cumplimiento y los recursos humanos, hacen cumplir muchas pautas para minimizar
los riesgos legales y financieros para la empresa.
Evaluación de riesgos
El componente de la evaluación de riesgos son las acciones tomadas por una pequeña
empresa para determinar cualquier situación que pueda representar un riesgo legal o
financiero para la empresa. Por ejemplo, un equipo de profesionales del derecho puede
auditar los registros de empleo de una empresa para garantizar que todos los archivos
cumplan con las políticas de la Comisión de Igualdad de Oportunidades en el Empleo de los
Estados Unidos. Del mismo modo, un contador puede auditar los registros financieros del
negocio para asegurarse de que todas las prácticas contables sean sólidas.
Actividades de control
Información y comunicación
Supervisión
3. Cuáles son los mecanismos que facilitan y promueven la interacción entre usuarios.
1. Interactividad: Las TIC’s que utilizamos en la comunicación social son cada día más
interactivas, es decir:
Posibilitan que dejemos de ser espectadores pasivos, para actuar como participantes.
6. Colaboración: Cuando nos referimos a las TIC como tecnologías colaborativas, es por el
hecho de que posibilitan el trabajo en equipo, es decir, varias personas en distintos roles
pueden trabajar para lograr la consecución de una determinada meta común. La tecnología en
sí misma no es colaborativa, sino que la acción de las personas puede tornarla, o no,
colaborativa. De esa forma, trabajar con las TIC no implica, necesariamente, trabajar de forma
interactiva y colaborativa. Para eso hay que trabajar intencionalmente con la finalidad de
ampliar la comprensión de los participantes sobre el mundo en que vivimos. Hay que estimular
constantemente a los participantes a aportar no sólo información, sino también relacionar,
posicionarse, expresarse, o sea, crear su saber personal, crear conocimiento.
7. Penetración en todos los sectores: Por todas esas características las TIC penetran en todos
los sectores sociales, sean los culturales, económicos o industriales. Afectan al modo de
producción, distribución y consumo de los bienes materiales, culturales y sociales. [1].
Con los beneficios que nos brindan las nuevas posibilidades de conectividad, emergen también
una serie de nuevos riesgos. Muchas empresas son amenazadas en sus activos, y más aún
cuando el activo más importante es la información. El deterioro de ésta puede representa
millones de dólares en pérdidas en el mundo de los negocios. Las vulnerabilidades2 en los
sistemas de información pueden traer graves problemas. Cada vez las redes están expuestas a
virus informáticos, spam, código malicioso, hackers y crakers que penetran los sistemas de
seguridad. Los elementos que la seguridad (ver Fig. 1) de la información busca proteger son:
• La información
Entramado
© Unilibre Cali
88
Una vez que nos aseguramos que la información correcta llegue a los destinatarios o usuarios
correctos, ahora lo que debemos garantizar es que llegue en el momento oportuno, y
precisamente de esto trata el tercer principio de la seguridad de la información: la
disponibilidad. Para que una información se pueda utilizar, deberá estar disponible.
Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el
manejo de la información de forma segura, ya que de nada sirve cualquier sistema de
seguridad, por complejo y completo que este sea, si los empleados, por ejemplo, facilitan su
usuario y contraseña a personas ajenas a la empresa y con esto dejan abierta la puerta a
posibles ataques o filtraciones de información crítica al exterior de la compañía.
Es importante tener claro cuáles son los tipos de amenazas más comunes a las cuales están
expuestas las empresas hoy en día. La Tabla 1 hace un resumen en este sentido.
El análisis y evaluación de riesgos permite a las compañías tener una visión más clara sobre sus
vulnerabilidades y de los esfuerzos que deben hacer para mejorar.
Las políticas son requisitos generalizados que deben ser escritos en papel y comunicados a
ciertos grupos de personas dentro y en algunos casos fuera de la organización. Figura 1: Los
elementos de la seguridad
Entramado
89
Dussan, C
Tipos de Amenazas
Ejemplos
Suplantación
Alteración
Repudio
Divulgación de información
Denegación de servicio
Elevación de privilegios
Aunque las políticas de seguridad informática varían de una organización a otra, un típico
documento de este tipo incluye una exposición de motivos, la descripción de las personas a
quienes van dirigidas las políticas, el historial de las modificaciones efectuadas, unas cuantas
definiciones de términos especiales y las instrucciones gerenciales especificas sobre el
tratamiento de las políticas. Estas son obligatorias y pueden considerarse a una ley propia
dentro de la organización.
• Tecnológica: Se refiere a los esfuerzos que se deben realizar para el buen funcionamiento de
la plataforma de hardware, software y telecomunicaciones. Servidores, estaciones de trabajo,
sistemas operativos, bases de datos, acceso a Internet etc. Algunas personas relacionan
directamente los problemas de seguridad con el área tecnológica pero es importante hacer
relevancia que se parte de la ética profesional y la buena conducta de los usuarios.
Elaboración de la política
Para elaborar una política de seguridad de la información es importante tomar en cuenta las
exigencias básicas y las etapas necesarias para su producción. Tabla 1: Amenazas al sistema de
informática de la empresas
1- Que mecanismos permiten proteger la confidencialidad, integridad y disponibilidad
de recursos (Reconociendo el riesgo informático, y ahondando en los aspectos de:
© Unilibre Cali
90
c. Hacer oficial la política una vez que se tenga definida (aprobación por parte de la
administración, mecanismos de comunicación efectiva a socios, empleados, proveedores y
clientes de la empresa).
2. Etapas de producción de la política: Elaborar una política es un proceso que exige tiempo e
información. Es necesario saber cómo se estructura la organización y cómo son dirigidos en la
actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad
existente para poder después detectar los puntos a analizar para que esté en conformidad con
los estándares de seguridad.
a. Objetivos y ámbito (presentación del tema de la norma en relación con sus propósitos y
contenidos)
b. Entrevista (identificar junto con los usuarios las preocupaciones que ellos tienen con los
activos, los procesos de negocio)
política de seguridad
• Las directrices son un conjunto de reglas generales de nivel estratégico donde se expresan
los valores de la seguridad de la organización. Es propuesta por el líder empresarial de la